Auf OpenRouter [1] - einer der grössten Plattformen für KI-Modellzugang - ist aktuell das zweitbeliebteste Modell StepFun: Step 3.5 Flash (free) [2]. 196 Milliarden Parameter, Mixture-of-Experts-Architektur, 256’000 Token Kontextfenster. Der Preis: $0.00 pro Million Input-Tokens. $0.00 pro Million Output-Tokens. Das Modell trägt «free» im Namen. Komplett gratis.
Wer bezahlt das?
«If you are not paying for it, you’re not the customer; you’re the product being sold.»
— Andrew Lewis (2010) [3]
Wenn jemand Ihnen Inference auf einem 196B-Parameter-Modell schenkt, dann ist die Frage nicht ob, sondern wie Ihre Daten monetarisiert werden. Jeder Prompt, den Sie an einen kostenlosen Dienst senden, muss als potenziell mitgelesen betrachtet werden - ob für Training, Analyse oder schlicht Weiterverkauf.
Und das betrifft nicht nur Gratismodelle. Die Frage lautet grundsätzlicher: Wem vertrauen Sie Ihre Daten an, wenn diese verarbeitet werden?
Wenn Credentials im Internet landen
Die Antwort auf diese Frage ist nicht theoretisch. Sie ist messbar.
Das OpenClaw Exposure Watchboard [4] dokumentiert in Echtzeit über 390’000 öffentlich erreichbare KI-Instanzen im Internet. Viele davon mit geleakten Zugangsdaten. Gehostet auf Alibaba Cloud, Tencent, DigitalOcean, Hetzner und dutzenden weiteren Providern. Die Tabelle liest sich wie ein Who’s Who der globalen Cloud-Infrastruktur - und gleichzeitig wie ein Katalog der Fahrlässigkeit.
Einige Beispiele aus den Daten (Stand März 2026):
| Standort | Provider | Credentials geleakt | Bekannte Bedrohungsakteure |
|---|---|---|---|
| Deutschland | Hetzner | Ja | APT28, APT29, Lazarus Group, Salt Typhoon |
| Singapur | Tencent Cloud | Ja | APT37, Cobalt Group, Kimsuky |
| USA | DigitalOcean | Ja | APT28, APT41, Volt Typhoon |
| Hongkong | Lucidacloud | Ja | APT15, APT41, Salt Typhoon, Sandworm |
| Finnland | Hetzner | Ja | APT28, APT29, Lazarus, Turla APT Group |
Das sind keine hypothetischen Szenarien. Das sind reale, von aussen erreichbare Systeme mit geleakten Zugangsdaten, denen staatliche Bedrohungsakteure zugeordnet werden - APT28 (russischer Militärgeheimdienst), Lazarus Group (Nordkorea), Volt Typhoon (China), Salt Typhoon (China).
Bei einem korrekt isolierten On-Premise-System kann das schlicht nicht passieren. Es gibt keinen öffentlichen Endpunkt, den jemand scannen könnte. Es gibt keine IP-Adresse, die auf einem Watchboard auftaucht. Es gibt keine Credentials, die im Internet landen.
Cloud-gehostete KI-Instanzen sind auffindbar, scannbar und bei Fehlkonfiguration vollständig exponiert. Eine Firewall, ein vergessener Port, ein Default-Passwort - und Ihre gesamte KI-Infrastruktur inklusive aller Prompts, Dokumente und Zugangsdaten liegt offen. Das ist kein Edge Case. 390’000 Instanzen zeigen: Das ist der Normalfall.
Wer meint, das betreffe nur «experimentelle» Fundstücke wie OpenClaw, sollte sich McKinseys internes KI-Tool «Lilli» ansehen: Laut The Stack konnten Sicherheitsforscher 2026 über ungeschützte Endpunkte und eine SQL-Injection auf Millionen Chat-Logs, Hunderttausende private Dateien und interne RAG-Dokumentation zugreifen. McKinsey bestätigte die Schwachstelle, erklärte aber zugleich, die Lücke sei innert Stunden behoben worden und man habe keine Hinweise auf einen unautorisierten Zugriff auf Kundendaten gefunden [19][20]. Auch hier gilt: Das Problem war nicht «die KI» im abstrakten Sinn, sondern klassische AppSec an einer KI-nahen Oberfläche.
Europa und die Schweiz - Regulierung als (wolkenloser) Rückenwind
Die europäische und schweizerische Regulierungslandschaft bestätigt, was die Technik zeigt: Daten gehören dorthin, wo Sie sie kontrollieren können.
NIS2 und EU AI Act
Die NIS2-Richtlinie [5] setzt EU-weit einen Rahmen für Cybersecurity in kritischen Sektoren. Sie fordert systematisches Risikomanagement, Supply-Chain-Kontrollen und Meldepflichten bei erheblichen Vorfällen. Besonders relevant: Die Richtlinie betont Management-Haftung - Führungskräfte können persönlich zur Verantwortung gezogen werden.
Der EU AI Act [6][7] trat am 1. August 2024 in Kraft und wird ab 2. August 2026 voll anwendbar. Für General-Purpose-AI-Modelle gelten Governance-Pflichten bereits seit August 2025 (Art. 53). Transparenz- und Dokumentationspflichten treffen jeden, der KI-Systeme betreibt - und diese Pflichten sind wesentlich einfacher zu erfüllen, wenn Sie wissen, wo Ihre Daten sind und wer darauf zugreift.
Schweiz: Meldepflichten und Bussgelder
In der Schweiz gelten seit 1. April 2025 gesetzliche Meldepflichten an das BACS für Cyberangriffe auf kritische Infrastrukturen: 24 Stunden nach Entdeckung [8]. Seit 1. Oktober 2025 drohen bei Unterlassung Bussen bis CHF 100’000 [9].
Parallel dazu konkretisiert der EDÖB [10] die Meldepflichten bei Datensicherheitsverletzungen nach revDSG - inklusive der Abwägung «voraussichtlich hohes Risiko» und der Pflichtentrennung zwischen Verantwortlichen und Auftragsbearbeitenden.
Und hier liegt der Knackpunkt: Auch wenn ein Cloud-Provider «Datenresidenz Schweiz» oder «EU-Region» verspricht, können Sub-Prozessoren, Telemetrie-Pipelines, CDN-Services und Support-Zugriffe aus Drittstaaten Transfers auslösen. On-Premise eliminiert diese Komplexität: Ihre Daten bleiben physisch und juristisch in Ihrer Domäne.
Die Schweiz verfolgt aktuell keinen umfassenden KI-Regulierungsansatz, sondern setzt auf sektorale Regelungen und will die Europarats-Konvention zu KI ratifizieren. Das heisst: Wer heute in der Schweiz KI betreibt, muss sowohl schweizerische als auch - über extraterritoriale Effekte - europäische Anforderungen im Blick haben. On-Premise vereinfacht beides.
Warum Anonymisierung nicht reicht
Proxy-Dienste und Browser-Erweiterungen versprechen, Prompts vor dem Versand an Cloud-KI zu «anonymisieren». Das Problem: Semantik lässt sich nicht anonymisieren. Der EDPB hat in seiner Stellungnahme 28/2024 klargestellt, dass KI-Modelle, die mit personenbezogenen Daten trainiert wurden, nicht in jedem Fall als anonym gelten können [11].
Stellen Sie sich vor, ein Mitarbeiter schreibt in einen KI-Chat:
- «Mein Klient in Zürich hat eine Steuernachzahlung von 2.3 Millionen.»
- «Der Patient in Zimmer 412 zeigt Symptome einer seltenen Autoimmunerkrankung.»
- «Wir planen die Übernahme des Konkurrenten bis Q3.»
Kein Name genannt - aber wer den Kontext kennt, kann die Punkte verbinden. Pseudonymisierung schützt vor einfacher Zuordnung, nicht vor semantischer Rekonstruktion. OWASP listet «Sensitive Information Disclosure» als zweitwichtigstes LLM-Risiko (LLM02:2025) [12]. Das BSI warnt explizit vor Datenexfiltration über Modellantworten und Tool-Konnektoren [14]. Bei Samsung gelangten 2023 innerhalb von 20 Tagen proprietärer Halbleiter-Quellcode und Sitzungsprotokolle in ChatGPT - unwiderruflich [13].
Wenn der Prompt das Gebäude nie verlässt, muss er nicht anonymisiert werden.
Zero Trust - oder: Vertraue niemandem ausser dir selbst
«Security is a process, not a product.»
— Bruce Schneier (2000) [16]
Die entscheidende Frage bei KI-Sicherheit: Wem vertrauen Sie die Ausführungsumgebung an?
In der Sicherheitsarchitektur spricht man von der Trusted Computing Base (TCB) - der Summe aller Komponenten, denen man vertrauen muss. Je kleiner die TCB, desto sicherer das System.
| Dimension | Cloud | On-Premise |
|---|---|---|
| Trusted Computing Base | Gross: eigene Admins + Provider-Schichten + Hypervisor + Multi-Tenancy | Klein: eigene Admins + eigener Hypervisor + dedizierte Hardware |
| Multi-Tenancy | Strukturell; Isolation hängt von Hypervisor/Control-Plane ab | Keine; dedizierte Hardware eliminiert das Risiko |
| Daten während Verarbeitung | Klartext in RAM/VRAM; TCB umfasst Provider-Schichten | Klartext in RAM/VRAM; TCB umfasst nur eigene Domäne |
| Privilegierte Zugriffe | Tenant-Admins + Provider-Betrieb = grössere Insider-Fläche | Nur eigene Admins mit JIT-Access und MFA |
| Forensik nach Vorfall | Abhängig von Provider-Log-Verfügbarkeit und Vertragsgrenzen | Vollständige Beweissicherungskette unter eigener Kontrolle |
Weder Cloud noch On-Premise kann «data in use» heute kryptografisch schützen - Daten liegen bei Verarbeitung im Klartext. Die strategische Frage ist daher nicht «Welche Verschlüsselung?», sondern «Wer hat Zugang zur Ausführungsumgebung?»
In der Cloud: Sie, Ihre Admins, der Cloud-Provider, dessen Admins, dessen Sub-Prozessoren, und jede Jurisdiktion, die Zugriff verlangen kann. On-Premise: Sie und Ihre Admins. Punkt.
Das BSI [15] und OWASP [12] bestätigen: Prompt Injection, Datenexfiltration und Supply-Chain-Angriffe sind die dominanten LLM-Bedrohungen. All diese Risiken werden durch eine kleinere TCB und volle Netzwerkkontrolle - beides On-Premise-Stärken - strukturell reduziert.
In an Air-Gapped Environment, There Are No Clouds
In einer isolierten Umgebung gibt es keine Cloud-Provider. Keine Sub-Prozessoren. Keine grenzüberschreitenden Datentransfers. Keine geleakten Credentials auf Watchboards. Keine Gratismodelle, die mit Ihren Prompts bezahlt werden. Keine Jurisdiktionsfragen. Keine «Shared Responsibility», bei der im Ernstfall niemand verantwortlich ist.
Es gibt nur Ihre Hardware, Ihr Netzwerk, Ihre Modelle, Ihre Daten. Zero Trust in Reinform: kein Datenabfluss, keine Vertrauensannahmen, keine Dritten.
Referenzen
[1] OpenRouter — Modellübersicht (sortiert nach Beliebtheit). https://openrouter.ai/models?order=most-popular
[2] StepFun: Step 3.5 Flash (free) auf OpenRouter. https://openrouter.ai/stepfun/step-3.5-flash:free
[3] Andrew Lewis, MetaFilter (2010). Kernidee zurückgehend auf Richard Serra & Carlota Fay Schoolman, Television Delivers People (1973). Vgl. Quote Investigator: https://quoteinvestigator.com/2017/07/16/product/
[4] OpenClaw Exposure Watchboard. https://openclaw.allegro.earth/
[5] NIS2-Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates. https://eur-lex.europa.eu/eli/dir/2022/2555
[6] EU AI Act — Art. 53: Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck. https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-53
[7] EU AI Act — Zeitplan und Anwendung. Europäische Kommission. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
[8] BACS/NCSC — Informationen zur Meldepflicht für Cyberangriffe auf kritische Infrastrukturen (Schweiz). https://www.ncsc.admin.ch/ncsc/de/home/meldepflicht/meldepflicht-info.html
[9] BACS/NCSC — Sechs Monate Meldepflicht für Cyberangriffe: Bilanz. https://www.ncsc.admin.ch/ncsc/de/home/aktuell/im-fokus/2025/meldepflicht-6-monate.html
[10] EDÖB — Meldung von Datensicherheitsverletzungen nach revDSG. https://www.edoeb.admin.ch/
[11] European Data Protection Board (EDPB) — Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models (17. Dezember 2024). https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en
[12] OWASP — Top 10 for LLM Applications 2025, LLM02: Sensitive Information Disclosure. https://genai.owasp.org/llmrisk/llm02-insecure-output-handling/
[13] Samsung ChatGPT Data Leak (2023). The Register. https://www.theregister.com/2023/04/06/samsung_reportedly_leaked_its_own/
[14] Bundesamt für Sicherheit in der Informationstechnik (BSI) — Generative KI-Modelle: Chancen und Risiken für Industrie und Behörden, Version 2.0 (Januar 2025). https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KI/Generative_KI-Modelle.pdf
[15] Bundesamt für Sicherheit in der Informationstechnik (BSI) — Evasion-Angriffe auf LLMs: Gegenmassnahmen. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KI/Evasion-Angriffe_auf_LLMs-Gegenmassnahmen.pdf
[16] Bruce Schneier — The Process of Security (2000). https://www.schneier.com/essays/archives/2000/04/the_process_of_secur.html
[17] ENISA — Cloud Cybersecurity Market Analysis. https://www.enisa.europa.eu/sites/default/files/publications/Cloud%20Cybersecurity%20Market%20Analysis.pdf
[18] DSGVO — Amtlicher Text. EUR-Lex. https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679
[19] The Stack — Startup’s agent hacked McKinsey AI - exposing huge volumes of sensitive data (12. März 2026). https://www.thestack.technology/mckinsey-ai-agent-hacked-lilli/
[20] McKinsey & Company — Statement on strengthening safeguards within the Lilli tool. https://www.mckinsey.com/about-us/media/statement-on-strengthening-safeguards-within-the-lilli-tool