#4 Edgeless Systems: Verschlüsselt rechnen statt Millionen verbauen

Behörden wollen KI. Aber sie haben restriktive Datenschutzrichtlinien. Also kaufen sie für Millionen eigene Hardware. Ein Bochumer Startup sagt: Das muss nicht sein.

Stellt euch vor, ihr arbeitet bei der Bundesagentur für Arbeit. Jeden Tag landen Bürgeranfragen auf eurem Tisch, ihr müsst Richtlinien nachschlagen, Bescheide formulieren, Fälle einordnen. Ihr wisst, dass KI dabei helfen könnte. Eure Freunde nutzen längst ChatGPT. Aber ihr dürft nicht. Weil die Daten, mit denen ihr arbeitet, sensibel sind. Und ein amerikanischer Cloud-Dienst kommt nicht infrage.

Das ist die Realität in vielen deutschen Behörden gerade. Die Lösung, auf die viele setzen: eigene Hardware kaufen. Nvidia-GPUs bestellen, große Unternehmensberatungen beauftragen, das Ganze irgendwo im eigenen Rechenzentrum aufbauen. Fünf Leute einstellen, die das betreiben. Das funktioniert, aber es ist teuer, langsam und skaliert schlecht. Und manchmal kommt die Hardware einfach nicht. Ein Bundesland wollte sich einen lokalen KI-Cluster von Oracle hinstellen lassen. Der kam nicht. Das KI-Projekt konnte nicht starten.

Felix Schuster hat eine andere Idee.

Schuster ist CEO von Edgeless Systems, einem Startup aus Bochum mit inzwischen mehr Mitarbeitern in Berlin als am Hauptsitz. Seine Firma nutzt eine Technologie namens Confidential Computing. Die Kurzversion: Moderne Prozessoren von Intel, AMD und seit kurzem auch Nvidia können Daten verschlüsselt halten, während sie verarbeitet werden. Nicht nur beim Speichern, nicht nur beim Transport, sondern auch in dem Moment, in dem der Prozessor damit rechnet. Von außen sieht man nur verschlüsselten Datenmüll. Selbst der Cloud-Betreiber kann nicht reinschauen.

Das klingt nach einer Nischentechnologie. Ist es nicht. Die deutsche E-Patientenakte läuft auf Software von Edgeless Systems. 50 Millionen Nutzer, gehostet auf IBM-Infrastruktur, geschützt durch Confidential Computing. IBM betreibt alles, kann aber die Patientendaten nicht im Klartext sehen. Das ist regulatorisch so gefordert. Deutschland ist hier laut Schuster weltweit führend, auch wenn das kaum jemand weiß.

Das Spannende ist, was Schuster daraus gebaut hat. Seit Nvidia die gleichen Sicherheitsfeatures in seine KI-Chips eingebaut hat, kann Edgeless Systems auch KI-Dienste so absichern. Das Ergebnis nennt sich Confidential AI as a Service. Konkret heißt das: Open-Source-Sprachmodelle laufen in einem Rechenzentrum in Frankreich, verpackt in einer verschlüsselten Umgebung. Behörden können sich per API anschließen, genau wie bei OpenAI, nur dass niemand mitlesen kann. Kein Cloud-Betreiber, kein Admin, niemand.

Bei der Bundesagentur für Arbeit läuft bereits ein Pilot. Die Mitarbeiter nutzen einen Chatbot, der an eine interne Wissensdatenbank angeschlossen ist, mit Richtlinien, Gesetzen, und internen Dokumenten. Sie können sensible Fragen stellen, ohne dass die Daten das geschützte System verlassen. Auch das Land Nordrhein-Westfalen hat Edgeless Systems getestet, als Alternative zum teuren eigenen KI-Cluster. Die Erkenntnis dort: Alles, was normalen Schutzbedarf hat, also personenbezogene Daten und interne Prozesse, muss gar nicht auf eigener Hardware laufen. Es geht auch sicher aus der Cloud.

Ich habe mich mit Schuster unterhalten, weil ich verstehen wollte, warum das nicht längst überall eingesetzt wird. Seine Antwort war ehrlich: „Wir haben ein Bekanntheitsproblem. Die meisten Leute, die das Problem haben, haben noch nicht von uns gehört.” Edgeless Systems ist der einzige europäische Anbieter in diesem Bereich. Wenn das Produkt von Aleph Alpha käme, sagt Schuster, wäre es wahrscheinlich schon viel weiter.

Dazu kommt eine technische Einschränkung. Edgeless Systems kann nur Modelle nutzen, die öffentlich verfügbar sind. Also kein aktuelles Claude, kein GPT der neuesten Generation. Stattdessen Open-Source-Modelle von Meta, Mistral, chinesische Modelle oder ein älteres GPT von OpenAI. Das bedeutet: Man ist ungefähr ein halbes Jahr hinter dem State of the Art. Für viele Behördenanwendungen reicht das locker. Wer Bürgeranfragen zusammenfassen oder Richtlinien durchsuchen will, braucht kein Spitzenmodell. Aber es ist eine Einschränkung, über die man sprechen muss.

Fairerweise: Es gibt auch Kritik. Der AWS-Kommentator Corey Quinn hat Confidential Computing als Lösung für die „Aluhut-Fraktion“ bezeichnet. Sein Argument: Entweder ich vertraue meinem Cloud-Anbieter oder nicht. Wenn ja, brauche ich die Technologie nicht. Wenn nein, sollte ich seine Cloud gar nicht nutzen. Das ist nachvollziehbar, wenn man als Unternehmen frei entscheiden kann. Behörden können das nicht. Die verarbeiten Daten, bei denen der Gesetzgeber vorgibt, wie viel Schutz nötig ist. Nicht per Vertrag, sondern per Hardware. Für die öffentliche Verwaltung ist Confidential Computing die Voraussetzung, überhaupt in die Cloud gehen zu dürfen.

Was mich seit dem Gespräch am meisten beschäftigt hat: Hier gibt es ein funktionierendes Produkt. Es schützt bereits 50 Millionen Patientenakten. Das BSI hat Anfang des Jahres einen Leitfaden veröffentlicht, der vorsieht, dass künftig sogar Verschlusssachen mit Confidential Computing in der Cloud verarbeitet werden dürfen. Die Technologie ist da, die Regulierung bewegt sich in diese Richtung.

Und trotzdem kaufen Behörden lieber für Millionen eigene Hardware, weil sie von der Alternative noch nie gehört haben. Oder weil der Beschaffungsprozess es erleichtert, Hardware zu bestellen, als einen Cloud-Dienst zu buchen. Oder weil jemand bereits fünf Millionen Euro für Nvidia-GPUs ausgegeben hat und jetzt nicht mehr zurück kann.

Ich glaube: Confidential Computing wird in den nächsten Jahren ein großes Thema für die Verwaltung. Nicht weil die Technologie so neu ist, sie gibt es seit über zehn Jahren, sondern weil sie endlich reif ist für den Alltag. Die Frage ist, ob die Verwaltung das mitbekommt, bevor sie sich in teuren Eigenbauten verrannt hat.

Edgeless Systems stellt seinen Code größtenteils öffentlich auf GitHub zur Verfügung. Wer sich die Architektur selbst ansehen will, findet dort auch die Dokumentation. Hier entlang.

Das BSI hat Anfang 2026 einen neuen Leitfaden veröffentlicht, der vorsieht, dass Verschlusssachen künftig mit Confidential Computing in der Cloud verarbeitet werden dürfen.

Die Open Confidential Computing Conference findet einmal im Jahr in Berlin statt. Dort sprachen in diesem Jahr unter anderem CTOs von AMD, Microsoft Azure und Nvidia.

Corey Quinns Gegenposition „Confidential Computing Is for the Tinfoil Hat Brigade” seit Kurzem gibt es bei Last Week in AWS. Lesenswert als Gegengewicht.

Meinen Text zum Gespräch mit Felix Schuster gibt es beim Tagesspiegel Background. Hier der Link.

Privatmode.ai von Edgless Sytems ist jetzt auch ohne Anmeldung im Browser nutzbar.

Was denkt ihr, braucht jede Behörde ihren eigenen KI-Cluster? Oder gibt es einen intelligenteren Weg?

Schönes Wochenende!