Deutschland reagiert auf technologische Grenzfragen gern mit einer vertrauten Geste: Man gründet etwas. Eine Stelle, ein Zentrum, ein Institut, einen Beirat, eine Plattform. So entsteht der Eindruck von Bewegung, noch ehe geklärt ist, wer dort arbeiten soll, welche Befugnisse bestehen, welche Modelle geprüft werden dürfen, welche Rechenleistung verfügbar ist und welcher operative Zugriff im Ernstfall greift.

Nun steht ein deutsches AI Security Institute im Raum. Der Anlass ist real. Künstliche Intelligenz verändert die Cyberlage. Anthropic hat mit „Claude Mythos Preview“ ein Modell angekündigt, das Schwachstellen in Software finden kann. In den richtigen Händen schützt es Systeme. In den falschen Händen beschleunigt es Angriffe. BSI-Präsidentin Claudia Plattner spricht nach einem Bericht von Table Berlin von einem Paradigmenwechsel bei Cyberbedrohungen. Großbritannien hat mit seinem AI Security Institute bereits gezeigt, dass solche Modelle vorab getestet, bewertet und in Szenarien geprüft werden können.

Die deutsche Antwort droht trotzdem wieder in ein Verwaltungsformat zu kippen. Ein Institut beim BSI, womöglich mit Beteiligung der Bundesnetzagentur, zunächst klein ausgestattet, in bestehende Zuständigkeiten eingepasst, mit dem Versprechen internationaler Anschlussfähigkeit. Das klingt vernünftig. Gerade darin liegt das Problem.

Die Stellenanzeigen verraten das Problembewusstsein

Die Personalfrage ist der blinde Fleck der Debatte. Wer soll ein solches Institut tragen? Wer soll Frontier-Modelle testen, Red-Teams führen, autonome Agentensysteme bewerten, Exploit-Ketten simulieren, Schwachstellen in Code und Modellverhalten erkennen, Benchmarks entwickeln und mit OpenAI, Anthropic, Google DeepMind, Mistral oder Aleph Alpha auf fachlicher Ebene verhandeln?

Solche Leute fallen nicht aus einem Organigramm. Sie entstehen nicht durch einen Kabinettsbeschluss. Sie bewerben sich auch nicht automatisch auf Stellen, deren Sprache bereits erkennen lässt, dass der öffentliche Sektor oft kaum beschreiben kann, welche digitale Kompetenz er überhaupt sucht.

Ein Blick auf die Personalnachfrage der Verwaltung reicht. Digitale Kompetenz taucht zwar häufiger in Stellenanzeigen auf. Doch bei KI und Machine Learning bleibt das Bild eng. Die einschlägigen Ausschreibungen liegen überwiegend im Hochschul- und Forschungsbereich. In der Breite der Verwaltung ist aus KI-Kompetenz bislang kein durchgängiges Anforderungsprofil geworden. Das ist kein Randbefund. Es ist der Kern des Problems.

Die Verwaltung sucht zu selten die Leute, die sie für die digitale Sicherheitslage bräuchte. Damit zeigt sie, dass das Problembewusstsein noch nicht tief genug reicht. Man spricht von KI-Sicherheit, findet aber im eigenen Personalapparat keine ausreichende Sprache für KI-Fähigkeiten. Man will ein Institut gründen, bevor klar ist, wie man die wenigen Menschen gewinnt, die ein solches Institut überhaupt handlungsfähig machen.

Der öffentliche Dienst konkurriert nicht mit sich selbst

Hinzu kommt die Arbeitsmarktlage. Dem öffentlichen Dienst fehlen Hunderttausende Beschäftigte. Gleichzeitig konkurriert der Staat bei KI-Sicherheit nicht mit Landesämtern, Kommunen oder anderen Bundesbehörden. Er konkurriert mit den bestbezahlten und technologisch attraktivsten Arbeitgebern der Welt. Wer Exploit-Forschung, Modellprüfung, KI-Sicherheitsarchitektur und Cyberabwehr wirklich beherrscht, kann bei Tech-Konzernen, spezialisierten Sicherheitsfirmen, Forschungsinstituten oder Start-ups arbeiten. Dort gibt es Geld, Tempo, Geräte, Modelle, Daten, Rechenleistung und eine Kultur, die technische Exzellenz nicht erst in eine Laufbahngruppe übersetzen muss.

Ein deutsches AI Security Institute im unteren zweistelligen Stellenbereich wäre in dieser Lage keine Antwort auf das britische Vorbild. Es wäre eine Geste. Großbritannien konnte Wirkung entfalten, weil politischer Zugriff, Top-Recruiting, fachliche Autonomie und frühe Nähe zu den relevanten Entwicklerkreisen zusammenkamen. Dort geht es um Reputation, Modellzugang, persönliche Netzwerke, Veröffentlichungen und operative Tests. Deutschland darf daraus nicht die Lehre ziehen, ein ähnliches Schild an eine bestehende Behörde zu hängen. Das wäre institutionelle Mimikry.

Regulierung prüft keine Angriffsketten

Die Bundesnetzagentur kann regulieren. Das BSI kann beraten, zertifizieren, warnen, koordinieren und technische Standards setzen. Beide Rollen sind wichtig. Doch KI-Sicherheit im engeren Sinne verlangt mehr. Sie verlangt Laborfähigkeit, Angriffssimulation, Zugriff auf Modelle, Testumgebungen, Geheimschutz, Rechenkapazität, Codekompetenz, Red-Teams, schnelle Beschaffung, internationale Kontakte und die Bereitschaft, unter Unsicherheit zu urteilen.

Ein Institut, das vor allem aus der Logik des AI Act gedacht wird, wird Anbieter betreuen, Pflichten erklären, Verfahren ordnen und Berichte schreiben. Das kann hilfreich sein. Es löst aber nicht die Frage, wie der Staat auf KI-gestützte Angriffe reagiert, die nicht aus dem Bereich regulierter Anbieter kommen.

Der Gegner wartet nicht auf Konformitätsbewertungen. Kriminelle Gruppen lesen keine Leitfäden, bevor sie KI-Systeme für Schwachstellensuche nutzen. Staatlich geduldete Akteure richten sich nicht nach Meldefristen. Desinformationsnetzwerke fragen keine Aufsicht, bevor sie synthetische Inhalte in Umlauf bringen. Wer KI-Sicherheit aus der Perspektive von Regulierung baut, bereitet sich auf einen Gegner vor, der am Verfahren gar nicht teilnimmt.

Deutschland hat schon Zentren

Wer ein deutsches AI Security Institute fordert, sollte zuerst auf die Landkarte der vorhandenen Sicherheitsarchitektur schauen. Dort herrscht kein institutioneller Mangel. Deutschland hat ein BSI, ein BKA, eine Bundespolizei, Nachrichtendienste, das Kommando Cyber- und Informationsraum der Bundeswehr, eine Cyberagentur, einen Cyber Innovation Hub, Schwerpunktstaatsanwaltschaften, Landeszentren, CERT-Strukturen und seit 2011 das Nationale Cyber-Abwehrzentrum in Bonn.

Gerade das Cyber-Abwehrzentrum ist für die KI-Debatte aufschlussreich. Es ist keine eigenständige Behörde. Es ist eine behörden- und institutionenübergreifende Plattform. Dort arbeiten BSI, BKA, Bundespolizei, Verfassungsschutz, Bundesnachrichtendienst, Militärischer Abschirmdienst, Bevölkerungsschutz und Bundeswehr-Cyberkommando zusammen. Dazu kommen Partner aus Ländern, Justiz und Finanzaufsicht. Der Auftrag klingt genau nach dem, was in jeder neuen Gründungsdebatte versprochen wird: Informationen schnell austauschen, ein gemeinsames Lagebild erzeugen, Schutzmaßnahmen koordinieren, im Krisenfall Handlungsfähigkeit sichern.

Das alles ist sinnvoll. Es beantwortet aber nicht die Frage, die jetzt bei KI-Sicherheit gestellt werden muss. Ein Lagebild testet kein Frontier-Modell. Eine Koordinierungsrunde simuliert keine agentische Angriffskette. Eine Plattform ersetzt kein Red-Team, keine eigene Rechenleistung, keinen frühen Modellzugang, kein Spitzenpersonal und keine Eingriffsfähigkeit im Ernstfall.

Die Gründung eines weiteren Instituts droht daher am Kern vorbeizugehen. Deutschland hat bereits Orte der Koordination. Was fehlt, ist eine Einheit, die KI-Sicherheit technisch beherrscht und operativ anschlussfähig macht: mit Modellzugang, Red-Teams, Rechenkapazität, Cyberlage, Sicherheitsfreigaben, internationaler Reputation und schneller politischer Rückendeckung.

Das Cyber-Abwehrzentrum zeigt also nicht, dass ein neues AI Security Institute überflüssig wäre, weil alles schon gelöst ist. Es zeigt etwas anderes: Deutschland ist im Gründen und Koordinieren geübt. Der Engpass liegt bei Personal, Tempo, Zugriff und Entscheidungsfähigkeit. Genau daran würde ein kleines, regulierungsnahes KI-Institut scheitern.

Die Verwaltung kann Verfahren, der Gegner kann Tempo

Das Grundproblem reicht tiefer. Die öffentliche Verwaltung ist auf Rechtssicherheit, Zuständigkeit und Nachvollziehbarkeit gebaut. Das ist ihre Würde und ihre Grenze. Digitale Sicherheitslagen verlangen zusätzliche Fähigkeiten: kleine interdisziplinäre Teams, kurze Entscheidungswege, experimentelle Verfahren, technische Risikobewertung, iterative Tests, schnelles Lernen, Fehlertoleranz und operative Verbindung zu Cyberabwehr und Nachrichtengewinnung.

Genau daran scheitert Verwaltung immer wieder. Digitalisierung wird oft als Technikprojekt verstanden, obwohl sie Organisationsumbau verlangt. Stellenanzeigen werden aus alten Vorlagen fortgeschrieben. Digitalkompetenz erscheint als Zusatz, nicht als Kernanforderung. Weiterbildung bleibt häufig Schulung, nicht Kompetenzaufbau. Zuständigkeiten schützen den Bestand, während Angreifer quer zu allen Zuständigkeiten handeln.

Ein AI Security Institute im klassischen Behördenmodus würde diese Schwächen erben. Es würde über Risiken sprechen, während andere Risiken erzeugen. Es würde Modelle bewerten, zu denen es zu spät Zugang bekommt. Es würde Berichte verfassen, während Angriffe laufen. Es würde sich an Regulierung binden, während Gegner die Lücken zwischen Regulierung, Cyberabwehr und operativer Sicherheit nutzen.

Die Cyberagentur liegt näher als ein neues Amt

Deutschland muss KI-Sicherheit anders denken. Nicht als neue Kleininstitution, die in eine bestehende Behördenlogik eingefügt wird. Eher als sicherheitspolitische Fähigkeit, die Cyber, KI, autonome Systeme, Desinformation, Hardware, Lieferketten und kritische Infrastruktur zusammenführt.

Dafür liegt die Cyberagentur näher als ein weiteres Amt. Sie ist auf forschungsnahe Sicherheitsfragen ausgerichtet, arbeitet projektbezogen und denkt in längeren technologischen Linien. Ihre Debatte über aktive Cyberabwehr zeigt, worauf es ankommt: Resilienz allein reicht nicht. Der Staat muss Bedrohungen antizipieren, Angriffsmuster erkennen und im Ernstfall auch Strukturen unterbrechen können.

Diese Logik muss auf KI-Sicherheit übertragen werden. Ein deutsches AISI müsste Teil einer operativen Sicherheitsarchitektur sein. Es müsste mit BSI, Bundeswehr, Nachrichtendiensten, Forschung, Rechenzentren, Unternehmen und europäischen Partnern verbunden sein. Es müsste testen, angreifen, prüfen, simulieren, veröffentlichen, warnen und im Krisenfall unterstützen können.

Dafür braucht man keine zusätzliche Abteilung mit höflichem Mandat. Dafür braucht man eine Einheit mit SprinD-ähnlicher Beweglichkeit, eigenem Budget, Sonderwegen beim Recruiting, Zugriff auf Rechenleistung, Modellzugang, Red-Teams, technischer Autorität und politischer Rückendeckung.

Die Illusion der kleinen Lösung

Die deutsche Debatte tut so, als gehe es um die institutionelle Adresse. BSI oder Bundesnetzagentur? Eigenständig oder angegliedert? Klein beginnen oder später wachsen? Diese Fragen sind nicht unwichtig. Sie verdecken aber die härtere Frage: Gibt es im öffentlichen Sektor überhaupt genügend Menschen, die das können, und gibt es eine Struktur, die diese Menschen anzieht?

Der bisherige Befund spricht dagegen. Die Verwaltung fragt digitale Spitzenkompetenz zu selten systematisch nach. KI-Kompetenz ist kein breites Personalprogramm. Der öffentliche Dienst steht unter massivem Personaldruck. Die Konkurrenz um KI- und Cybersicherheitsexperten ist global. Die technologischen Fähigkeiten der Modelle wachsen schneller als die Zuständigkeitspläne.

Ein deutsches AI Security Institute, das diese Lage ignoriert, wäre kein Sicherheitsinstrument. Es wäre ein politischer Beruhigungsapparat.

Noch eine Institution löst den Ernstfall nicht

Deutschland braucht kein weiteres Schild an einer Behördentür. Deutschland braucht technische Handlungsfähigkeit. Wer KI-Sicherheit ernst nimmt, muss bei Personal, Zugriff, Tempo und Eingriffsfähigkeit beginnen. Nicht bei der Frage, welches Ressort den Namen bekommt.

Der Plan eines deutschen KI-Instituts kann nur überzeugen, falls er vom Ernstfall her gedacht wird: Welche Modelle testen wir? Welche Angriffsszenarien simulieren wir? Welche Infrastruktur steht bereit? Welche Talente kommen? Welche Befugnisse greifen? Welche Verbindung besteht zur Cyberabwehr? Welche Entscheidungen können innerhalb von Stunden fallen? Ohne diese Antworten bleibt das Institut eine deutsche Spezialität: viel Zuständigkeit, wenig Zugriff. Das Resümee ist bitter: Noch eine Staatsinstitution, die nicht eingreifen wird, wenn es darauf ankommt, da die Regulierung ihr im Weg stehen wird.