Wie sich Abhängigkeiten im KI-Zeitalter steuern lassen

Tania Rebuzzi, Co-­Leiterin Cloud First ­Business, Accenture Schweiz, Managing ­Director, Accenture DACH. (Souce: zVg)

Tania Rebuzzi, Co-­Leiterin Cloud First ­Business, Accenture Schweiz, Managing ­Director, Accenture DACH. (Souce: zVg)

Vertrauen ist das Fundament des Schweizer Wirtschafts- und Gesellschaftslebens. Dieses Vertrauen muss heute auch im digitalen Raum gesichert werden, damit digitale Services für Bürgerinnen und Bürger sowie Kunden wirksam werden: durch klare Governance, kontrollierbare Infrastrukturen und eine realistische Auseinandersetzung mit technischen, politischen und regulatorischen Abhängigkeiten. Digitale Souveränität bedeutet für die Schweiz vor allem, Abhängigkeiten bewusst zu steuern. Der Bundesrat versteht darunter die Sicherstellung der staatlichen Kontroll- und Handlungsfähigkeit im digitalen Raum.

Dieser Anspruch ist nicht selbstverständlich. Deutschland ergänzt den EU-Rahmen durch die Verwaltungscloud-­Strategie. Frankreich hat mit dem "SecNumCloud"-­Siegel der ANSSI, der französischen nationalen Agentur für Cybersicherheit, ein verbindliches Qualifizierungssystem für Cloud-Anbieter eingeführt, insbesondere um den Schutz besonders sensibler Daten robuster zu gestalten. In der Schweiz dominiert ein pragmatischer Ansatz, der Eigenverantwortung mit klaren regulatorischen Leitlinien verbindet.

Digitale Souveränität hat wenig mit Autarkie zu tun. Sie zeigt sich vielmehr in der Fähigkeit, Abhängigkeiten bewusst zu steuern und kontrollierbar zu machen. Daraus ergibt sich eine zentrale Frage: Welche Daten, Anwendungen und Prozesse gehören unter welchen Bedingungen in die Cloud? Die Fragestellung ist operativer, regulatorischer, politischer und technischer Natur zugleich – und wird mit dem Aufstieg von künstlicher Intelligenz von geschäftskritischer Bedeutung.

Mit KI wachsen die Abhängigkeiten

Künstliche Intelligenz wird zunehmend zum entscheidenden Faktor für Produktivität, Wettbewerbsfähigkeit und Innovation. Ihr Einsatz nimmt zu, und damit entsteht eine neue Abhängigkeit: Moderne KI lässt sich ohne Cloud kaum betreiben. Das Training grosser Modelle, spezialisierte Grafikprozessoren und laufende Inferenz erfordern eine Infrastruktur, die wirtschaftlich vor allem über Cloud-Modelle bereitstellbar ist.

Mit KI verschärft sich auch die Souveränitätsfrage. Wer KI einführt, entscheidet über Datenflüsse, Modellzugriffe und Infrastrukturabhängigkeiten über Jahre hinweg. Dabei entstehen drei Abhängigkeitsebenen: auf der Datenebene, wem Inputs, Dokumente oder Kundendaten anvertraut werden; auf der Modellebene, ob proprietäre Foundation Models oder offenere Alternativen genutzt werden; und auf der Plattformebene, ob die KI portabel oder an ein einziges Hyperscaler-Ökosystem gebunden ist. Deshalb verbindet die Schweizer Debatte Cloud-Souveränität zunehmend mit Open Source, offenen Standards und Exit-Fähigkeit.

Denn für die Praxis gilt es zu beachten: Auch die Prompts der Mitarbeitenden enthalten häufig sensible Informationen. Logs und Metadaten machen nachvollziehbar, wer wann welche Anfragen gestellt hat. Entsprechend relevant ist die Frage, welchen Anbietern Kunden-, Patienten- oder Bürgerdaten anvertraut werden.

Daher braucht es eine klare Segmentierung von KI-Anwendungen nach Daten- und Risikoklassen. Standardisierte Copilots für allgemeine Büroarbeit können in abgesicherten Public-Cloud-Umgebungen laufen. KI-Anwendungen mit sensiblen Kunden-, Gesundheits- oder Verwaltungsdaten brauchen strengere Modelle: private Instanzen, restriktive Zugriffskontrollen, kundenseitige Schlüsselkontrolle, Logging-Governance oder lokalere Betriebsmodelle. Dieser segmentierte Ansatz ist Schweizer Souveränitätslogik: Cloud, aber mit klarer Zuordnung nach Schutzbedarf.

Souveränität in der Praxis: Wo Kontrolle ­tatsächlich entsteht

Digitale Souveränität zeigt sich in konkreten Entscheidungen im Umgang mit Daten, Zugriffen und Abhängigkeiten. Im Zentrum steht die Frage der Kontrolle: Wer hat Zugriff auf Systeme und Daten – auch im Krisenfall? Wer trifft Entscheidungen, und wie schnell kann ein Anbieter gewechselt werden? Angesichts geopolitischer Spannungen und möglicher externer Rechtszugriffe auf Cloud-Infrastrukturen werden diese Fragen zunehmend relevant. Hybride Multi-­Cloud-Architekturen bieten hier einen Ansatz, indem sie externe Anbieter in ein kontrollierbares Governance-Modell einbetten. Darauf aufbauend muss definiert werden, welche Daten und Prozesse kritisch sind. Eine Schweizer Privatbank etwa muss Kundenstammdaten, Transaktionshistorien und Beratungsmodelle klassifizieren, bevor sie ausgelagert werden. Ein Serverstandort in der Schweiz allein reicht dabei nicht aus. Entscheidend ist, welchem Rechtsraum ein Anbieter unterliegt und wie Anforderungen aus dem revidierten Datenschutzgesetz (revDSG) umgesetzt werden.

Eng damit verbunden ist die Kontrolle über den Datenzugang. Wer die Verschlüsselungsschlüssel verwaltet, bestimmt den Zugriff auf Daten. Modelle wie "Bring your own Key" werden damit zu einem zentralen Instrument, um Kontrolle auch in Cloud-Umgebungen zu behalten.

Ein weiteres Handlungsfeld ist der Umgang mit Abhängigkeiten. Je stärker Unternehmen in proprietäre Dienste inte­griert sind, desto schwieriger wird ein späterer Wechsel. Lock-in kann sinnvoll sein, wenn er bewusst eingegangen wird – vorausgesetzt, Exit- und Fallback-Szenarien sind definiert und umsetzbar. Ein Spital muss beispielsweise sicherstellen, dass kritische Systeme auch im Krisenfall weiterlaufen.

Open Source ergänzt diesen Ansatz zunehmend. Offener, überprüfbarer Quellcode ermöglicht Transparenz und reduziert Abhängigkeiten. Mit dem Bundesgesetz über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben (EMBAG) verpflichtet sich der Bund, selbst entwickelte Software als Open Source zu veröffentlichen – nach dem Prinzip "Public Money, Public Code".

Diese Dimensionen greifen ineinander. Welche Daten sind kritisch? Wer kontrolliert Schlüssel und Identitäten? Welche Abhängigkeiten sind vertretbar? Digitale Souveränität entsteht aus dem Zusammenspiel dieser Entscheidungen. Die Architektur, die das ermöglicht, ist in den meisten Fällen Multi-­Cloud.

Multi-Cloud: Wo Kontrolle konkret wird

Multi-Cloud entsteht in der Praxis selten als klare Zielarchitektur. Häufig entwickelt sie sich schrittweise, getrieben von neuen Anforderungen, einzelnen Projekten oder dem Zugang zu spezifischen Cloud-Services. So entsteht eine leistungsfähige Landschaft, in der unterschiedliche Anbieter, Services und Datenflüsse parallel gesteuert werden müssen. Der Einsatz von KI verstärkt diese Entwicklung durch neue Workloads und Infrastrukturanforderungen.

Multi-Cloud schafft genau den Handlungsspielraum, den Organisationen für den souveränen Betrieb brauchen: Einseitige Abhängigkeiten lassen sich reduzieren, kritische Workloads gezielt platzieren, Innovationsfähigkeit erhalten. Der Preis dafür ist ein höherer Steuerungsaufwand beim Betrieb, bei den Kosten und der Governance.

Was es dazu braucht, ist eine klare architektonische Haltung: Eine zentrale Steuerungsebene, auch Control Plane genannt, bündelt Komplexität und macht Abhängigkeiten beherrschbar. Richtig eingesetzt, strategisch geplant und konsequent gesteuert, wird Multi-Cloud zum zentralen Instrument für digitale Souveränität.

Souveränität in der Schweiz: Zwischen Vertrauen und Kontrolle

Souveränität entscheidet sich letztlich in konkreten Mass­nahmen:

• KI-Use-Cases nach Daten- und Risikoklassen segmentieren
• Vertrags- und Architekturfragen zusammen denken
• Offene und portable KI-Architekturen berücksichtigen, wo es wirtschaftlich sinnvoll ist
• KI-Kompetenz und Governance parallel aufbauen 
• Anpassungsfähigkeit fördern, vor dem Hintergrund der sich entwickelnden Regulatorik und geopolitischen ­Abhängigkeiten

Dies bleibt die entscheidende Voraussetzung für Unternehmen wie für den Staat.