Wie Betreibermodelle die Lücke zwischen Innovation und Kontrolle schließen.

Illustration Absmeier foto freepik ki

Künstliche Intelligenz ist ein entscheidender Wettbewerbsfaktor, aber die Nutzung von Public-Cloud-Modellen birgt für regulierte Branchen und Unternehmen mit sensiblen Daten erhebliche Risiken. Die Lösung liegt in hybriden Ansätzen, die physische Kontrolle mit professionellem Betrieb verbinden und so den Weg für eine sichere, souveräne KI-Nutzung ebnen.

Ein mittelständischer Maschinenbauer will seine Produktionsdaten per KI analysieren, um die Wartung zu optimieren. Ein forschendes Pharmaunternehmen möchte sensible Studienergebnisse nutzen, um neue Wirkstoffe zu identifizieren. Ein Energieversorger plant, sein Netz mit KI-Unterstützung gegen Ausfälle zu härten. Sie alle stehen vor derselben strategischen Herausforderung: Der Einsatz von künstlicher Intelligenz ist für die zukünftige Wettbewerbsfähigkeit unerlässlich, doch die Verarbeitung der dafür nötigen Daten auf externen, nicht kontrollierbaren Plattformen ist ein No-Go. Zu groß ist die Gefahr des Datenabflusses, des Know-how-Verlusts und von Compliance-Verstößen.

Das Potenzial ist erkannt: 41 Prozent der Unternehmen, die bereits KI nutzen, bestätigen deren positiven Einfluss auf die Produktivität [1]. Gleichzeitig zeigt sich eine kritische Abhängigkeit: Die Mehrheit der deutschen Unternehmen ist nach eigener Einschätzung weitgehend oder vollkommen von Technologien aus Nicht-EU-Ländern abhängig [1]. Viele Unternehmen stehen daher vor der Frage, wie sie ihre wertvollsten Daten, ihre Kronjuwelen, für KI-Anwendungen nutzen können, ohne die Kontrolle darüber zu verlieren. Die zentrale Frage ist also nicht ob, sondern wie Unternehmen KI sicher und souverän nutzen können. Die Antwort liegt nicht in der Software allein, sondern auch im Fundament, auf dem sie läuft: der IT-Infrastruktur.

Von der Blackbox zur eigenen Werkbank: Warum souveräne KI eine souveräne Infrastruktur braucht

Die Risiken sind bekannt: Jede Eingabe in ein öffentliches KI-Modell verlässt den geschützten Unternehmenskontext und kann potenziell gespeichert, analysiert oder für das Training der Modelle verwendet werden. Ein oft übersehenes technisches Detail verschärft das Problem: die sogenannte Verschlüsselungslücke. Während Daten im Ruhezustand (Data at Rest) und während des Transports (Data in Transit) heute standardmäßig verschlüsselt sind, müssen sie für die aktive Verarbeitung durch eine KI entschlüsselt werden. In diesem Zustand (Data in Use) sind sie am verwundbarsten. Zwar gibt es technische Ansätze wie Confidential Computing, die auch hier Schutz bieten sollen, doch deren Implementierung ist komplex und noch nicht flächendeckend verfügbar. Wer die Infrastruktur kontrolliert, auf der die Daten verarbeitet werden, kann ohne zusätzliche Schutzmaßnahmen potenziell Zugriff erlangen.

Um die Kontrolle zurückzugewinnen, müssen Unternehmen also die Verarbeitung ihrer sensiblen Daten auf einer Infrastruktur sicherstellen, die sie selbst kontrollieren. Für die rechenintensive KI-Nutzung bedeutet das, eine souveräne Rechenleistungsumgebung zu schaffen. Grundsätzlich gibt es dafür drei Wege, die sich in Bezug auf Kontrolle, Kosten und Komplexität fundamental unterscheiden:

Kriterium	Public Cloud	Eigenes Rechenzentrum	Onsite Colocation
Physische Kontrolle	Beim Anbieter	Vollständig	Vollständig
Datenhoheit	Vertraglich geregelt	Vollständig	Vollständig
Investitionsmodell	OpEx (Pay-as-you-go)	CapEx + OpEx	OpEx (Fixpreis)
Skalierbarkeit	Hoch, on-demand	Begrenzt, planungsintensiv	Modular erweiterbar
Compliance-Kontrolle	Abhängig vom Anbieter	Vollständig	Vollständig
Betriebsverantwortung	Anbieter	Eigenes Personal	Dienstleister
Latenz	Variabel, standortabhängig	Minimal (lokal)	Minimal (lokal)
Vendor Lock-in	Hoch	Nein	Mittel*
Eignung für…	Standardanwendungen, unkritische Daten	Konzerne mit RZ-Expertise, höchste Anforderungen	Regulierte Branchen, Mittelstand, KRITIS

*Bei Onsite Colocation gehört die Hardware meist dem Dienstleister; ein Wechsel ist möglich, aber mit Aufwand verbunden.

Die Public Cloud bietet zwar eine einfache und schnell skalierbare Lösung, doch sie ist für sensible Daten und regulierte Branchen oft keine Option. Die physische und logische Kontrolle über die Verarbeitungsumgebung liegt beim Anbieter. Der Eigenbetrieb eines Rechenzentrums bietet zwar maximale Kontrolle, ist aber für die meisten Unternehmen eine untragbare Belastung. Die Investitionskosten (CapEx) für Bau, Sicherheit und Technik sind enorm, ebenso die Betriebskosten (OpEx) für Energie, Wartung und hochqualifiziertes Personal, das rund um die Uhr verfügbar sein muss.

Der dritte Weg bietet sich an: ein hybrides Modell, das die Vorteile beider Welten vereint. Es basiert auf dem Gedanken, die physische Kontrolle über die Infrastruktur im eigenen Haus zu behalten, den komplexen Betrieb aber an einen spezialisierten Dienstleister auszulagern.

Das Betreibermodell: Souveränität als Service

Die zentrale Frage lautet also: Wie können Unternehmen die für KI notwendige Rechenleistung souverän betreiben, ohne selbst zum Rechenzentrumsbetreiber zu werden? Die Antwort liegt in einem Ansatz, der als Onsite Colocation-Betreibermodell bekannt ist. Die Idee ist einfach, aber wirkungsvoll: Die Rechenzentrumsinfrastruktur wird auf dem eigenen Unternehmensgelände errichtet, verbleibt also in der physischen Kontrolle des Unternehmens. Der gesamte Betrieb, von der Wartung über die Überwachung bis hin zur Einhaltung von Compliance-Vorgaben, wird jedoch als Service von einem spezialisierten Dienstleister übernommen.

Dass dieser Ansatz in der Praxis funktioniert, zeigt ein aktuelles Beispiel aus einer der am stärksten regulierten Branchen Deutschlands. Die Commerz Real, ein Vermögensverwalter für Sachwerte der Commerzbank Gruppe, stand vor der Herausforderung, ihre IT-Infrastruktur zu modernisieren und gleichzeitig strengste regulatorische Anforderungen der BaFin und der EU-Verordnung DORA (Digital Operational Resilience Act) zu erfüllen. Eine Auslagerung in eine Public Cloud kam nicht infrage.

Die Lösung: An den Standorten Wiesbaden und Düsseldorf wurde in Zusammenarbeit mit dem Rechenzentrumsspezialisten Prior1 Colocation & Services je eine IT-Verkettung aus drei hochsicheren Mini-Rechenzentren, sogenannten IT-Safes, realisiert. Die Commerz Real behält die volle Datenhoheit, profitiert aber von einer hochverfügbaren und nach EN 50600 TÜV-zertifizierten Infrastruktur, ohne eigenes Personal für den komplexen 24/7-Betrieb vorhalten zu müssen. Das Betriebskonzept ist so ausgelegt, dass das Unternehmen selbst an Wochenenden nicht auf Störungen reagieren muss. Die Umsetzung erfolgte im laufenden Betrieb und unter Einhaltung eines ambitionierten Zeitplans.

Mehr als nur ein Case: Ein Modell für den Mittelstand

Dieses Modell ist keineswegs auf die Finanzbranche beschränkt. Im Gegenteil: Es ist besonders relevant für den deutschen Mittelstand und alle Organisationen, die mit sensiblen Daten arbeiten und gleichzeitig auf eine hochverfügbare IT angewiesen sind. Dazu gehören Krankenhäuser, die Patientendaten schützen müssen, Industrieunternehmen mit wertvollen Konstruktions- und Produktionsdaten, Energieversorger als Betreiber kritischer Infrastrukturen (KRITIS) oder die öffentliche Verwaltung, die die digitale Souveränität des Staates gewährleisten muss.

Die Vorteile liegen auf der Hand:

Maximale Souveränität: Die Daten verlassen das eigene Gelände nicht.
Volle Compliance: Das Modell ist darauf ausgelegt, die strengen Anforderungen regulierter Branchen zu erfüllen.
Professioneller Betrieb: Spezialisierte Dienstleister garantieren eine hohe Verfügbarkeit und Resilienz.
Kostenkontrolle: Statt hoher Anfangsinvestitionen (CapEx) fallen planbare monatliche Betriebskosten (OpEx) an.
Fokus auf das Kerngeschäft: Unternehmen werden von den komplexen Betreiberpflichten entlastet.

Wo Onsite Colocation an Grenzen stößt

So überzeugend das Modell für viele Anwendungsfälle ist, es ist kein Allheilmittel. Für Unternehmen, die schnell skalieren müssen oder deren Rechenlast stark schwankt, bietet die Public Cloud nach wie vor Vorteile. Auch für Start-ups oder kleinere Unternehmen ohne eigene Immobilien ist das Modell nicht geeignet. Die Investition lohnt sich vor allem ab einer gewissen Größe und bei planbarem, konstantem Rechenbedarf. Zudem bleibt eine gewisse Abhängigkeit vom Dienstleister bestehen, auch wenn die Infrastruktur physisch im eigenen Haus steht. Die Entscheidung für oder gegen Onsite Colocation sollte daher immer auf einer sorgfältigen Analyse der eigenen Anforderungen, Risiken und langfristigen Strategie basieren.

Fazit: Souveränität ist eine Frage der Infrastruktur

Die aktuelle Diskussion um künstliche Intelligenz und Datenhoheit ist mehr als eine technische Debatte. Sie ist ein Weckruf für die deutsche Wirtschaft. In einer geopolitisch unsicheren Welt, in der Daten zur strategischen Ressource geworden sind, ist digitale Souveränität kein Luxus, sondern eine Notwendigkeit. Der Weg in die KI-gestützte Zukunft führt nicht über eine blinde Auslagerung von Verantwortung, sondern über eine bewusste und strategische Gestaltung der eigenen digitalen Infrastruktur. Modelle wie die Onsite Colocation zeigen, dass sich Souveränität und Spezialisierung, physische Nähe und professioneller Betrieb, Innovation und Sicherheit intelligent miteinander verbinden lassen. Sie sind die Werkbank, auf der Unternehmen ihre eigenen, souveränen KI-Lösungen schmieden können.

Foto: Prior1 (c)

Thomas Görres, Geschäftsführer bei Prior1 Colocation & Services

[1] https://www.dihk.de/de/newsroom/-digitale-souveraenitaet-deutscher-unternehmen-ausschlaggebend-fuer-standort–163656

1138 Artikel zu „Souveränität“

News | Business | Cloud Computing | Digitalisierung | Favoriten der Redaktion | Geschäftsprozesse | IT-Security | Rechenzentrum | Services | Strategien

Digitale Souveränität gemeinsam gestalten: BSI und Schwarz Digits schließen strategische Partnerschaft

16. Februar 2026

Das BSI und Schwarz Digits kooperieren bei der Entwicklung souveräner Cloud-Lösungen für die öffentliche Verwaltung. Die Partner entwickeln Kontrollschichten und sichere Cloud-Systeme auch für kritische Daten. Souveräne Infrastruktur sichert die Handlungsfähigkeit gegen hybride Bedrohungen und verhindert Vendor Lock-ins. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Schwarz Digits, die IT- und Digitalsparte der…