Mitte Juni 2026 musste Anthropic zwei seiner neuesten KI-Modelle binnen Stunden weltweit abschalten, auf Anweisung der US-Regierung. Kein anderes Modell war betroffen, und der Anlass ist umstritten. Doch der Vorfall markiert einen Wendepunkt: Die Verfügbarkeit von KI ist nicht mehr nur eine technische oder kommerzielle Frage. Sie ist geopolitisch geworden.
Es ist ein Vorgang, den es so noch nie gab. Am 12. Juni 2026 erhielt das US-Unternehmen Anthropic, einer der grossen Anbieter von KI-Sprachmodellen, eine Exportkontroll-Direktive der US-Regierung. Sie untersagt den Zugang zu den beiden jüngsten Modellen des Hauses, genannt Fable 5 und Mythos 5, für jeden ausländischen Staatsangehörigen, auch innerhalb der USA. Weil sich ausländische Nutzer technisch nicht in Echtzeit aussortieren lassen, blieb dem Unternehmen nur ein harter Schnitt: Es schaltete beide Modelle für alle Kunden weltweit ab.
Für die meisten Anwender ändert sich im Alltag wenig, und das ist ein wichtiger Punkt gegen jede Panik. Alle übrigen Modelle des Anbieters bleiben verfügbar, und die beiden betroffenen waren erst seit wenigen Tagen auf dem Markt. Wer ein etabliertes Modell nutzt, arbeitet normal weiter.
Und doch sollte jede Schweizer Firma mit KI im produktiven Einsatz diesen Vorfall auf den Tisch holen. Nicht wegen der konkreten zwei Modelle, sondern wegen des Mechanismus, den er sichtbar macht.
Was tatsächlich geschah
Halten wir uns an die belegten Fakten. Anthropic hat den Vorgang in einer öffentlichen Stellungnahme selbst dargelegt. Die US-Regierung beruft sich auf Belange der nationalen Sicherheit. Die Direktive verlangt für jeden Transfer der beiden Modelle an Nicht-US-Personen eine vorherige Genehmigung, was in der Praxis einer weltweiten Abschaltung gleichkommt. Als Auslöser nennt die Regierung nach Darstellung von Anthropic die Sorge, dass sich die Sicherheitsmechanismen eines der Modelle umgehen liessen, ein sogenannter Jailbreak.
Anthropic widerspricht dieser Einordnung öffentlich. Das Unternehmen erklärt, es handle sich um eine eng begrenzte, nicht universelle Schwachstelle, deren Fähigkeiten auch bei anderen, frei verfügbaren Modellen vorhanden seien. Man halte die Massnahme für unverhältnismässig, befolge die Anweisung aber und arbeite an einer Wiederherstellung des Zugangs.
Einzuordnen ist der Vorgang als Präzedenzfall. Es ist, soweit öffentlich bekannt, das erste Mal, dass eine Regierung den weltweiten Zugang zu einem konkreten kommerziellen KI-Modell per Exportkontrolle unterbindet. Entsprechend breit war der Widerhall: Von den grossen US-Wirtschaftsmedien bis zur europäischen Presse berichteten zahlreiche Häuser innert Stunden. Dass die beiden betroffenen Modelle zu den jüngsten und leistungsfähigsten des Anbieters zählten und erst wenige Tage zuvor erschienen waren, verstärkte die Aufmerksamkeit. Für die Branche war binnen eines Abends klar: Eine Grenze, die bisher nur für Güter wie Verschlüsselungstechnik oder Hochleistungschips galt, ist nun auch für KI-Modelle Realität.
Wichtig für eine nüchterne Lesart: Hier stehen zwei Darstellungen nebeneinander, jene der Regierung und jene des Unternehmens, und einige Details sind nicht unabhängig überprüfbar. Für die geschäftliche Schlussfolgerung spielt es aber keine Rolle, wer im Detail recht hat. Entscheidend ist allein, was technisch und rechtlich möglich war: Ein einzelner staatlicher Erlass hat ein kommerzielles KI-Modell weltweit vom Netz genommen.
Die eigentliche Lehre: Verfügbarkeit ist Geopolitik geworden
Bis vor Kurzem stellte sich die Frage nach der Verfügbarkeit eines KI-Modells auf zwei Ebenen. Technisch: Läuft die Schnittstelle stabil? Und kommerziell: Stimmen Preis und Vertragsbedingungen? Der Vorfall fügt eine dritte Ebene hinzu, mit der kaum jemand auf der Rechnung war: die geopolitische. Ob ein Modell morgen noch nutzbar ist, kann von einer Entscheidung abhängen, die in einer fremden Hauptstadt getroffen wird, ohne Vorwarnung und ohne Mitsprache des Anwenders.
Für ein Schweizer Unternehmen, das seine zentralen Abläufe auf einen einzigen ausländischen Anbieter gestützt hat, ist das ein neues Konzentrationsrisiko. Es geht nicht darum, einem bestimmten Anbieter zu misstrauen. Es geht darum, dass die Abhängigkeit von einer einzigen Quelle, gleich welcher, zur Schwachstelle wird, sobald diese Quelle ausserhalb der eigenen Kontrolle liegt. Was bei Halbleitern oder Energie längst als strategisches Risiko gilt, erreicht damit die KI.
Man muss dafür nicht einmal von Politik ausgehen. Auch ein Anbieter, der ein Modell aus kommerziellen Gründen einstellt, der seine Preise vervielfacht oder der den Betrieb aufgibt, erzeugt denselben Effekt: Ein Baustein, auf dem Geschäftsprozesse ruhen, ist plötzlich weg. Der aktuelle Fall ist nur die schärfste und sichtbarste Variante eines allgemeineren Musters. Wer einen geschäftskritischen Prozess an eine einzige externe Quelle bindet, übernimmt deren Risiken, ob diese nun technischer, kommerzieller oder politischer Natur sind.
Warum EU-AI-Act-Konformität davor nicht schützt
Ein verbreiteter Reflex lautet: Wir sind doch rechtlich sauber aufgestellt. Doch hier liegt ein Missverständnis. Der EU AI Act und die Schweizer Datenschutzregeln adressieren, wie KI eingesetzt werden darf, also Transparenz, Risikoklassen, den Schutz von Personendaten. Sie sagen nichts darüber aus, ob das genutzte Modell morgen noch erreichbar ist.
Mit anderen Worten: Eine perfekt regelkonforme Architektur kann trotzdem stillstehen, wenn der Zugriff auf das Frontier-Modell, auf dem sie beruht, per Direktive gekappt wird. Diese Lücke ist eine andere als jene, über die in Bern und Brüssel bisher diskutiert wurde. Sie ergänzt ein Risiko, das wir schon im Beitrag zum sicheren KI-Einsatz im Team angesprochen haben: den US-CLOUD-Act, der US-Behörden Zugriff auf Daten amerikanischer Konzerne erlaubt, selbst wenn diese in der Schweiz liegen. Verfügbarkeit und Datenhoheit sind damit zwei Seiten derselben Souveränitätsfrage.
Die europäische Reaktion
Dass dieser Nerv getroffen ist, zeigt das Echo. In Europa nutzten Anbieter und Politik den Vorfall umgehend, um auf eigene Alternativen zu drängen. Der Chef des französischen KI-Anbieters Mistral, Arthur Mensch, warnte öffentlich vor der Abhängigkeit von US-Modellen für sensible Aufgaben. Stimmen aus dem Europäischen Parlament bezeichneten den Fall als Beleg dafür, dass künstliche Intelligenz zu einer Frage nationaler Souveränität geworden sei, und forderten mehr Unterstützung für europäische Anbieter. Souveränität ist damit binnen Stunden vom Schlagwort zum konkreten Handlungsdruck geworden.
Warum das für die Schweiz besonders zählt
Für Schweizer Unternehmen hat die Frage eine zusätzliche Dimension. Die Schweiz ist kein Mitglied der EU und sitzt wirtschaftlich zwischen den grossen Blöcken. Datenhoheit, Diskretion und Unabhängigkeit gehören hier seit jeher zum Selbstverständnis vieler Betriebe, vom Treuhänder über die Privatbank bis zum Industriezulieferer. Umso bemerkenswerter ist, dass ein grosser Teil der heute genutzten KI-Werkzeuge an wenigen ausländischen Anbietern hängt.
Diese Diskrepanz zwischen dem hohen Anspruch an Souveränität und der faktischen Abhängigkeit im KI-Stack ist der eigentliche blinde Fleck. Sie fällt im Alltag nicht auf, solange alles läuft, und sie wird erst sichtbar, wenn ein Zugang plötzlich wegbricht. Genau das hat der Vorfall vorgeführt. Für ein Land, das seine Unabhängigkeit zur Marke gemacht hat, ist das ein Anstoss, der über die reine Technik hinausgeht.
Drei Stufen der Vendor-Resilienz
Was folgt daraus für ein Schweizer Unternehmen? Nicht Aktionismus, sondern Architektur. Resilienz gegenüber solchen Risiken lässt sich in drei Stufen denken, die aufeinander aufbauen.
Stufe 1: Wechselfähig bleiben
Die wichtigste und günstigste Massnahme kostet kein neues Werkzeug, sondern verlangt eine Entwurfsentscheidung. Ein KI-System sollte nie so fest an ein einzelnes Modell gekoppelt sein, dass ein Wechsel ein Grossprojekt wäre. Wer seine Anwendungen über eine Abstraktionsschicht anbindet und eine Ausweichlogik vorsieht, kann im Ernstfall von einem Modell auf ein anderes umschalten, ohne dass der Betrieb stillsteht. Das Modell wird so von einer fixen Abhängigkeit zu einer austauschbaren Komponente. Genau diese Wechselfähigkeit hat im aktuellen Fall jenen Firmen geholfen, deren Anbindung Anfragen automatisch auf ein weiterhin verfügbares Modell umlenken konnte. Diese Entkopplung ist die Grundlage für alles Weitere. Ohne sie nützt die beste Alternative wenig, weil der Wechsel selbst zum Grossprojekt würde. Mit ihr wird Resilienz überhaupt erst praktikabel.
Stufe 2: Europäische und Schweizer Modelle einbeziehen
Wechselfähigkeit ist nur dann etwas wert, wenn es echte Alternativen gibt. Hier hat sich die Lage in kurzer Zeit stark verbessert. Mit Apertus steht seit Herbst 2025 ein offenes, mehrsprachiges Sprachmodell aus der Schweiz zur Verfügung, entwickelt von ETH, EPFL und dem Supercomputerzentrum CSCS und unter anderem über Swisscom als Dienst nutzbar. Der Schweizer Anbieter Infomaniak betreibt nach eigenen Angaben offene Modelle wie Mistral, Llama oder Qwen ausschliesslich in Schweizer Rechenzentren. Auf europäischer Ebene positioniert sich Mistral als Alternative zu den US-Häusern. Diese Optionen erreichen nicht in jeder Disziplin die Spitzenleistung der grössten US-Modelle, aber sie sind real, einsatzfähig und unterliegen keiner US-Exportkontrolle.
In der Praxis heisst das selten, einen Anbieter komplett zu ersetzen. Häufiger geht es darum, für jede Aufgabe das passende Modell zu wählen und für die kritischen Fälle eine souveräne Option bereitzuhalten. Eine Zusammenfassung interner Protokolle muss nicht über einen US-Dienst laufen, wenn ein Schweizer Modell sie ebenso gut erledigt. Für grössere Organisationen mit hohen Anforderungen betreibt Swisscom zudem eine eigene KI-Plattform, die nach Unternehmensangaben Daten sogar während der Verarbeitung verschlüsselt hält. Schon ein zweiter, unabhängiger Anbieter im Stack verändert die Risikolage spürbar.
Stufe 3: Ein souveränes Corporate LLM
Die stärkste Stufe der Kontrolle ist ein eigenes, abgesichertes Sprachsystem, ein Corporate LLM, das auf kontrollierter Infrastruktur läuft. Wer ein offenes Modell wie Apertus oder Mistral in einem Schweizer Rechenzentrum oder im eigenen Haus betreibt, macht sich von der Abschaltentscheidung eines fremden Anbieters weitgehend unabhängig, und die Daten verlassen das eigene Umfeld nicht. Diesen Weg und seine Voraussetzungen haben wir ausführlich im Beitrag zum Corporate LLM sowie im Beitrag zu KI-ready Unternehmenswissen beschrieben. Für besonders sensible oder geschäftskritische Anwendungen ist dies die robusteste Antwort. Sie hat ihren Preis, weil eigene Infrastruktur Aufbau und Pflege verlangt, doch für das, was wirklich nicht ausfallen darf, ist sie die einzige Variante, bei der weder eine Abschaltung noch ein Datenabfluss von aussen droht.
Der ehrliche Einwand: Resilienz hat einen Preis
So klar die Richtung ist, ein nüchterner Blick gehört dazu. Mehrere Modelle parat zu halten und Systeme wechselfähig zu bauen, kostet Aufwand und schafft Komplexität. Europäische und Schweizer Modelle sind in manchen Spitzenaufgaben den grössten US-Modellen noch unterlegen, und auch sie sind nicht frei von eigenen Abhängigkeiten. Niemand sollte deshalb in Panik die gesamte Architektur über Bord werfen oder leistungsfähige Werkzeuge pauschal boykottieren.
Die richtige Konsequenz ist nicht Abschottung, sondern Bewusstsein. Für unkritische Aufgaben kann das beste verfügbare Modell weiterhin die erste Wahl sein. Für alles, dessen Ausfall oder Abfluss wehtun würde, gehört die Frage der Souveränität von Anfang an in die Architektur. Resilienz heisst nicht, auf das Beste zu verzichten, sondern nie alles auf eine Karte zu setzen.
Drei Fragen, die jede Geschäftsleitung stellen sollte
Man muss kein Technikexperte sein, um das eigene Risiko einzuschätzen. Drei Fragen genügen für eine erste Standortbestimmung. Erstens: Welche unserer Abläufe würden stillstehen, wenn ein bestimmtes KI-Modell morgen nicht mehr erreichbar wäre? Zweitens: Hängen diese Abläufe alle an einem einzigen Anbieter, oder könnten wir ausweichen? Und drittens: Wie lange würde ein Wechsel dauern, Stunden, Wochen oder Monate?
Wer auf diese Fragen keine klare Antwort hat, kennt sein Konzentrationsrisiko nicht. Das ist kein Vorwurf, denn bis vor Kurzem stand diese Frage auf keiner Agenda. Ab jetzt gehört sie darauf. Die gute Nachricht: Schon das blosse Beantworten dieser drei Fragen schafft Klarheit und zeigt, wo der erste, oft kleine Schritt sinnvoll ansetzt.
Zum Schluss: Souveränität ist eine Strategiefrage
Der Vorfall ist kein Grund zur Aufregung, aber ein Grund zum Nachdenken. Er führt vor Augen, dass die Wahl eines KI-Anbieters nicht mehr nur eine Frage von Leistung und Preis ist, sondern auch eine von Kontrolle und Risiko.
Auch hier gilt die Reihenfolge, die sich überall bewährt. Zuerst die Strategie: Welche unserer Anwendungen und Daten sind so kritisch, dass uns eine plötzliche Nichtverfügbarkeit oder ein Datenabfluss wirklich schaden würde? Dann die Systeme: eine wechselfähige Architektur, die nicht an einem einzigen Anbieter hängt, mit europäischen und Schweizer Optionen im Repertoire. Und erst dann die KI: das jeweils beste Modell für den Zweck, aber nie als alleiniger Punkt, an dem alles zusammenbricht. Souveränität ist in diesem Sinne keine Ideologie, sondern nüchternes Risikomanagement. Und es ist heute machbar.
Die Schweiz hat die Mittel dazu. Mit Apertus, mit Schweizer Hosting-Anbietern und mit dem Know-how, eigene Systeme zu betreiben, stehen die Bausteine bereit. Was es braucht, ist die Entscheidung, Souveränität nicht als nachträglichen Reparaturposten zu behandeln, sondern als Teil der Architektur von Beginn an. Wer das heute entscheidet, hängt morgen nicht von einer Schlagzeile aus Washington ab, sondern von der eigenen Planung.