Von PRISM zu Prompts: Die neue KI-Abhängigkeit

Es ist noch gar nicht so lange her, da war PRISM ein Schock. Edward Snowden zeigte 2013, wie zentralisiert das Internet bereits war: Wenn E-Mails, Chats, Dateien, Fotos und Kontakte bei wenigen grossen Plattformen liegen, werden genau diese Plattformen zu strategischen Zugangspunkten.

Heute ist die Situation seltsam verdreht. Niemand muss uns zwingen, Kontext in zentrale Systeme zu legen. Wir tun es freiwillig, weil es nützlich ist. Wir lassen KI eine schwierige E-Mail umformulieren, Meeting-Notizen zusammenfassen, interne Dokumente erklären, Code reviewen oder eine Präsentation strukturieren.

Das ist nicht dumm. Es funktioniert. Genau deshalb ist es so mächtig.

Von PRISM zum Prompt

Man muss PRISM sauber einordnen. Es war nicht einfach “die NSA liest pauschal alles von allen”. Die offiziellen Berichte beschreiben einen Mechanismus im Rahmen von Section 702, bei dem US-Anbieter durch rechtliche Anweisungen Daten zu bestimmten Selektoren liefern mussten. Trotzdem war der politische Schock berechtigt. Der Punkt war nicht nur die konkrete Rechtsgrundlage. Der Punkt war: Das Internet, das wir uns gerne als frei und verteilt vorgestellt hatten, war in der Praxis an wenigen Stellen sehr gut anzapfbar.

Heute geben wir viele dieser Daten freiwillig in Systeme, die noch tiefer in unsere Arbeit eingreifen.

Dabei bleibt es nicht beim Kopieren eines Textes in ein Eingabefeld. Die neue Stufe sind Connectoren und Agenten. ChatGPT kann Apps und eigene MCP-basierte Integrationen anbinden. Microsoft 365 Copilot holt sich Kontext aus Microsoft Graph und externen Quellen, wahlweise indexiert oder live über Connectoren. Claude bietet Integrationen zu Google Drive, Gmail, GitHub, Slack und Microsoft 365. Gemini sitzt direkt in Gmail, Docs, Drive, Sheets, Slides und Meet. GitHub Copilot kann eine Codebasis als Kontext nutzen, damit man sie schneller versteht.

Viele Anbieter schreiben für Business- und Enterprise-Produkte inzwischen ausdrücklich, dass Kundendaten nicht standardmässig zum Training der Foundation-Modelle genutzt werden. Das ist wichtig und fairerweise ein echter Unterschied zu manchem Bauchgefühl.

Aber selbst wenn diese Zusagen stimmen, bleibt das strukturelle Problem bestehen: Zugriff, Kontextaufbereitung, Rechteauswertung, UI, Orchestrierung und Abrechnung laufen wieder über wenige Plattformen.

Wir geben nicht nur Daten ab. Wir gewöhnen uns daran, dass Arbeit durch diese Plattformen hindurch stattfindet.

Die neue Abhängigkeit heisst Bequemlichkeit

Diese Abhängigkeit fällt nicht vom Himmel. Wir leben schon lange mit ihr.

Auf dem Desktop ist Windows seit Jahrzehnten prägend, macOS spielt vor allem in kreativen, privaten und Entwickler-Umgebungen eine wichtige Rolle, und auf dem Smartphone teilen sich Android und iOS praktisch den Alltag. In der Cloud dominieren AWS, Microsoft Azure und Google Cloud weite Teile der Infrastruktur. Dazu kommen Office-Suiten, App-Stores, Identity-Systeme, Browser, Suchmaschinen, Git-Plattformen und Werbenetzwerke.

Ich meine das nicht antiamerikanisch. Viele dieser Produkte sind stark, stabil und gut gebaut. Und ja: Ich lebe heute in Dubai, habe auch Zeit in den USA verbracht und bewege mich inzwischen viel im asiatischen und nahöstlichen Raum. Aber ein grosser Teil meines Lebens war in Europa, meine Wurzeln sind europäisch, und gerade weil ich mich als weltoffen verstehe, stört mich diese technologische Einseitigkeit.

Wenn Betriebssystem, Cloud, Produktivitätssuite und KI-Assistent aus demselben geopolitischen Raum kommen, ist das mehr als ein Einkaufsthema. Es ist digitale Souveränität.

Mich macht dabei auch die aktuelle politische Lage in den USA nervös. Nicht, weil jedes Treffen zwischen Regierung und Wirtschaft problematisch wäre; grosse Unternehmen sprechen immer mit Regierungen. Mulmig wird es mir dort, wo eine zunehmend autoritäre politische Tonlage auf konzentrierte technische Infrastruktur trifft: wenn der Präsident CEOs grosser Tech-Konzerne öffentlich antreten lässt, Investitionszusagen einfordert und Themen wie Exportkontrollen, Zölle, Visa, Energie und Regulierung eng miteinander verknüpft. Dann wird technische Konzentration zu einem politischen Betriebsrisiko. Ich möchte Unternehmensdaten nicht in einer Infrastruktur wissen, die nicht nur kommerziell, sondern auch politisch so direkt adressierbar ist.

Ganz neu ist dieser Gedanke nicht. Lord Palmerston sagte 1848 im britischen Unterhaus:

We have no eternal allies, and we have no perpetual enemies. Our interests are eternal and perpetual.

Der Satz wird heute oft in der verkürzten Form wiederholt, Staaten hätten keine Freunde, sondern Interessen. Man muss das nicht zynisch mögen, aber man sollte es technisch ernst nehmen. Cloud- und KI-Infrastruktur ist nicht ausserhalb von Politik. Sie steht in Ländern, unterliegt Gesetzen, braucht Energie, Chips, Exportlizenzen, Visa, Kapitalmärkte und Regierungskontakte.

Das sieht man nicht nur in den USA. In Grossbritannien wurde Apple 2025 nach Medienberichten mit einer Technical Capability Notice konfrontiert, die auf Zugriff auf verschlüsselte iCloud-Daten zielte. Apple zog daraufhin Advanced Data Protection für neue Nutzer im UK zurück, statt eine Hintertür in dieses Produkt einzubauen. Das ist genau der Punkt: Selbst wenn ein Anbieter technisch gute Schutzmechanismen baut, kann ein Staat versuchen, diese Schutzmechanismen politisch oder rechtlich aufzubrechen.

In den USA kennen wir mit dem Patriot Act seit 2001 ohnehin einen Sicherheitsrahmen, der nach 9/11 staatliche Befugnisse deutlich erweitert hat. Der CLOUD Act kam 2018 dazu und regelt, wie elektronische Daten von Anbietern unter bestimmten Voraussetzungen auch über Landesgrenzen hinweg herausverlangt werden können. Das heisst nicht, dass jeder Anbieter böse ist oder jede Behörde jederzeit alles liest. Aber es heisst: Wir wissen als Kunden oft nicht vollständig, was mit Prompts, abgerufenen Dokumenten, Connector-Metadaten, Logs, Support-Zugriffen oder rechtlichen Herausgabeverlangen wirklich passiert.

KI verschärft diese Lage, weil sie eine andere Rolle einnimmt als frühere Software. Ein Betriebssystem startet Programme. Eine Cloud hostet Workloads. Eine Office-Suite speichert Dokumente. Ein KI-Assistent aber tritt zwischen mich und meine Arbeit. Er formuliert, priorisiert, fasst zusammen, schlägt Code vor, sortiert Informationen und entscheidet mit, was mir überhaupt als relevant erscheint.

Damit wird die Abhängigkeit intimer. Früher war die Plattform der Ort, an dem Daten lagen. Heute wird sie zunehmend der Ort, an dem Arbeit gedacht wird.

USA, China und das europäische Dilemma

Das sieht man im KI-Rennen gerade sehr klar. Die USA und China liefern sich einen echten Wettlauf: Modelle, Chips, Cloud-Kapazität, Robotik, Forschung, Kapital, staatliche Industriepolitik. Der Stanford AI Index beschreibt, dass der Leistungsabstand zwischen US- und chinesischen Spitzenmodellen praktisch geschlossen ist.

Ich glaube, KI wird als Infrastruktur ähnlich wichtig wie das Stromnetz. Nicht, weil jedes Chatfenster weltbewegend wäre, sondern weil darunter gerade die nächste Basisschicht gebaut wird: Rechenzentren, Chips, Datenleitungen, Energieverträge, Modellplattformen, Robotik-Stacks, autonome Fahrzeuge und industrielle Automatisierung. Diese Infrastruktur entsteht jetzt und bleibt dann nicht für ein paar Quartale stehen, sondern für Jahrzehnte. Wer heute die Plattformen, Chips, Standards und Betriebsmodelle kontrolliert, kontrolliert einen Teil davon, wie Wirtschaft, Verwaltung, Mobilität und Produktion in den nächsten Jahren funktionieren.

Darum ist der Wettlauf nicht nur ein Hype um bessere Chatbots. KI, Chips, selbstfahrende Autos und Roboter werden die Welt in den nächsten Jahren nachhaltig verändern. Vielleicht nicht immer so glatt, wie es in Investor-Präsentationen klingt. Aber tief genug, dass es fahrlässig wäre, diese Entwicklung nur als weiteres Softwarethema zu behandeln.

Europa schaut derweil oft zuerst auf Regulierung, Gremien, Förderprogramme und Prinzipien. Das ist nicht alles falsch. Regeln und Grundrechte sind wichtig. Aber wenn am Ende die Modelle, Chips, Clouds und Plattformen anderswo gebaut werden, bleibt Europa trotzdem abhängig. Dann hat man vielleicht die beste Verordnung, aber nicht das Produkt.

ASML ist dabei die grosse europäische Ausnahme und gleichzeitig das perfekte Beispiel für die Grenze dieser Ausnahme. Ohne die niederländischen Lithografiemaschinen gäbe es viele modernste Chips nicht. Aber selbst ASML hängt in weltweiten Lieferketten, Exportlizenzen und geopolitischen Halbleiterregeln. Europas stärkstes Chip-Juwel ist also wichtig, aber nicht frei von den Machtlinien, die andere ziehen.

Die Autoindustrie ist für mich hier eher Warnbild als Nebenthema. Europa hatte über Jahrzehnte fantastische Ingenieurskunst, Marken und Zulieferer. Aber bei Batterie, Software, vertikaler Integration und Preisgeschwindigkeit haben Tesla und BYD gezeigt, wie gefährlich langsame Reaktion sein kann. Wenn Europa KI ähnlich angeht, also lange diskutiert, spät liefert und sich dann über mittelmässige Produkte wundert, wird es nicht nur ein paar Jahre hinterher sein. Es wird strukturell abhängig.

Der Security-Blick auf KI-Connectoren

Aus Security-Sicht sind KI-Connectoren nicht einfach Komfortfunktionen. Sie sind neue Integrationspunkte mit Zugriff auf Daten, Identitäten und manchmal sogar Schreibrechte. Ein Assistent, der SharePoint, Gmail, Slack, Teams, GitHub, Jira oder ein CRM durchsuchen darf, ist praktisch. Aber er wird damit auch zu einer neuen Ebene im Berechtigungsmodell.

Für Admins und MSPs ist das der Punkt, an dem es ernst wird. Ein falsch gesetzter OAuth-Scope, ein zu breiter Graph-Connector, ein Agent mit Schreibrechten im Ticket-System oder ein Copilot, der interne Dokumente aus verschiedenen Sicherheitszonen zusammenfasst, ist kein kleines UI-Detail. Es ist ein möglicher Datenabfluss, ein neues Audit-Thema und im schlimmsten Fall ein Angriffsweg.

Prompt Injection klingt manchmal wie ein Spielzeugproblem, wird aber unangenehm, wenn ein Modell externe Inhalte liest und daraus Aktionen ableitet. Ein präpariertes Dokument, ein Ticket, eine Webseite oder eine E-Mail kann dann versuchen, den Assistenten zu beeinflussen. Das ist nicht dasselbe wie ein klassischer Exploit, aber in einer Welt mit Tools, Connectoren und Agenten wird es operativ relevant.

Früher fragte man: Welche Firewall-Regel erlaubt diesen Traffic? Heute muss man zusätzlich fragen: Welcher Assistent darf welche Daten sehen, über welche Identität, mit welchen Tools, in welchem Tenant, mit welchem Logging und mit welcher Möglichkeit, Dinge zu verändern?

KI gehört damit nicht nur in die Innovationsrunde, sondern in IAM, DLP, CASB, SIEM, Change-Management und Firewall-Policy.

Was daraus folgt

Für mich heisst das nicht, dass man KI verbieten oder zentrale Plattformen pauschal meiden muss. Das wäre unrealistisch und auch nicht besonders klug. Aber man sollte KI-Connectoren nicht mehr wie harmlose Browser-Erweiterungen behandeln. Wer einem Assistenten Zugriff auf Mails, Dokumente, Tickets, Repositories und interne Chats gibt, verändert die eigene Sicherheitsarchitektur.

Die wichtigere Frage ist deshalb nicht nur: Welches Modell ist am besten? Sondern auch: Wo läuft es, unter welcher Jurisdiktion, mit welchen Daten, welchen Rechten, welchem Logging und mit welcher Möglichkeit, den Anbieter wieder zu wechseln?

Vielleicht ist genau das die nüchternste Form von digitaler Souveränität: nicht alles selbst bauen zu wollen, aber Abhängigkeiten bewusst zu gestalten. Manche Aufgaben dürfen ruhig in grossen Plattformen laufen. Andere gehören näher an die eigenen Daten, in den eigenen Tenant, in ein lokales Modell oder zumindest in ein Betriebsmodell, das austauschbar bleibt.

Die andere Richtung

Die Gegenfrage lautet: Muss jede KI-Arbeit zentral laufen?

Nicht immer. Im Artikel Die ungenutzte Rechenleistung um uns herum geht es um die andere Seite: ungenutzte Rechenleistung, lokale Modelle, dezentrale Speicher- und Compute-Netze und die Idee eines Compute-Smart-Grid.

Ich glaube nicht, dass zentrale KI-Plattformen verschwinden. Dafür sind sie zu nützlich, zu gut integriert und für viele Aufgaben schlicht effizient. Aber ich glaube, dass wir bewusster entscheiden müssen, welche Arbeit wirklich dort laufen soll und welche näher an den eigenen Daten, im eigenen Tenant, im eigenen Land oder zumindest in einem austauschbaren Betriebsmodell bleiben kann.

Digitale Souveränität heisst nicht, alles selbst zu bauen. Aber sie heisst, nicht jede Schicht der eigenen Arbeit an denselben wenigen Plattformen festzuschrauben.

Bis zum nächsten Mal,
Euer Joe