Marcel Breuer's Blog
Cover Image for Souveräne KI-Architekturen: Kontrolle über Daten, Modelle und Betrieb

Souveräne KI-Architekturen: Kontrolle über Daten, Modelle und Betrieb

Marcel Breuer
Marcel Breuer

Viele Organisationen wollen KI produktiv nutzen, ohne die Kontrolle über Datenflüsse, Modellzugriffe und Betriebsentscheidungen zu verlieren. Genau hier wird souveräne KI-Architektur relevant: Sie ist kein Gegenentwurf zur Cloud, sondern ein Entscheidungsrahmen für Schutzbedarf, Wirtschaftlichkeit und Betriebsfähigkeit. Die zentrale These: KI-Souveränität entsteht nicht durch einen einzelnen Technologie-Stack, sondern durch klare Architekturprinzipien, messbare Kontrollen und realistische Betriebsmodelle.

Souveräne KI-Architekturen verstehen

Eine souveräne KI-Architektur beschreibt, wie eine Organisation KI-Systeme so gestaltet, dass sie Kontrolle über Daten, Modelle, Identitäten, Integrationen, Betrieb und Anbieterabhängigkeiten behält. Es geht um die Fähigkeit, bewusst zu entscheiden: Welche Daten dürfen wohin? Welche Modelle dürfen genutzt werden? Wer darf Prompts, Dokumente, Tools oder Agenten konfigurieren? Wie wird überwacht, ob die Architektur im Betrieb noch den eigenen Regeln entspricht?

Private KI ist ein verwandter, aber engerer Begriff. Häufig meint private KI, dass Modellaufrufe, Datenverarbeitung oder Vektorsuche in einer kontrollierten Umgebung laufen: zum Beispiel in einer privaten Cloud, in einem eigenen Rechenzentrum oder in einem isolierten Mandanten eines Providers. Souveräne KI geht darüber hinaus. Sie betrachtet nicht nur den technischen Ort der Verarbeitung, sondern auch Entscheidungsfreiheit, Portabilität, Governance, Auditing und Exit-Fähigkeit.

Ein typisches Missverständnis lautet: Souveräne KI bedeutet automatisch On-Premises. Das ist zu kurz gedacht. Ein lokales Modell ohne saubere Zugriffskontrolle, Monitoring und Patch-Prozess ist nicht souverän, nur weil es im eigenen Rechenzentrum läuft. Umgekehrt kann ein Cloud-basierter Dienst in bestimmten Szenarien vertretbar sein, wenn Datenklassifizierung, Vertragslage, Netzwerkpfade, Verschlüsselung, Protokollierung und technische Guardrails belastbar sind.

Ein zweites Missverständnis ist die Gleichsetzung von Souveränität mit vollständiger Unabhängigkeit. In moderner IT ist vollständige Unabhängigkeit selten realistisch. Souveränität bedeutet eher, Abhängigkeiten zu kennen, bewusst zu begrenzen und Alternativen vorzubereiten. Dazu gehören Standardschnittstellen, portable Datenformate, klare Modellabstraktionen und ein Betriebsmodell, das nicht nur auf einen Anbieter zugeschnitten ist.

Warum jetzt? Treiber und Kontext

Viele KI-Initiativen bewegen sich von Experimenten in produktive Arbeitsabläufe. Solange ein Team nur mit Beispieltexten testet, wirken Architekturfragen oft abstrakt. Sobald reale Kundendaten, interne Dokumente, Codebasen, Verträge, Tickets oder operative Tools eingebunden werden, ändern sich die Anforderungen. Dann geht es nicht mehr nur um Antwortqualität, sondern um Datenschutz, Nachvollziehbarkeit, Berechtigungen, Kosten, Latenz und Verantwortung.

Technisch werden KI-Anwendungen verteilter. Eine typische Lösung besteht nicht nur aus einem Modell. Häufig kommen Prompt-Orchestrierung, Retrieval, Vektordatenbanken, API-Gateways, Identity Provider, Logging, Evaluationsstrecken, Tool-Aufrufe und Agenten hinzu. Jeder Baustein kann Daten sehen, speichern, verändern oder weiterleiten. Dadurch entsteht eine Architekturfrage: Wo liegt der Kontrollpunkt, wenn ein KI-System über mehrere Plattformen und Datenräume verteilt ist?

Organisatorisch steigt der Druck, KI nicht als Sonderfall zu behandeln. Fachbereiche erwarten schnelle Unterstützung, Security verlangt belastbare Kontrollen, Datenschutz prüft Verarbeitungszwecke, Einkauf betrachtet Anbieterbindung, und IT-Management muss Betrieb und Kosten steuern. Ohne gemeinsame Architekturprinzipien entstehen Einzellösungen, die kurzfristig funktionieren, aber langfristig schwer kontrollierbar sind.

Ökonomisch ist Souveränität ein Trade-off. Mehr Kontrolle kann mehr Betriebsaufwand bedeuten: Infrastruktur, Modellbetrieb, Monitoring, Updates, Spezialwissen und Support müssen organisiert werden. Weniger Kontrolle kann dafür zu Abhängigkeiten, unklaren Datenflüssen oder eingeschränkter Verhandlungsposition führen. Die Aufgabe des IT-Managements ist deshalb nicht, pauschal "Cloud" oder "On-Premises" zu wählen, sondern eine belastbare Entscheidungslogik pro Workload zu etablieren.

Wie souveräne KI-Architekturen funktionieren

Souveräne KI-Architekturen beginnen mit Datenklassifizierung. Nicht jede Information braucht denselben Schutz. Öffentliche Produktinformationen, interne Prozessdokumentation, vertrauliche Verträge, personenbezogene Daten und Quellcode haben unterschiedliche Anforderungen. Eine tragfähige Architektur ordnet diese Datenklassen Verarbeitungswegen zu: welche Modelle erlaubt sind, welche Speicher genutzt werden dürfen, welche Logs entstehen und wie lange Daten aufbewahrt werden.

Der zweite Baustein ist eine kontrollierte Modell- und Laufzeitstrategie. Organisationen sollten nicht jede Anwendung direkt an ein einzelnes Modell oder einen einzelnen Provider koppeln. Sinnvoll ist eine Abstraktionsschicht, die Modellwahl, Richtlinien, Telemetrie und Fallbacks zentral steuerbar macht. Diese Schicht kann als internes KI-Gateway, Plattformservice oder kontrollierter API-Layer umgesetzt werden.

Typische Architekturkomponenten sind:

  • KI-Gateway für freigegebene Modellzugriffe, Richtlinien und Protokollierung
  • Identity- und Berechtigungsmodell für Nutzer, Anwendungen und Agenten
  • Datenklassifizierung mit erlaubten Verarbeitungsorten und Schutzmaßnahmen
  • Retrieval-Schicht mit Zugriffskontrolle auf Dokument- und Datensatzebene
  • Prompt- und Tool-Governance für wiederverwendbare, geprüfte Bausteine
  • Observability für Kosten, Latenz, Qualität, Fehler und Datenflüsse
  • Exit- und Portabilitätskonzept für Daten, Prompts, Embeddings und Workflows

Der dritte Baustein ist die Trennung von Vorschlag, Entscheidung und Ausführung. Viele KI-Systeme sind zunächst Assistenzsysteme: Sie fassen zusammen, klassifizieren, entwerfen oder empfehlen. Kritischer wird es, wenn Agenten Tickets schließen, Bestellungen anstoßen, Konfigurationen ändern oder Code modifizieren. Souveräne Architektur legt fest, wann menschliche Freigabe erforderlich ist, welche Tools ein Agent nutzen darf und wie Aktionen nachvollzogen oder zurückgerollt werden.

Auch der Datenfluss muss explizit modelliert werden. Ein Dokument, das in eine Vektordatenbank indexiert wird, kann später in ganz anderen Kontexten wieder auftauchen. Ein Prompt kann sensible Metadaten enthalten. Ein Log kann fachliche Informationen speichern, obwohl der eigentliche Modellaufruf flüchtig ist. Deshalb reicht es nicht, nur den Modellanbieter zu bewerten. Entscheidend ist der vollständige Pfad von Eingabe, Kontextaufbereitung, Modellaufruf, Tool-Nutzung, Ausgabe, Logging und Nachverarbeitung.

Praxis: Anwendungsfälle und Entscheidungslogik

Ein erster Use Case ist Wissensmanagement. Interne Richtlinien, Prozessdokumentationen und Betriebsanleitungen können per KI besser auffindbar werden. Wenn die Inhalte überwiegend intern, aber nicht hochkritisch sind, kann ein freigegebener Cloud-Dienst mit sauberem Zugriffskonzept ausreichen. Wenn Dokumente sensible Personal-, Kunden- oder Vertragsinformationen enthalten, sollte die Retrieval-Schicht stärker abgeschottet sein und nur berechtigte Inhalte in den Modellkontext gelangen.

Ein zweiter Use Case ist Softwareentwicklung. Coding-Assistenten und agentische Werkzeuge greifen auf Repositorys, Issues, Build-Logs und manchmal Infrastrukturkonfigurationen zu. Wenn nur lokale Vorschläge erzeugt werden, liegt der Schwerpunkt auf Codequalität, Lizenzrisiken und Datenabfluss. Wenn ein Agent Pull Requests erstellt oder Befehle ausführt, braucht es minimale Rechte, Sandbox-Ausführung, verpflichtende Reviews und klare Grenzen für Build-, Deployment- und Secret-nahe Änderungen.

Ein dritter Use Case ist Dokumenten- und Vertragsanalyse. Hier können KI-Systeme Zusammenfassungen, Risikoindikationen oder Vergleichsvorschläge liefern. Wenn die Dokumente vertraulich sind, ist der Verarbeitungsort zentral. Dann kann eine private Laufzeit, ein isolierter Mandant oder eine Architektur mit interner Vorverarbeitung sinnvoll sein. Wenn Entscheidungen rechtlich oder finanziell relevant sind, darf die KI nicht als alleinige Entscheidungsinstanz dienen, sondern muss nachvollziehbare Vorarbeit liefern.

Ein vierter Use Case sind operative Assistenten im IT-Service. Ein Assistent kann Incidents zusammenfassen, ähnliche Fälle suchen und nächste Schritte vorschlagen. Wenn er nur liest und Vorschläge macht, sind Zugriffskontrolle und Qualitätssicherung wichtig. Wenn er Systeme neu startet, Tickets eskaliert oder Konfigurationen ändert, gelten strengere Regeln: rollenbasierte Rechte, Freigabepunkte, Audit-Logs, Zeitlimits und ein Stoppschalter.

Die Entscheidungslogik sollte einfach genug sein, um in Architektur-Reviews genutzt zu werden. Wenn Daten niedrig klassifiziert, Nutzung häufig und Latenz wichtig ist, kann ein standardisierter Cloud-Pfad sinnvoll sein. Wenn Daten sensibel, regulatorisch relevant oder schwer anonymisierbar sind, sollte ein privater oder stärker kontrollierter Pfad geprüft werden. Wenn ein Workload strategisch wichtig ist und langfristig skaliert, sollten Portabilität, Kostenmodell und Exit-Fähigkeit früh bewertet werden. Wenn die Organisation den Betrieb eines privaten Modells nicht leisten kann, ist "selbst betreiben" keine automatische Verbesserung.

Risiken, Grenzen, Kontrollmechanismen

Das erste Risiko ist Scheinsouveränität. Eine Lösung wirkt kontrolliert, weil sie in einer privaten Umgebung läuft, aber Berechtigungen, Logs, Updates oder Datenkopien sind unklar. Gegenmaßnahmen sind ein vollständiges Datenflussdiagramm, technische Policy-Prüfungen, regelmäßige Architektur-Reviews und ein Inventar aller KI-Komponenten.

Das zweite Risiko ist Anbieterbindung. Wenn Prompts, Evaluationsdaten, Embeddings, Agenten-Workflows und Monitoring stark an eine Plattform gebunden sind, wird ein späterer Wechsel teuer. Gegenmaßnahmen sind lose Kopplung über ein KI-Gateway, dokumentierte Schnittstellen, exportierbare Datenformate, versionierte Prompts und regelmäßige Tests mit alternativen Modellpfaden.

Ein drittes Risiko liegt in schwacher Zugriffskontrolle. KI-Systeme dürfen keine Abkürzung um bestehende Berechtigungen werden. Besonders Retrieval-Systeme müssen Berechtigungen nicht nur beim Login, sondern bei jedem Dokumentzugriff berücksichtigen. Gegenmaßnahmen sind identitätsbasierte Abfragen, Rechteprüfung auf Dokumentebene, getrennte Indizes für Schutzklassen und Audit-Logs für Kontextzugriffe.

Sicherheitsrisiken entstehen auch durch Prompt Injection und Tool-Missbrauch. Untrusted Input aus Tickets, E-Mails, Dokumenten oder Webseiten kann Anweisungen enthalten, die ein Modell fehlleiten. Wenn das System zusätzlich Tools nutzen darf, kann daraus ein operatives Risiko werden. Gegenmaßnahmen sind Trennung von Daten und Instruktionen, erlaubte Tool-Listen, Sandbox-Ausführung, Freigaben vor wirksamen Aktionen und Monitoring aller Agentenschritte.

Compliance-Risiken entstehen, wenn Verarbeitungszwecke, Aufbewahrungsfristen oder Datenorte nicht klar definiert sind. Ein Modellaufruf ist nur ein Teil der Verarbeitung. Auch Indizes, Caches, Logs, Feedbackdaten und Evaluationssets müssen betrachtet werden. Gegenmaßnahmen sind Datenklassifizierung, Löschkonzepte, Datenschutzprüfung, vertragliche Klärung und technische Durchsetzung erlaubter Datenpfade.

Betriebsrisiken werden häufig unterschätzt. Private Modelle brauchen Updates, Kapazitätsplanung, Qualitätstests, Security-Patches, Monitoring und Support. Wenn diese Fähigkeiten fehlen, sinkt die Verlässlichkeit. Gegenmaßnahmen sind ein realistisches Betriebsmodell, klare Service-Level, Fallback-Pfade, Kostenmessung und begrenzte Pilotphasen mit Exit-Kriterien.

Eine Grenze bleibt: Souveräne KI-Architektur kann Zielkonflikte nicht auflösen, sondern nur transparent machen. Mehr Kontrolle kann Innovation verlangsamen, mehr Geschwindigkeit kann Kontrolle reduzieren, mehr Portabilität kann technische Komplexität erhöhen. Gute Architektur macht diese Trade-offs explizit und entscheidet sie pro Workload.

Umsetzung: 30-60-90-Tage-Plan

In den ersten 30 Tagen sollte Transparenz entstehen. Ziel ist nicht die perfekte Plattform, sondern ein gemeinsames Bild der bestehenden und geplanten KI-Nutzung.

  • KI-Use-Cases, Datenquellen, Modelle und Provider inventarisieren
  • Datenklassen und erlaubte Verarbeitungswege grob definieren
  • kritische Workloads mit personenbezogenen, vertraulichen oder Code-Daten markieren
  • bestehende Logs, Caches, Indizes und Feedbackdaten prüfen
  • Architekturprinzipien für KI-Gateway, Zugriffskontrolle und Modellwahl formulieren

Nach 60 Tagen sollte ein kontrollierter Zielpfad sichtbar werden. Dafür eignen sich zwei bis drei repräsentative Workloads, nicht ein abstraktes Plattformprojekt ohne Nutzerbezug.

  • Referenzarchitektur für einen Standardpfad und einen sensiblen Pfad entwerfen
  • KI-Gateway oder zentrale Zugriffsschicht pilotieren
  • Retrieval mit dokumentbezogener Berechtigungsprüfung testen
  • Modell-Routing, Logging und Kostenmessung einführen
  • Freigabeprozess für neue Datenquellen, Tools und Agentenaktionen definieren

Nach 90 Tagen sollte die Organisation entscheiden können, welche Muster verbindlich werden. Souveräne KI-Architektur muss dann in normale IT-Governance übergehen.

  • Architektur-Review für neue KI-Anwendungen verpflichtend machen
  • Policy-as-Code oder technische Kontrollen für erlaubte Datenpfade umsetzen
  • Exit-Fähigkeit für Prompts, Indizes, Evaluationsdaten und Workflows dokumentieren
  • Betriebsverantwortung, Support und Fallbacks für private Komponenten klären
  • wiederkehrende Reviews für Kosten, Qualität, Sicherheit und Anbieterabhängigkeit etablieren

Fazit

Souveräne KI-Architekturen sind kein Selbstzweck und kein pauschales Argument gegen Cloud-Dienste. Sie helfen Organisationen, KI-Nutzung bewusst zu steuern: nach Schutzbedarf, Nutzen, Kosten, Betriebsfähigkeit und Abhängigkeiten. Der wichtigste Schritt ist eine klare Entscheidungslogik pro Workload, nicht die Suche nach einer einzigen Universalplattform. Wer Datenflüsse, Modellzugriffe, Berechtigungen und Betriebsverantwortung transparent macht, kann KI schneller und kontrollierter in produktive Prozesse bringen.

Wenn du KI-Architekturen in deiner Organisation planst, diskutiere früh mit IT, Security, Datenschutz und Fachbereichen, welche Daten welchen Verarbeitungsweg wirklich brauchen.

Zurück