Deutschland bekommt ein eigenes AI Security Institute (AISI). Der Nationale Sicherheitsrat hat die Einrichtung eines KI-Sicherheitsinstituts beschlossen, dessen Aufgabe es sein soll, die Fähigkeiten und Risiken modernster KI-Modelle zu bewerten, Regierung und Verwaltung zu beraten und sich mit verbündeten Instituten im Ausland zu vernetzen. Bundesdigitalminister Karsten Wildberger (CDU) kündigte an, das Institut mit „Top-Expertise von Experten auf Weltniveau“ auszustatten, nach dem Vorbild des britischen AI Security Institute.Ausschlaggebend für die Idee war vor allem die Erfahrung mit dem KI-Modell „Claude Mythos“ – einer KI, die eigenständig tief verborgene Schwachstellen in weitverbreiteter Software aufspürt. Während seiner Vorstellung im Frühjahr durften es außer einigen US-Stellen allein die Fachleute des britischen AI Security Institute prüfen. Deutschland war nicht dabei. Es fehlte schlicht die Institution, die ein solches Modell hätte beurteilen können, und damit die Möglichkeit, sich selbst ein Bild von einer Technologie zu machen, die unmittelbar die nationale Sicherheit berührt.Das deutsche AISI soll zunächst virtuell geführt werden und dabei auf Strukturen und Kompetenzen der Bundesnetzagentur und des Bundesamts für Sicherheit in der Informationstechnik (BSI) zurückgreifen. Ob das Institut dem britischen Vorbild tatsächlich nahekommen wird, entscheidet sich allerdings erst an seiner konkreten Ausgestaltung. Gelingt diese, ist ein solches Institut eine Chance für die Sicherheit des Landes ebenso wie für seine Wirtschaft.Warum Frontier-KI ein Sicherheitsrisiko istWie ernst die Lage ist, führt unter anderem das britische Institut vor. Sein „Red Team“ hat führende Modelle dazu gebracht, Bauanleitungen für chemische und biologische Waffen preiszugeben und aufwendige Netzwerkangriffe zu entwerfen. Jüngst stellte es sogar ein automatisiertes Verfahren vor, das die stärksten Schutzfilter der führenden Anbieter überwindet, die zuvor Tausende Stunden menschliche Angriffsversuche abgewehrt hatten.Und je stärker KI in kritische Infrastruktur wie Strom-, Finanz- oder Kommunikationsnetze eingebunden ist, desto verwundbarer wird sie, wenn diese Systeme versagen, gezielt angegriffen werden oder sich sogar der menschlichen Kontrolle entziehen. Solche Fähigkeiten sind keine Frage des Verbraucherschutzes mehr, sondern berühren unmittelbar die nationale Sicherheit.Wer die Risiken einschätzen und vor ihnen schützen will, braucht eigene technische Expertise. Andernfalls ist man darauf angewiesen, dass die KI-Unternehmen oder andere Regierungen die Risiken für einen bewerten und ihre Erkenntnisse teilen. Souveränität fängt also damit an, selbst zu begreifen, wozu diese Modelle in der Lage sind. Wie fragil schon der bloße Zugang ist, führte zuletzt die amerikanische Regierung vor, als sie per Exportkontroll-Anordnung den Zugriff auf Anthropics jüngste Modelle Fable 5 und Mythos 5 für alle Nicht-US-Bürger sperrte.Auch wirtschaftlich eine ChanceDie Chance ist nicht nur sicherheitspolitischer, sondern auch wirtschaftlicher Natur. Ein Staat, der Frontier-KI technisch versteht, ist für Investoren und Unternehmen ein attraktiver Partner und kann das Vertrauen schaffen, das den Einsatz dieser Systeme gerade in sensiblen Branchen überhaupt erst ermöglicht. Ein renommiertes Sicherheitsinstitut zieht knappe Talente an, die später in Wirtschaft und Verwaltung zirkulieren, stärkt die nationale KI-Landschaft und verringert Abhängigkeiten von außereuropäischen Anbietern.In Großbritannien halfen Fachleute des AISI, einen staatlichen Fonds (Sovereign AI Unit) aufzubauen, der 500 Millionen Pfund in britische Start-ups investiert. Sicherheitskompetenz ist hier kein Bremsklotz für Innovation, sondern ihre Voraussetzung.Worauf es beim Aufbau ankommtWie stark ein deutsches AISI sein Potential entfalten kann, hängt davon ab, ob es von Beginn an mit den nötigen Kapazitäten ausgestattet wird. Das verlangt vor allem dreierlei: internationale Spitzenkräfte, eine handlungsfähige Struktur und ausreichende Mittel.Entscheidend ist, dass Deutschland internationale Spitzenkräfte für diese Aufgabe gewinnen kann, wie Wildberger plant. In der Tat verdankt das britische AISI seinen Erfolg den rund hundert Mitarbeitenden aus Nachrichtendiensten, Wissenschaft und Techunternehmen wie Open AI oder Google Deep Mind. Solche Fachleute gewinnt man nur mit konkurrenzfähigen Gehältern und einem attraktiven Arbeitsumfeld. Beides verlangt eine handlungsfähige, unbürokratische Organisationsstruktur.Nach dem Vorbild der Innovationsagentur SPRIND ließe sich das Institut als eigenständige Gesellschaft des Bundes führen, die nicht an die Gehaltsgrenzen des öffentlichen Dienstes gebunden ist. Daneben braucht es ausreichende Mittel. Finanziell sollte es in der Liga des britischen Vorbilds spielen, das jährlich rund 75 Millionen Euro erhält. Der sicherheitspolitische Auftrag legt nahe, dafür auch Mittel aus dem Verteidigungsetat zu nutzen.Damit das gelingt, sollte am Anfang eine Taskforce aus ausgewiesenen Fachleuten für KI-Sicherheit stehen, die das Institut von Grund auf richtig konzipiert, früh eine renommierte Leitung gewinnt, die Zugang zur politischen Spitze hat und den Aufbau des Instituts vorantreibt.Eine Ergänzung zu BrüsselSo wichtig wie die Ausstattung ist der Auftrag. Im Kern geht es um wissenschaftliche Forschung und die fachliche Beratung der Politik zu den Folgen von Frontier-KI für die nationale Sicherheit. Der Blick darf sich dabei nicht auf die Cybersicherheit verengen, sondern muss, wie angekündigt, die ganze Bandbreite systemischer Risiken von Frontier-KI umfassen. Ebenso entscheidend ist, bei diesem Fokus zu bleiben. Großbritanniens Institut ist auch deshalb erfolgreich, weil es seinen Fokus selbst unter dem Druck einzelner Interessengruppen nicht ausgeweitet hat. Ein deutsches AISI sollte nicht zur Allzweckinstanz für alles werden, was mit KI zu tun hat – und schon gar nicht zu einer weiteren Aufsichtsbehörde, die neue Bürokratie und Regeln produziert.Regulieren muss ein solches Institut ohnehin nicht. Das ist die Aufgabe Brüssels, wo das EU AI Office für die Einhaltung des EU AI Acts für Allzweck-Modelle (General-Purpose AI, GPAI) verantwortlich ist und ab August Bußgelder verhängen kann. Auch wenn die nationale Sicherheit nach den EU-Verträgen Sache der Mitgliedstaaten bleibt, fehlt Deutschland aktuell nicht neue Regulierung, sondern vor allem die Fähigkeit, die Risiken zu beurteilen.Genau hier ergänzt ein deutsches AISI die europäische Aufsicht, indem es der Bundesrepublik nicht nur diese Fähigkeit verschafft, sondern auch Zugang zu Spitzenmodellen und den Anschluss an das internationale Netz verbündeter Institute, die ihre Modellbewertungen teilen und internationale Standards setzen, von den USA und Großbritannien über Kanada, Japan und Singapur bis hin zu Frankreich.Auch zur europäischen Ebene selbst entstünde eine wechselseitige Beziehung. Das EU AI Office gewinnt Erkenntnisse aus dem direkten Austausch mit den Anbietern, während ein deutsches AISI umgekehrt sicherheitsrelevante Forschungsergebnisse sammelt. Ein regelmäßiger Abgleich dieser Erkenntnisse läge im Interesse beider Seiten.Handlungsfähigkeit in der Künstlichen Intelligenz beginnt damit, zu verstehen, was sie kann. Entscheidend ist deshalb nicht, dass Deutschland ein Institut gründet, sondern dass es das richtige gründet. Das verlangt Spitzentalente, ein ernst zu nehmendes Budget und den politischen Willen auf höchster Ebene. Gelingt das, gewinnt Deutschland doppelt – sicherheitspolitisch und wirtschaftlich.Monika Schnitzer ist Professorin an der LMU in München und Vorsitzende des Sachverständigenrates zur Begutachtung der gesamtwirtschaftlichen Entwicklung.Antonia Jülich forscht an der University of Cambridge.