KI einsetzen und dabei Daten schützen – viele Unternehmen wissen nicht, welche Sicherheitsmodelle es gibt. Sie können KI-Modelle in der Cloud nutzen, über Third-Party-Anbieter absichern oder selbst hosten. Die drei Ansätze unterscheiden sich aber stark in Kosten, Aufwand und Sicherheitsniveau. Ein zentrales Risiko bleibt: Daten liegen während der Verarbeitung im Arbeitsspeicher im Klartext vor.
KI einsetzen und Daten schützen: Welche Optionen gibt es und wie sicher sind sie? Wir zeigen drei KI-Sicherheitsansätze im Vergleich.
Bei der KI-Nutzung fehlt häufig ein Verständnis dafür, welche grundlegenden Sicherheitsmodelle es gibt. Die drei wichtigsten Ansätze bieten verschiedene Schutzmechanismen und unterscheiden sich stark hinsichtlich Kosten, Aufwand und Skalierbarkeit.
KI einsetzen wollen mittlerweile fast alle Unternehmen und Organisationen. Wie sich das aber so umsetzen lässt, dass Daten dabei bestmöglich geschützt sind, ist für viele gar nicht so leicht zu beantworten. An Empfehlungen mangelt es nicht. Was aber häufig zu fehlen scheint, ist ein Verständnis der grundlegenden Sicherheitsansätze. Diese unterscheiden sich nämlich stark in puncto Aufwand, Risiken und Skalierbarkeit. Umso entscheidender ist es, sie zu kennen und einordnen zu können, um auf dieser Basis gute Entscheidungen treffen zu können.
Drei solcher grundlegenden Ansätze gibt es derzeit, die sich wiederum in weitere Unterkategorien clustern lassen. Im Folgenden eine Übersicht einschließlich ihrer jeweiligen Vor- und Nachteile.
Bei diesem Ansatz werden KI-Modelle in Public Clouds genutzt, zum Beispiel OpenAI-Modelle über Microsoft Azure oder Anthropic-Modelle über AWS oder Google Cloud. Innerhalb dieses Ansatzes gibt es wiederum eine große Bandbreite an Sicherheitsstufen. Die niedrigste ist die direkte Nutzung cloudbasierter KI-Dienste ohne zusätzliche Absicherung, unabhängig davon, ob dies über eine API, eine Web-Oberfläche oder eine integrierte Anwendung geschieht. In diesem Fall hat der Nutzer kaum technische Kontrolle über die Ausführungsumgebung und verlässt sich im Wesentlichen auf vertragliche Zusagen, interne Prozesse und Compliance-Rahmen der Anbieter. Alle US-basierten Dienste unterliegen zudem dem US CLOUD Act, unabhängig davon, wo die Daten physisch gespeichert oder verarbeitet werden.
Eine höhere Sicherheitsstufe innerhalb dieses cloudbasierten Ansatzes entsteht durch Audits und Zertifizierungen unabhängiger Prüfer. Solche Nachweise erhöhen die Transparenz, bestätigen definierte Sicherheitskontrollen und schaffen Vertrauen. Sie ersetzen jedoch keine technische Absicherung der Laufzeitumgebung. Vor allem schließen sie keine Risiken aus, die während der Verarbeitung entstehen, da Prüfende weder Einblick in laufende Workloads noch Kontrolle über den Umgang mit Klartextdaten im Arbeitsspeicher haben.
Die höchste Sicherheitsstufe innerhalb dieses Ansatzes sind cloudbasierte Lösungen, die Confidential Computing nutzen, auch Confidential AI genannt. Dabei läuft die KI-Verarbeitung in einer hardware-isolierten Umgebung, in der Daten selbst während der Verarbeitung nicht im Klartext einsehbar sind. In Kombination mit Remote Attestation und clientseitiger Verschlüsselung bedeutet das: Weder der Infrastrukturbetreiber noch der Service Provider oder der Modellanbieter können auf Daten im Klartext zugreifen. Beispiele solcher Modelle sind Apples Private Cloud Compute oder Googles Private AI Compute sowie weitere unabhängige Dienste, die auf Confidential-Computing-fähigen CPUs oder GPUs laufen und dadurch eine abgeschottete, auch zur Laufzeit geschützte KI-Verarbeitung ermöglichen.
Ansatz 2: Third-Party-Anbieter für mehr Sicherheit
Bei diesem ebenfalls cloudbasierten Ansatz soll eine vorgelagerte Sicherheitskomponente den Zugriff auf sensible Daten verhindern. Beispiele sind Privacy-Anbieter wie Nenna.ai. Diese Systeme analysieren Daten lokal, bevor sie an ein KI-Modell gesendet werden, und anonymisieren, filtern oder tokenisieren sensible Inhalte. Dieses Vorgehen erscheint sinnvoll, hat aber Schwächen. Es eignet sich eigentlich nur für Fälle, bei denen ausschließlich personenbezogene Daten entfernt werden müssen, während der übrige Kontext unkritisch ist. Sobald der Kontext insgesamt Rückschlüsse auf sensible Informationen zulässt – was beispielsweise in internen Dokumenten von Unternehmen meist der Fall ist – kommt so ein Filter an seine Grenzen. Und werden zu viele Informationen unkenntlich gemacht, wird das Ergebnis schnell unbrauchbar.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Innerhalb dieses zweiten Ansatzes finden sich auch die meisten „AI Wrapper”, also SaaS-Dienste, die ein eigenes Interface vor bestehende KI-Modelle setzen und deren Nutzung orchestrieren. Solche Anbieter investieren häufig in klassische IT-Sicherheitsmaßnahmen wie Segmentierung, isolierte Kundeninstanzen, gehärtete Hosts, restriktive IAM-Konzepte, MFA, WAF, kontinuierliches Monitoring mit SIEM und EDR sowie Verschlüsselung im Ruhezustand und im Transport. Wirksam sind diese Sicherheitsmaßnahmen aber natürlich nur, wenn sie vollständig und fehlerfrei umgesetzt werden. Darauf müssen Kunden dieser Anbieter vertrauen, und nicht immer geht das gut. Der massive Sicherheitsvorfall bei Localmind im Oktober 2025 hat das deutlich gezeigt.
Unabhängig von der Stärke der vorhandenen Sicherheitsmaßnahmen bei all diesen Drittanbieter-Lösungen bleibt eine zentrale Lücke bestehen: Bei der Ausführung eines KI-Modells müssen Daten im Arbeitsspeicher entschlüsselt vorliegen. Diese In-Use-Phase ist mit herkömmlichen Maßnahmen nicht absicherbar, sodass Risiken durch kompromittierte Hostsysteme, Schwachstellen in der Laufzeitumgebung oder privilegierte technische Zugriffe bestehen bleiben.
Beim Self-Hosting-Ansatz betreiben Unternehmen KI-Modelle selbst, entweder on-premise, on-device oder in einer Private Cloud. Viele Enterprise-orientierte KI-Anbieter bieten solche Optionen an, etwa Cohere, Mistral oder Aleph Alpha. Dieser Ansatz ist für bestimmte Anwendungen sinnvoll, für die meisten Anwendungsfälle ist er aber nicht praktikabel.
On-premise-Lösungen sind teuer, komplex in der Implementierung und im Betrieb und erfordern spezialisierte Teams. Dazu kommt, dass die Hardware schnell veraltet. On-device-Ansätze scheitern meist an der verfügbaren Rechenleistung und eignen sich daher praktisch nur für kleine Modelle, nicht für große LLMs oder anspruchsvolle Unternehmensanwendungen.
Private-Cloud-Umgebungen wirken auf den ersten Blick wie ein sinnvoller Mittelweg zwischen Public Cloud und lokalem Deployment, sind in der Praxis aber fast immer fragwürdig. Der Cloud-Betreiber behält weiterhin privilegierten Zugriff auf die Infrastruktur, das grundlegende Vertrauensmodell ändert sich also nicht. Gleichzeitig steigen Aufwand und Kosten deutlich. Für die meisten Unternehmen ist dieser Ansatz daher weder wirtschaftlich noch sicherheitstechnisch die beste Wahl.
Alle drei Ansätze haben grundsätzlich ihre Berechtigung, aber nicht jeder für jeden Use Case. Für viele Unternehmen ist ein Weg am sinnvollsten, der hohe technische Sicherheit mit der Praktikabilität der Cloud verknüpft. Confidential AI, wie in Ansatz 1 beschrieben, bietet das. Confidential-AI-Modelle reduzieren das zentrale In-Use-Risiko und bleiben gleichzeitig flexibel und skalierbar. Sie erlauben es zudem, kombinierte Infrastrukturen aufzubauen: LLM-Hubs, in denen je nach Datenklasse und Anwendungsfall entschieden wird, ob die Verarbeitung lokal erfolgen muss, abgesichert in der CLoud stattfinden kann oder - wenn keine sensiblen Daten vorliegen – sogar ohne zusätzliche Absicherung in den gängigen Tools wie ChatGPT verarbeitet werden. Auf diese Weise ist die KI-Nutzung sicher, aber auch für kleinere Unternehmen, Behörden und Organisationen bezahlbar und umsetzbar.
Über den Autor: Felix Schuster ist Gründer und Geschäftsführer von Edgeless Systems, einem Unternehmen für Cloud- und KI-Sicherheit aus Bochum. Nach Studium und Promotion in IT-Sicherheit arbeitete er bei Microsoft Research, bevor er 2020 Edgeless Systems mit Fokus auf Confidential Computing gründete.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b9/91/b991bd81f0235828d2b7b3f2bd25b322/0129914165v2.jpeg "Open Source ermöglicht durch Transparenz kontinuierliche Community-Überprüfung der Software-Lieferkette. Software Bills of Materials machen alle Komponenten nachvollziehbar. Nur wer seine Supply Chain kennt, kann sie auch schützen. (Bild: © KanawatTH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/c2/93c217f8c3dfcc30929e572b9256ebd0/0129912533v2.jpeg "Ein gezielter Angriff auf ein Fertigungsunternehmen zeigt: Selbst mit KI-Erkennung im Einsatz kann ein Ransomware-Angriff durchschlagen, wenn die Verteidigung nicht automatisiert eingreift. (Bild: © Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/08/4108543f2d90eb885b978ddfe9a41e01/0129915774v4.jpeg "KI einsetzen und Daten schützen: Welche Optionen gibt es und wie sicher sind sie? Wir zeigen drei KI-Sicherheitsansätze im Vergleich. (Bild: © paripat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/c1/5ec1a50d8d17b2038b5e8330a5e193d6/0129923595v2.jpeg "Die Sicherheitsbehörden aus den USA, UK, Neuseeland, Australien und Kanada warnen vor Angriffen auf Cisco Catalyst SD-WAN. Wenige Angriffe laufen bereits. (©Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/e0/f7e04a8bb9ca542c7fe162788b8e59a1/0129964725v1.jpeg "Prepare. Protect. Perform. Die ISX 2026 liefert relevante und praxisnahe Inhalte für Informationssicherheitsbeauftragte, CISOs und Security-Experten. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/09/bb/09bb394c678741a7991266263d76cb47/0129901892v2.jpeg "Crowdstrike und Schwarz Digits gehen eine strategische Partnerschaft ein:
(v. l.) Christian Müller, Co-CEO von Schwarz Digits; Daniel Bernard, Chief Business Officer bei CrowdStrike; Rolf Schumann, Co-CEO von Schwarz Digits (Bild: Crowdstrike)")
:quality(80)/p7i.vogel.de/wcms/07/5c/075ce15538303055047431eafabf0121/0129531873v1.jpeg "Commvault-CPO Rajiv Kottomtharayil: „Unternehmen müssen Cyberangriffen, die zunehmend auf Backup-Umgebungen abzielen, einen Schritt voraus sein.“ (Bild: Commvault)")
:quality(80)/p7i.vogel.de/wcms/04/92/049241d64160979bbcff397d28d51bd2/0129753548v2.jpeg "Cyberkriminelle nutzen die Content-Type-Confusion-Schwachstelle aus, indem sie manipulierte Webhook-Requests mit falschem Content-Type senden und darüber ein gefälschtes „files“-Objekt einschleusen. So können sie lokale Dateien und Secrets auslesen und Schadcode schmuggeln. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/7d/f37dc8c76ed53109bcb9f0685833b476/0129556118v1.jpeg "Die neue App soll Unternehmen helfen, die eigene Krisen-Resilienz zu überprüfen. (Bild: © Wanan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/8d/728dab2675f137b5fbc4a34a78fc1229/0129736660v2.jpeg "Forschende der ETH Zürich hätten mit eigenen Servern insgesamt 25 Angriffe auf die Passwortmanager von Bitwarden, Lastpass und Dashlane demonstrieren können, bei denen schon normale Browseraktionen ausgereicht hätten, um Tresore zu kompromittieren Passwörter auszulesen. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/6f/796f58c5fdc82409d32656596b85f091/0129978261v2.jpeg "Das Centro in Oberhausen sowie das Westfield in Hamburg sind auf ähnliche Weisen attackiert worden. (Bild: anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/58/f5/58f5c3936feb20a7cd0d61352fca0f9c/0125173413v2.jpeg "Confidential Computing ermöglicht es Unternehmen, Daten in ein Modell der generativen KI einzugeben und die Daten sicher zu verarbeiten, ohne dass sie nach außen dringen. (Bild: © artchvit - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/9b/469be584a115dcf10699809b594f5bf4/0112150345v1.jpeg "Confidential-Computing-Lösungen befinden sich derzeit noch in der Entwicklung. Es gibt auch einige wenige Anbieter, die ihren Quellcode offenlegen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/8e/c4/8ec40b3d77ee22e608ef4186f793790e/0128823793v1.jpeg "Verschlüsselte KI-Interaktionen über eine GenAI-Firewall sollen den Austausch mit Sprachmodellen ermöglichen, ohne dass sensible Unternehmensdaten die geschützte Ausführungsumgebung verlassen. (Bild: © Saulo Collado - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/c7/59c7b27ad6fd9fab75d21cd3337cc1d5/0122753877v1.jpeg "Confidential Computing zieht eine zusätzliche Sicherheitsebene ein und verschlüsselt Daten während der Laufzeit, indem Workloads in isolierten, hardwareverschlüsselten Umgebungen oder vertrauenswürdigen Umgebungen ausgeführt werden. (Bild: Gefo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1f/77/1f776e33a8b7268ea99a5ef15848b1db/0129545820v2.jpeg "Confidential Computing schließt die letzte Sicherheitslücke der Cloud: Daten bleiben durch Hardware-Enklaven auch während der Verarbeitung verschlüsselt – selbst vor Cloud-Providern und Administratoren. (Bild: © diowcnx - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8a/a7/8aa7ba492cfcdc537043a01cd639616e/0117480440.jpeg "Stackit bietet ab sofort gemeinsam mit Edgeless Systems Confidential-Computing-Lösungen an. (Bild: STACKIT)")
:quality(80)/p7i.vogel.de/wcms/18/cb/18cb769984d8b9e3d2622687354f3e40/0125831551v1.jpeg "Vertraulich gesichert: Confidential Computing soll rundum Schutz in der Cloud bieten. Mit 3D-Verschlüsselung bleiben Daten vor unerlaubtem Zugriff geschützt, selbst bei der Verarbeitung. (Bild: © Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8e/c4/8ec40b3d77ee22e608ef4186f793790e/0128823793v1.jpeg "Verschlüsselte KI-Interaktionen über eine GenAI-Firewall sollen den Austausch mit Sprachmodellen ermöglichen, ohne dass sensible Unternehmensdaten die geschützte Ausführungsumgebung verlassen. (Bild: © Saulo Collado - stock.adobe.com)")