Es gibt einige wenige Momente, die viele Mitarbeiter in den letzten zwei Jahren erlebt haben, ohne dass sie als grosses, problematisches Ereignis wahrgenommen wurden: das Sprachmodell verweigert mit Service temporarily unavailable seinen Dienst. Die Aufgabe, die eigentlich in zehn Minuten erledigt sein sollte, ist plötzlich ein Problem. Eine Stunde später läuft alles wieder, der Vorfall ist schnell vergessen.
Diese Momente sind keine Anekdoten. Sie führen uns vielmehr zu einer Frage, der wir grössere Aufmerksamkeit schenken sollten, nein, müssen: Was passiert eigentlich, wenn die KI, auf die wir unsere Arbeitprozesse aufgebaut haben, plötzlich nicht mehr verfügbar sind - nicht für eine Stunde, sondern für einen Tag, eine Woche, einen Monat?
Diese Frage stellt sich in drei sehr unterschiedlichen Spielarten, und alle drei sind real. Die erste ist technisch: Was, wenn ein Anbieter ausfällt, ein Rechenzentrum brennt, eine Lieferkette reisst? Die zweite ist politisch: Was, wenn ein Anbieter aus politischen Gründen den Zugriff einschränkt - gezielt, selektiv, als Druckmittel? Die dritte ist die unsichtbarste: Was, wenn das System weiter funktioniert, aber seine Ausgaben manipuliert werden, ohne dass jemand es bemerkt?
Alle drei Spielarten führen zur gleichen Antwort, und die lautet: Resilienz. Aber was Resilienz im KI-Zeitalter konkret bedeutet, ist deutlich anspruchsvoller als das, was wir von klassischer IT gewohnt sind. Genau das wollen wir im Folgenden einmal durchspielen.
Ausfälle sind keine Hypothesen mehr
Bevor wir zur strategischen Frage kommen, lohnt ein Blick auf das, was bereits passiert ist. ChatGPT hatte im Jahr 2025 mehrere grosse Ausfälle, die für sich genommen erschreckend sind, in der Summe aber ein Muster aufzeigen.
Am 10. Juni 2025 fiel der Dienst über zwölf Stunden weltweit aus. Mehrere europäische Rechenzentren waren zeitgleich in Wartung, was beim verbliebenen Knoten einfach zu einer Überlastung führte. Europa war besonders hart getroffen, weil der Ausfall während der normalen Arbeitszeit stattfand. Am 3. September 2025 folgte der nächste grosse Ausfall, ebenfalls zu Beginn des europäischen Arbeitstages. Am 18. November 2025 riss ein Cloudflare-Ausfall ChatGPT, Sora und mehrere andere KI-Dienste mit. Im Dezember folgte ein weiterer grösserer Ausfall.
Die offizielle Verfügbarkeit von etwa 99 Prozent klingt beruhigend. Sie bedeutet aber auch, dass pro Jahr rund 87 Stunden Ausfall möglich sind. Wer seine Geschäftsprozesse so eingerichtet hat, dass sie ohne KI massiv langsamer werden, hat 87 Stunden Wirtschaftsschaden pro Jahr einzukalkulieren - oft ohne dass es jemand explizit so gerechnet hat. Beobachter berichten zudem, dass die durchschnittliche Ausfallzeit grosser KI-Dienste in den letzten Quartalen deutlich gestiegen ist, weil die Nutzung schneller wächst als die Infrastruktur dahinter.
Die politische Seite - was bis vor kurzem undenkbar schien
Bis Anfang 2025 hätte ich die folgende Beobachtung nicht als realistisches Szenario angenommen.
Wenn KI-Dienste zu strategischer Infrastruktur werden - also nicht mehr nur nützliche Werkzeuge, sondern Voraussetzung für die Produktivität ganzer Branchen -, dann wird ihre Verfügbarkeit zu einem politischen Hebel. Wer den Zugriff kontrolliert, kontrolliert die Produktivität.
Hier liegt eine Eigenschaft, die in der klassischen Sanktionslogik selten so klar war: Ein gezielter temporärer Ausfall kann wie eine taktische Nuklearbombe wirken. Wenige Stunden, präzise platziert, können erheblichen Schaden anrichten, ohne dass eine flächendeckende Eskalation nötig wäre. Maximale Wirkung bei minimaler Sichtbarkeit. Genau diese Eigenschaft macht den Hebel politisch attraktiv - er ist granular, einsetzbar, und er bietet hervorragende Möglichkeiten, seinen vorsätzlichen Einsatz zu bestreiten. War es ein technisches Problem? Eine Wartung? Ein Rate-Limit? Von Aussen kann kaum zuverlässig geklärt werden, ob es sich um eine Panne oder um Absicht handelt.
Konkret heisst das: Es ist vorstellbar geworden, dass ein US-Anbieter aus politischen Gründen Dienste in bestimmten europäischen Ländern einschränkt, dass bestimmte Branchen gezielt schlechter bedient werden, dass die Modellgüte für europäische Kunden gedrosselt wird, während US-Kunden weiter Vollzugriff haben. Exportstarke europäische Industriezweige, die sich gerade massiv auf KI-gestützte Entwicklung umstellen, wären offensichtliche Ziele. Wer hier Druck aufbauen will, um amerikanische Konkurrenten zu bevorzugen, hat plötzlich einen Hebel, den es vor kurzem noch nicht gab.
Das klingt nach Verschwörungstheorie, ist aber strukturell nicht ungewöhnlich. Halbleiter-Exportkontrollen funktionieren genau so. SWIFT-Sanktionen funktionieren so. Die Frage ist nicht, ob solche Hebel benutzt werden, sondern wann. Wer das nicht in seiner Resilienz-Planung mitdenkt, plant unvollständig.
Warum die alten Backup-Konzepte nicht mehr greifen
Wer im klassischen IT-Bereich gross geworden ist, kennt die Logik der Disaster Recovery. Redundante Systeme an zweitem Standort, regelmässige Tests, dokumentierte Notfallpläne. Das funktioniert für klassische IT-Infrastruktur ausgezeichnet. Bei KI-Werkzeugen funktioniert es nur eingeschränkt - und der Grund liegt in einem Aspekt, die oftmals unterschätzt wird.
KI-Modelle sind nicht beliebig austauschbar. Wer einen Workflow um GPT-4 herum gebaut hat, kann nicht einfach Mistral oder Aleph Alpha einsetzen und erwartet die gleichen Ergebnisse. Die Modelle haben unterschiedliche Stärken, unterschiedliche Schwächen, unterschiedliche Antwortmuster, unterschiedliche Sicherheitsmechanismen. Ein Prompt, der für ein Modell optimiert ist, liefert bei einem anderen oft schlechtere Resultate. Ganze Toolchains - Retrieval-Pipelines, Agentensysteme, Modell-Orchestrierungen - sind an konkrete API-Schnittstellen und Modell-Eigenheiten angepasst.
Das bedeutet: Selbst wer einen "Backup-Anbieter" einrichtet, hat im Ernstfall nicht einfach einen funktionsgleichen Ersatz. Er hat eine zweite Variante, die ähnliche Aufgaben erledigt, aber mit anderer Qualität, anderem Verhalten, anderen Aufwänden. Die Umstellung im Krisenfall ist deshalb nicht ein Knopfdruck, sondern ein Anpassungsprojekt - das gerade dann nicht zur Verfügung steht, wenn es gebraucht wird.
Hinzu kommt ein Phänomen, das in der Resilienz-Diskussion noch zu wenig vorkommt: die erodierte Grundfähigkeit. Wer drei Jahre mit KI-Unterstützung gearbeitet hat, hat seine eigenen Routinen oft verlernt. Der Marketingmitarbeiter, der jeden Text mit ChatGPT entwirft, schreibt aus dem Kopf langsamer als vor drei Jahren. Der Entwickler, der Code generieren lässt, hat manche Frameworks nie selbst durchdrungen. Das ist keine Faulheit, sondern Spezialisierung - aber es bedeutet, dass die manuelle Rückfall-Option, die früher selbstverständlich war, heute nicht mehr selbstverständlich ist. Wer seinen Backup-Plan auf "wir machen es notfalls von Hand" stützt, der irrt höchstwahrscheinlich in der Annahme, wie gut diese Hand noch geübt ist.
KI-Unternehmen unter politischem Druck
Eine weitere Entwicklung der letzten Monate verdient gesonderte Aufmerksamkeit, weil sie die politischen Aspekte rund um die Verfügbarkeit in ein neues Licht rückt: Die grossen KI-Anbieter geraten zunehmend unter direkten Druck ihrer Heimatregierungen. Das ist nicht spekulativ. Es ist dokumentiert, und es geschieht in verschiedenen Konstellationen.
Im Juli 2025 vergab das US-Verteidigungsministerium Verträge im Wert von bis zu 200 Millionen Dollar pro Unternehmen an Anthropic, Google, OpenAI und xAI, um das Pentagon schneller auf fortgeschrittene KI-Fähigkeiten umzurüsten. Die Reaktionen waren geteilt: OpenAIs Deal löste erhebliche öffentliche Proteste mit Deinstallations-Wellen aus. Nur wenige Monate später, am 27. Februar 2026, ordnete US-Präsident Trump per Direktive an, dass Bundesbehörden die Nutzung von Anthropic-Produkten einstellen sollten - mit einer sechsmonatigen Übergangsfrist. Hintergrund: ein Streit um Acceptable-Use-Richtlinien, die einzelne Pentagon-Anwendungen einschränken. Die Trump-Administration hat zudem im Januar 2025 das von Biden eingeführte AI Safety Framework widerrufen und im Dezember 2025 angekündigt, Bundes-KI-Aufträge an "ideologische Neutralität" zu koppeln.
Parallel dazu ist eine Lobbying-Eskalation zu beobachten, die historisch beispiellos ist. Anthropics Lobbying-Ausgaben sind im Jahresvergleich um über 340 Prozent gestiegen und übertrafen erstmals OpenAIs Ausgaben. Anthropic stellte 20 Millionen Dollar für ein politisches Aktionskomitee bereit, das state-level-Regulierung verteidigt. Eine OpenAI-nahe Gegenbewegung, "Leading the Future", hat seit August 2025 über 125 Millionen Dollar gesammelt - mit der Zielrichtung, föderale Deregulierung durchzusetzen. Die Trump-Administration subventioniert mit 100-Millionen Dollar die Interessensgruppe "Innovation Council Action". Die Tech-Branche hat in den ersten neun Monaten 2026 über 50 Millionen Dollar allein für KI-Lobbying ausgegeben.
Was bedeutet das für ein europäisches Unternehmen, das einen dieser Anbieter nutzt? Der Anbieter ist nicht mehr nur ein Dienstleister. Er ist ein politischer Akteur in einem Konflikt, auf dessen Ausgang er selbst keinen Einfluss hat. Wenn eine US-Regierung morgen entscheidet, dass bestimmte KI-Anwendungen nur noch unter Auflagen exportiert werden dürfen, betrifft das zwar auch die Anbieter, vor allem aber ihre internationalen Kunden. Wenn ein Anbieter durch Regierungsdruck gezwungen wird, seine Acceptable-Use-Policy anzupassen, gilt diese Änderung weltweit. Wenn ein Modell in den USA aus politischen Gründen umtrainiert wird, hat das Konsequenzen für jeden Kunden, der auf das alte Verhalten gebaut hatte.
Diese Beobachtung erweitert die Resilienz-Frage um eine Dimension. Es geht nicht mehr nur darum, was passiert, wenn der Anbieter ausfällt. Es geht auch darum, was passiert, wenn der Anbieter durch externe politische Kräfte gezwungen wird, sich zu verändern - Acceptable Use, Modellgüte, regionale Verfügbarkeit, Datenpraxis. Wer auf einen einzelnen Anbieter setzt, koppelt sich an dessen politische Lage. Das war vor wenigen Jahren kein Thema. Heute ist es eines, das in der Risiko-Architektur eines Unternehmens explizit benannt werden sollte.
Der Wissensschatten: Angriffe, die nicht zerstören - und gerade deshalb gefährlich sind
Alle bisherigen Überlegungen drehten sich um Verfügbarkeit: Das System ist da oder es ist nicht da. Aber es gibt eine andere Angriffsklasse, die weder Ausfall noch politische Restriktion ist. Sie heisst Integritätsangriff. Das System funktioniert weiter. Es liefert Antworten. Es wirkt zuverlässig. Aber seine Ausgaben sind manipuliert, ohne dass es jemand bemerkt.
Diese Angriffsklasse ist 2025 vom theoretischen Risiko zur dokumentierten Praxis geworden. Im Juni 2025 machten Sicherheitsforscher mit EchoLeak die erste Zero-Click-Prompt-Injection in einem produktiven KI-System öffentlich - eine Schwachstelle in Microsoft 365 Copilot (CVE-2025-32711), die es einem Angreifer erlaubte, allein durch das Versenden einer E-Mail vertrauliche Unternehmensdaten auszuleiten. Keine Interaktion des Opfers nötig, kein Klick, kein Anhang. Die KI selbst führte die Manipulation aus, weil sie versteckte Instruktionen in einer eingegangenen E-Mail als Teil ihrer eigenen Anweisungen verstand. Microsoft musste Notfall-Patches herausgeben. NIST nennt indirekte Prompt Injection inzwischen "die grösste Sicherheitsschwäche generativer KI", OWASP führt sie als Nummer 1 der LLM-Bedrohungen für 2025 - und in der 2026er Liste für agentische Anwendungen rangiert Agent Goal Hijacking an der Spitze.
EchoLeak ist nur ein Beispiel. Im März 2026 demonstrierte Oasis Security einen vergleichbaren Angriff gegen claude.ai. Eine Analyse des Moltbook-KI-Agenten-Netzwerks fand, dass 2,6 Prozent der Beiträge in dem Netzwerk versteckte Prompt-Injection-Nutzlasten enthielten - die erste grossflächige Beobachtung von Bot-zu-Bot-Manipulation in einer produktiven Umgebung.
Was diese Beispiele verbindet, ist ihre Eigenschaft, nichts zu zerstören. Der Dienst läuft weiter. Der Mitarbeiter bekommt eine Antwort. Die Antwort wirkt plausibel. Sie ist nur falsch - manipuliert, leicht verschoben, mit einem subtilen Fehler versehen, der erst Wochen später Folgen hat. Eine Vertriebsantwort, die einen wichtigen Wettbewerber empfiehlt. Eine Preiskalkulation, die systematisch nach unten verschoben ist. Ein Code-Snippet mit einer eingebauten Schwachstelle, die im nächsten Audit auffallen wird - falls es überhaupt ein Audit gibt. Eine Marktanalyse mit erfundenen Zahlen, die als Entscheidungsgrundlage für eine strategische Investition dient.
Hier liegt das eigentliche Konzept, das diese Angriffe so wirksam macht: Sie operieren in einem Wissensschatten. Damit meine ich jene Zone der Unternehmensrealität, in der weder das Unternehmen noch der Anbieter routinemässig prüft, ob die Ausgaben des Systems korrekt sind - schlicht weil beide Seiten davon ausgehen, dass die KI funktioniert. Der Mitarbeiter prüft die Antwort nicht im Detail, weil er von Qualität ausgeht. Der Anbieter prüft die einzelne Antwort nicht, weil er die Situation und den Umfang nicht überblicken kann. Genau in diesem Schatten akkumuliert sich der Schaden.
Drei Eigenschaften machen Integritätsangriffe deutlich gefährlicher als Verfügbarkeitsangriffe. Erstens, sie sind schwer zu erkennen. Ein Ausfall ist sofort sichtbar; eine subtile Manipulation oft nie. Zweitens, sie sind schwer zuzuordnen. War das eine Halluzination? Ein Modell-Update? Ein Benutzerfehler? Ein gezielter Angriff? Die Ursachenanalyse ist deutlich aufwendiger als bei einem klassischen Cyber-Vorfall. Drittens, der Schaden kumuliert leise. Ein Ausfall hat einen klaren Anfang und ein klares Ende. Manipulierte Ausgaben akkumulieren sich über Wochen oder Monate - falsche strategische Entscheidungen, fehlerhafter Code, falsche Kunden-Klassifikationen, schleichende Wettbewerbsnachteile.
Damit öffnet sich eine neue Klasse wirtschaftlicher Angriffsvektoren, die mit keiner klassischen Cyber-Versicherung gedeckt ist und in den meisten Risikoanalysen nicht vorkommt. Ein Wettbewerber, der einen LLM-basierten Vertriebsassistenten manipuliert. Ein staatlicher Akteur, der die Code-Generierung in einer Branche subtil schwächt. Ein Erpresser, der über Wochen kleine Fehler in Geschäftsprozessen einbaut und dann fordert. Diese Szenarien klingen extrem - sie sind aber meines Erachtens nur eine Frage der Zeit, weil die Werkzeuge dafür bereits existieren. EchoLeak war nicht eine theoretische Studie. Es war ein realer, durchgespielter Angriff auf eine produktive Plattform mit über 10.000 Unternehmenskunden.
Wer Resilienz auf Verfügbarkeit reduziert, verliert diese Dimension aus seinem Blickfeld.
Was Redundanz im KI-Zeitalter wirklich kostet
Echte KI-Resilienz aufzubauen, hat einen Preis, und der Preis ist höher, als die meisten Unternehmen kalkulieren.
Eine sinnvolle Redundanz-Strategie verlangt mindestens dreierlei. Erstens, mehrere Anbieter parallel im aktiven Betrieb - nicht als theoretische Option, sondern als getestete Praxis. Das verdoppelt oder verdreifacht die laufenden API-Kosten, weil dieselbe Aufgabe in mehreren Systemen vorbereitet sein muss. Zweitens, eine Abstraktionsschicht in der eigenen Software, die den Anbieter austauschbar macht. Das ist technisch machbar, aber es verlangt Engineering-Aufwand und laufende Wartung - jemand muss diese Schicht pflegen, jedes Modell-Update prüfen, die Verträglichkeit testen. Drittens, regelmässige Failover-Übungen, in denen tatsächlich getestet wird, ob der Wechsel funktioniert. Ohne diese Übungen ist die Redundanz lediglich Theorie.
Für ein KMU mit überschaubarem Budget ist das eine ehrliche Herausforderung. Nicht unmöglich, aber so teuer, dass sich Entscheider die Sache mehr als zweimal überlegen. Die Versuchung ist allzu gross, sich auf "die fallen schon nicht aus" zu verlassen - und die meiste Zeit hat man recht.
Aber: Die Frage ist nicht, ob man die meiste Zeit recht hat. Die Frage ist, was passiert in den Stunden, in denen man unrecht hat. Wenn diese Stunden über das Quartalsergebnis entscheiden, über einen verlorenen Kundenauftrag, über eine gescheiterte Markteinführung, dann ist die Resilienz-Investition keine Übertreibung, sondern eine schlichte Versicherung gegen ein bekanntes Risiko.
Eine ehrliche Schwelle: Welche KMU sind besonders verwundbar?
Nicht jedes Unternehmen ist gleich verwundbar. Drei Kriterien helfen bei der Selbsteinschätzung.
Erstens, die Integrationstiefe. Wer KI nur sporadisch für Einzelaufgaben nutzt (gelegentliche Texterstellung oder Code-Hilfe), hat bei einem KI-Blackout nur geringe Folgen zu fürchten. Wer hingegen Workflows um KI gebaut hat - Vertriebspipelines mit KI-Vorqualifizierung, Kundenservice mit KI-Bot, Entwicklungsprozesse mit Vibe-Coding-Anteil -, ist deutlich verwundbarer. Der Ausfall trifft nicht eine Aufgabe, sondern den Prozess.
Zweitens, die Zeitkritik. Manche Aufgaben dulden ein paar Stunden Verzögerung, andere nicht. Wer einen Kundensupport mit garantierten Antwortzeiten betreibt, hat keine Pufferzeit. Wer eine Bewerber-Vorqualifizierung über Wochen laufen lässt, kann eine Pause aussitzen. Die Zeitkritik bestimmt, wie schmerzhaft jede ausgefallene Stunde ist.
Drittens, die Substituierbarkeit der Aufgabe. Manche KI-Aufgaben lassen sich notfalls manuell erledigen, andere nicht. Wer mit KI Texte schreibt, kann sie auch ohne schreiben - langsamer, aber möglich. Wer mit KI Embeddings für eine Vektorsuche erzeugt, hat ohne Anbieter schlicht keine Suchfunktion mehr. Die Substituierbarkeit bestimmt, wie weit der Schaden reicht.
Wer in allen drei Kategorien hoch eingestuft ist - tiefe Integration, hohe Zeitkritik, geringe manuelle Substituierbarkeit -, sollte Resilienz nicht als optionalen Luxus behandeln, sondern als operatives Muss. Wer in allen drei Kategorien niedrig ist, kann pragmatisch mit dem Risiko leben.
Was sich aus anderen Resilienz-Diskussionen lernen lässt
KMU-Entscheider kennen die Resilienz-Frage längst - aus anderen Bereichen. Die Lieferketten-Schocks während Corona, die Energie-Frage nach dem russischen Angriff auf die Ukraine, die Halbleiter-Engpässe der letzten Jahre - all das hat gezeigt, was passiert, wenn man kritische Inputs auf einen Lieferanten konzentriert und nicht über Alternativen verfügt.
Die Lehren aus diesen Krisen sind übertragbar. Erstens: die Konzentration auf einen Lieferanten ist eine effizienzoptimiete Entscheidung für normale Zeiten - und existenzbedrohend in Krisen. Zweitens: Redundanz kostet im Normalbetrieb, zahlt sich aber in seltenen Ereignissen aus, deren Wahrscheinlichkeit man systematisch unterschätzt. Drittens: Resilienz lässt sich nicht in der Krise selbst aufbauen - sie muss vorher entwickelt werden.
Diese Lehren gelten für KI-Werkzeuge genauso. Wer heute auf einen einzigen Anbieter setzt, weil er der beste ist, optimiert für Effizienz. Wer mehrere Anbieter parallel betreibt, optimiert für Resilienz. Beide Strategien haben ihre Berechtigung - aber sie haben unterschiedliche Konsequenzen, wenn die Lage kippt.
Was Unternehmen jetzt konkret tun sollten
Aus dieser Analyse ergeben sich fünf nüchterne Schritte, die jedes Unternehmen unabhängig von seiner Grösse angehen kann.
Schritt eins: Eine Kritikalitätsbewertung. Welche KI-gestützten Prozesse sind operativ kritisch, welche nicht? Diese Liste muss nicht perfekt sein, aber sie muss existieren. Sie ist die Grundlage für jede Resilienz-Investition.
Schritt zwei: Eine Ausfall-Simulation. Was würde tatsächlich passieren, wenn die Hauptanbieter für 24 Stunden nicht erreichbar wären? Welche Kunden-Versprechen wären gefährdet, welche internen Prozesse stünden still, wie viel Zeit hätten wir, bis sich ernsthafte Probleme daraus ergeben? Diese Simulation muss nicht aufwendig sein - ein Workshop mit den relevanten Abteilungen reicht.
Schritt drei: Mindestens ein Zweit-Anbieter im aktiven Betrieb. Nicht als theoretische Option, sondern als laufende Praxis. Ein europäischer Anbieter parallel zu OpenAI oder Anthropic. Auch wenn die Qualität ein wenig schlechter ist - wer den Wechsel nie geübt hat, kann ihn im Krisenfall nicht durchführen.
Schritt vier: Architektur-Entscheidungen, die Austauschbarkeit ermöglichen. Wer eine neue KI-Anwendung baut, sollte sie nicht direkt an die API eines Anbieters koppeln. Eine Abstraktions-Schicht ist kein technischer Luxus, sondern eine Strategie-Entscheidung. Sie kostet bei der Erstinstallation etwas mehr, spart aber im Krisenfall ein Mehrfaches.
Schritt fünf: Integritätsprüfung als laufender Prozess. Das ist die Konsequenz aus dem Wissensschatten-Problem. Wer KI-Ausgaben in geschäftskritische Prozesse einfliessen lässt, sollte Stichproben erheben und prüfen, Plausibilitätskontrollen einbauen, anomale Muster überwachen. Bei klassischer IT prüft niemand die Korrektheit jeder einzelnen Rechenoperation - bei KI sollte man das in Risikobereichen tun, weil die Fehler-Charakteristik anders ist. Eine pragmatische Mindestmassnahme: Bei jedem Prozess, der auf KI-Output aufbaut und geschäftliche Konsequenzen hat, regelmässige Vier-Augen-Kontrolle einer Stichprobe.
Diese fünf Schritte sind das KI-Äquivalent dessen, was Unternehmen bei Lieferketten und Energie längst tun. Was fehlt, ist die Übertragung dieser Resilienz-Logik auf die KI-Infrastruktur - und das oft deshalb, weil die Notwendigkeit noch nicht spürbar geworden ist.
Die Notwendigkeit kontinuierlicher Überwachung
Es gibt einen Aspekt, der die Resilienz-Diskussion von der reinen Backup-Frage unterscheidet, und er ist eng mit dem Wissensschatten verwandt. Bei klassischen IT-Ausfällen ist die Wiederherstellung ein technisches Problem - das System ist da, die Daten sind da, man muss es nur wieder anschalten. Bei KI-Ausfällen kann es passieren, dass der Dienst zwar wieder läuft, aber sich die Modellgüte verändert hat. Anbieter schrauben an ihren Modellen, ohne das immer transparent zu kommunizieren. Was gestern eine bestimmte Antwort erzeugt hat, kann morgen eine andere erzeugen. Wer Prozesse darauf gebaut hat, dass sich das Modell konsistent verhält, kann auch dann Probleme haben, wenn es technisch verfügbar ist.
Dieser Umstand ansich ist kein Angriff. Aber es erzeugt dieselbe Schadensklasse wie ein Integritätsangriff: Veränderungen im Verhalten des Systems, die nicht sofort sichtbar werden, aber kumulieren. Wer das versteht, hat zwei Schlüsse zu ziehen. Erstens: KI-Resilienz ist ein laufender Prozess, kein Projekt mit Endpunkt. Zweitens: Die Investition in Architektur-Entscheidungen und Integritätsprüfung, die das Verhalten des Systems überwachbar machen, ist langfristig billiger als die Reparatur eines kumulierten Schadens, der erst Monate später als Problem zu erkennen ist.
Was bleibt, ist eine ehrliche Frage, die jeder Unternehmensentscheider für sich beantworten sollte: Wenn die KI heute Nachmittag für 48 Stunden ausfiele - wer im Unternehmen wüsste, was zu tun ist? Und ergänzend, vielleicht wichtiger: Wenn die KI seit Wochen leicht manipulierte Antworten liefert - wer im Unternehmen würde es überhaupt bemerken? Wenn die Antwort auf eine der beiden Fragen "niemand" lautet, dann ist Resilienz keine theoretische Übung mehr, sondern eine Hausaufgabe, die schon überfällig ist.