KW 18: On-Premises-KI, Compliance-Fristen und das Backup als Angriffsziel

89 Prozent. So viele Unternehmen planen laut einer aktuellen Studie, ihre On-Premises-Infrastruktur in den nächsten zwei Jahren auszubauen. Das ist keine Trendwende auf dem Papier, das ist eine strategische Neuausrichtung im Markt. Die Woche vom 27. April bis 1. Mai 2026 hat diese Entwicklung auf gleich drei Ebenen bestätigt: technisch, regulatorisch und in der Risikolandschaft.


Lokale KI: Der Rückzug aus der Cloud nimmt Fahrt auf

Treiber dieser Entwicklung ist die KI. Wer sensible Unternehmensdaten für KI-Anwendungen nutzen will, stößt in der Cloud auf strukturelle Probleme, die sich nicht durch Verträge wegverhandeln lassen: Latenz, DSGVO-Risiken, CLOUD Act. 85 Prozent der befragten IT-Verantwortlichen geben an, dass KI-Anforderungen ihre Entscheidung für lokale Infrastruktur direkt beeinflussen. Mehr als die Hälfte bezweifelt, dass Cloud-Angebote die Latenzanforderungen für KI-Inferenz zuverlässig erfüllen.

Das ist kein akademisches Argument. Wer KI-Modelle auf US-Cloud-Diensten betreibt, gibt potenziell Einblick in Geschäftsdaten, auch wenn Server physisch in Europa stehen. Der CLOUD Act ermöglicht US-Behörden den Zugriff unabhängig vom Standort. Diese Woche rückte das Thema erneut in den Vordergrund: Microsoft Copilot als konkretes Beispiel, wie Daten die Unternehmensgrenze verlassen, ohne dass IT-Verantwortliche es aktiv wahrgenommen haben.

Dass das Bundesministerium gleichzeitig aktiv die Entwicklung einer deutschen On-Premises-KI-Plattform fördert, ist kein Zufall. Digitale Souveränität ist von einem Differenzierungsmerkmal zum Kaufkriterium geworden.


NIS2 und KRITIS-DachG: Zwei Fristen, kein Spielraum

Wer die Compliance-Themen der vergangenen Monate noch als abstrakte Regulatorik abgetan hat, bekommt in KW 18 die Quittung in Form von Zahlen.

Das NIS2-Umsetzungsgesetz gilt seit Dezember 2025, ohne Übergangsfrist. Rund 29.500 Unternehmen in 18 Sektoren sind betroffen. Zu den zentralen Anforderungen gehört explizit das Backup- und Notfallmanagement. Wer das nicht nachweisen kann, riskiert Bußgelder bis zu 10 Millionen Euro. Die BSI-Registrierungsfrist ist verstrichen, Bußgeldverfahren sind damit grundsätzlich möglich.

Parallel rückt das KRITIS-Dachgesetz, das im März 2026 in Kraft getreten ist, in die operative Phase. Betreiber kritischer Anlagen haben bis zum 17. Juli 2026 Zeit, sich beim BBK zu registrieren. Das klingt nach ausreichend Vorlauf, ist es aber nicht: Die Registrierung setzt voraus, dass Schutzmaßnahmen bereits analysiert und dokumentiert sind. Wer jetzt noch in der GAP-Analyse steckt, hat wenig Puffer.

Für Betreiber im Public-Sektor, Gesundheitswesen und der Energieversorgung gilt: NIS2 und KRITIS-DachG greifen gleichzeitig. Backup-Pflicht und physische Datensicherheit werden parallel eingefordert.


Ransomware greift die Backup-Infrastruktur an

Eine Entwicklung, die diese Woche erneut durch Berichte und Warnhinweise bestätigt wurde: Ransomware-Angreifer gehen nicht mehr ausschließlich nach Produktionsdaten. Backup-Infrastruktur selbst ist zum Ziel geworden, manipulierte Snapshots, verschlüsselte NAS-Systeme, gelöschte Repositories. Das BSI verzeichnet steigende Meldezahlen. Die entscheidende Frage ist nicht mehr, ob Backups existieren, sondern ob sie unter Angriffsbedingungen wiederhergestellt werden können.

Der technische Unterschied zwischen logischen und physischen Sicherungskonzepten gewinnt in diesem Kontext an Bedeutung. Logische Air Gaps, die von mehreren bekannten Backup-Anbietern aktiv vermarktet werden, bleiben grundsätzlich über Netzwerkpfade erreichbar. Physisch entnommene oder galvanisch getrennte Speichermedien hingegen nicht.


Was diese Woche auf LinkedIn diskutiert wurde

In der Fachcommunity dominierten zwei Themen: Datensouveränität bei KI-Anwendungen und der FAST LTA Messeauftritt auf der DMEA in Berlin. Die DMEA ist eines der größten Healthcare-IT-Events Europas, und die Resonanz auf die Posts des FAST LTA Corporate Accounts war sichtbar: mehr als 65 Reaktionen auf die Messebeiträge, mehrere aktive Kommentare und Reposts. Der Silent AI Launch wurde im selben Zeitraum über fünf Presseportale syndiziert.

Die thematische Klammer der Woche auf LinkedIn: KI ja, aber ohne Kontrollverlust über die eigenen Daten. Ob bei Copilot-Alternativen, On-Premises-Infrastruktur oder Compliance-Argumenten, die Frage nach Datensouveränität war in nahezu jedem relevanten Post präsent.


Fazit

KW 18 hat drei Entwicklungen in eine Richtung gelenkt: Regulatorischer Druck steigt, der Bedarf nach lokaler KI-Kontrolle wächst, und Backup-Infrastruktur ist keine passive Sicherheitszone mehr. Unternehmen, die in diesem Dreieck stehen, stehen nicht am Anfang einer Entscheidung. Sie stehen am Ende einer Schonfrist.

Quellen