KI vollständig air-gapped betreiben

Es gibt eine Stufe der Datensensitivität, bei der "private Cloud" nicht ausreicht. Patientendaten nationaler Gesundheitssysteme, Geheimdienstbewertungen, Kontrolllogik kritischer Infrastruktur, M&A-Deal-Räume - in diesen Umgebungen ist der einzige akzeptable Netzwerkperimeter kein Netzwerk. Air-gapped KI bedeutet, Large Language Models auf Hardware zu betreiben, die nie eine und nie haben wird eine Live-Internetverbindung. Privonis entwirft und deployt genau diese Klasse von Systemen.

Was air-gapped tatsächlich bedeutet

Ein Air Gap ist eine physische und logische Isolation: kein Ethernet-Uplink, kein WLAN-Funkmodul, kein Bluetooth, kein Out-of-Band-Management-Port, der von außerhalb der sicheren Enklave erreichbar ist. Daten gelangen nur durch kontrollierte Medien ein und aus - verschlüsselte USB-Sticks mit Hardware-Schreibsperren, optische Einweg-Datendioden oder physisch begleitete Wechseldatenträger. Der KI-Inferenz-Stack, die Modellgewichte, die Vektordatenbank und die nutzerzugewandte Schnittstelle laufen alle vollständig innerhalb der Enklave. Keine Abfrage, kein Dokumentenfragment, keine Einbettung verlässt das Gebäude.

Wer es benötigt

• Verteidigungs- und Geheimdienste, die klassifiziertes Material verarbeiten
• Betreiber kritischer Infrastruktur (Stromnetze, Wasseraufbereitung, Verkehr)
• Krankenhäuser und Krankenversicherer, die Patientendaten unter NIS2 oder sektorspezifischen Regeln verwalten
• Investmentbanken und M&A-Berater, die an Dokumenten vor der Ankündigung von Deals arbeiten
• Regierungsministerien, die nationalen Sicherheitsdatenverwaltungsmandaten unterliegen
• Industriehersteller, die proprietäre Prozessrezepte oder CAD-Designs schützen

Der gemeinsame Faden ist nicht nur die regulatorische Pflicht, sondern die Konsequenzasymmetrie: Ein Sicherheitsvorfall oder eine Exfiltration in diesen Sektoren verursacht Schaden, den kein Vertrag, keine Geldstrafe und keine PR-Kampagne reparieren kann. Air-Gapping eliminiert die Netzwerkangriffsfläche vollständig, anstatt sie zu härten.

Wie Modell-Updates ohne Internet funktionieren

Der häufigste Einwand gegen air-gapped KI ist Modellveralterung: "Was passiert, wenn ein besseres Modell veröffentlicht wird?" Die Antwort ist ein kontrollierter Update-Workflow. Neue Modellgewichte werden auf einer internetfähigen Vorbereitungs-Workstation heruntergeladen und kryptografisch signiert, die außerhalb der sicheren Enklave lebt. Die Gewichte und ihre Signaturdatei werden auf einmal beschreibbare optische Medien oder ein hardwareverschlüsseltes Laufwerk übertragen. Innerhalb der Enklave prüft ein Integritätsverifizierungsschritt die Signatur gegen den bekannten öffentlichen Schlüssel, bevor das Modell geladen wird. Die Vorbereitungs-Workstation und die Transfermedien betreten die Enklave nie; nur die verifizierte Nutzlast überquert die Grenze. Privonis automatisiert diese Pipeline, sodass Updates, die sonst eine Woche manuelle Prozesse erfordern würden, in einem kontrollierten zweistündigen Wartungsfenster abgeschlossen werden.

Kompromisse, die man akzeptieren muss

Air-Gapping erzwingt echte Einschränkungen, die Käufer verstehen sollten, bevor sie sich verpflichten. Echtzeit-Bedrohungsintelligenz-Feeds, automatische Software-Patches und cloudgehostete Monitoring-Dashboards sind per Definition nicht verfügbar. Web-Retrieval-Augmentation - wo das Modell Live-URLs abruft, um Fragen zu beantworten - ist ohne eine sorgfältig kontrollierte Einweg-Datendiode unmöglich. Latenz bei Modell-Updates ist höher als bei verbundenen Deployments. Und der erste Inbetriebnahme-Prozess ist aufwändiger: Privonis-Ingenieure nehmen physisch an der Installation teil, es gibt kein Remote-Bootstrap. Das sind keine Fehler; das sind die bewussten Kosten der Sicherheitsgarantie.

Die Netzwerkangriffsfläche zu eliminieren ist keine Konfigurationsoption - es ist ein architektonisches Bekenntnis. Air-Gapping ist die einzige Kontrolle, die netzwerkbasierte Exfiltration physisch unmöglich macht.

Wie Privonis air-gapped KI deployt

Privonis liefert vorkonfigurierte Server-Nodes mit bereits geladenen und verifizierten Modellgewichten. Die Hardware kommt versiegelt an, mit manipulationssicherer Verpackung und einem Hardware-Attestierungszertifikat. Die Inbetriebnahme vor Ort dauert ein bis zwei Tage: Der Privonis-Ingenieur installiert den Node in der sicheren Enklave des Kunden, führt eine lokale Abnahmetestsuite durch und übergibt das System mit vollständiger Dokumentation. Keine Modellgewichte, Konfigurationen oder Diagnosedaten werden während dieses Prozesses übertragen - der Inbetriebnahme-Laptop arbeitet in einem isolierten Modus und seine Protokolle verbleiben vor Ort.

Post-Deployment-Support folgt demselben physischen Protokoll. Fernzugriff wird nie gewährt. Support-Sitzungen finden über ein lokales Terminal innerhalb der Enklave oder über einen gesicherten Videoanruf statt, bei dem der Ingenieur den eigenen Operator des Kunden durch jede Prozedur führt. Diese Disziplin ist anspruchsvoll, aber es ist die einzige ehrliche Weise, eine echte Air-Gap-Garantie anzubieten - und deshalb vertrauen Kunden aus Verteidigung und kritischer Infrastruktur Privonis mit ihren sensibelsten Workloads.