Leitfaden
„Wir hosten selbst“ steht in vielen Sicherheitskonzepten, doch bei KI-Agenten greift das zu kurz. Denn solange der Agent zum Antworten ein Cloud-Modell aufruft, verlassen Ihre Daten bei jeder Nachricht Ihr Netzwerk, ganz gleich, wo Ihre Anwendung läuft. Ein Air-Gapped Agent hält Modell, Daten und Werkzeuge dagegen in einem abgeschotteten Netzwerk, aus dem nichts nach außen dringt. Was das verlangt, wann es sich lohnt und warum selbst-gehostet nicht dasselbe ist wie offline, zeigt dieser Leitfaden.
Ein Air-Gapped KI-Agent hat keine Verbindung ins öffentliche Internet: Sein Modell, seine Daten und seine Werkzeuge liegen alle in einem abgeschotteten Netzwerk, das weder Anfragen noch Daten nach außen lässt. Das Prinzip ist einfach. Alles, was der Agent zur Laufzeit braucht, liegt schon im abgeschotteten Bereich.
Wir entwickeln Pinchy, eine selbst-gehostete KI-Agenten-Plattform, die vollständig offline laufen kann. Wir sind hier also nicht neutral. Vor allem aber wollen wir eine verbreitete und teure Verwechslung ausräumen.
An dieser Unterscheidung scheitern viele. Selbst-gehostet heißt nur: Die Anwendung läuft auf Ihren eigenen Servern. Woher das Modell kommt, sagt das noch nicht. Bezieht der Agent es von OpenAI, Anthropic oder Google, landet jede Nachricht samt Kontext bei diesem Anbieter. Die Anwendung bleibt dann bei Ihnen, Ihre Daten nicht.
Air-gapped sein verlangt mehr: Das Modell selbst muss lokal laufen. Dann arbeitet der Agent mit einem lokalen, offenen Modell, und kein Prompt verlässt Ihr Netzwerk. Self-Hosting entscheidet, wo der Code läuft; die Abschottung, wo das Modell rechnet. Bei sensiblen Daten kommt es genau darauf an. So kann eine Plattform echt selbst-gehostet und trotzdem nicht air-gapped sein. Viele werben mit „Ihre Daten bleiben bei Ihnen“ und setzen darauf, dass Sie den Unterschied übersehen. Doch auch der Standort allein schützt nicht: Ein US-Anbieter mit Rechenzentrum in der EU bleibt dem US-amerikanischen CLOUD Act unterworfen. Ein lokales Modell im eigenen Netzwerk lässt diese Frage gar nicht erst aufkommen.
Abschottung ist keine Paranoia. Sie passt zu bestimmten Situationen:
Ein Air-Gapped Agent ist mehr als ein Modell auf einer GPU. Jede beteiligte Komponente muss lokal sein, sonst ist die Grenze nicht wirklich dicht:
Der ehrliche Kompromiss ist die Modellqualität. Die stärksten Modelle laufen nur in der Cloud. Abgeschottet nutzen Sie also das beste offene Modell, das Ihre Hardware schafft, nicht das absolute Spitzenmodell. Für viele Aufgaben ist der Abstand klein und wird kleiner: für Entwürfe, Extraktion, Klassifikation oder Abläufe mit Ihren eigenen Daten. Und wo Abschottung Pflicht ist, stellt sich die Frage ohnehin nicht.
Ein getrennter Agent wirkt sicher, ist aber nur eingegrenzt. Die Abschottung sperrt zwar den Weg, über den Daten nach außen gelangen, einen Teil der „lethal trifecta“, doch die übrigen Risiken bleiben im Inneren. So kann ein Offline-Agent immer noch Datensätze lesen, die ihn nichts angehen, oder Daten ändern, die er nicht ändern soll. Und er kann einer versteckten Anweisung folgen, die längst in einem Dokument im abgeschotteten Bereich steckt. Der Fluchtweg nach außen ist also versperrt. Zu weit gefasste Rechte und Prompt Injection bleiben.
Offline gelten also dieselben Kontrollen wie online: ein Berechtigungsmodell nach dem Standard-Verbot, das den Agenten auf seine Aufgabe begrenzt, und ein manipulationssichtbarer Audit-Trail, der jede Aktion festhält und nachweisbar macht. Der Air Gap ist die äußere Grenze, die Governance regelt das Innere. Beides brauchen Sie.
Jetzt zu unserem eigenen Produkt. Pinchy ist modellunabhängig und läuft auch vollständig auf lokalen Modellen über Ollama. Ein Agent arbeitet dann ohne jede Cloud-API. Es ist selbst-gehostet und auf einen echten Air Gap ausgelegt: Die Lizenzprüfung läuft komplett offline, es gibt keinen Lizenzserver, keinen Aktivierungs-Ping und keine Telemetrie. Die Plattform sendet also nichts nach außen. Mit lokalen Modellen in einem getrennten Netzwerk bleibt alles im Haus. Die Governance-Schicht arbeitet dabei weiter, und zwar konkret: E-Mail senden, Datei lesen, Datensatz ändern. Standardmäßig ist alles gesperrt, bis Sie es dem Agenten einzeln freigeben (die Allow-List). Jede Aktion landet HMAC-signiert im Audit-Trail, jede Zeile einzeln. Ein nachträglich geänderter Eintrag fällt sofort auf.
Verbinden Sie Pinchy mit einem Cloud-Anbieter, ist es selbst-gehostet, aber nicht air-gapped. Ihre Prompts landen dann wie bei jeder anderen Anwendung bei diesem Anbieter. Die Offline-Garantie ist echt, sie gilt aber nur mit lokalem Modell, nicht für Self-Hosting allein. Auf diese Unterscheidung kommt es auf der ganzen Seite an, und an ihr messen wir auch uns selbst.
FAQ
Ein Air-Gapped KI-Agent hat keine Verbindung ins öffentliche Internet. Sein Modell, seine Daten und seine Werkzeuge liegen alle in einem abgeschotteten Netzwerk, sodass weder Anfragen noch Daten nach außen gelangen. Alles, was er zur Laufzeit braucht, ist schon im abgeschotteten Bereich. Das ist die stärkste Form der Datenisolierung und kommt dort zum Einsatz, wo das Offenlegen von Daten ein nicht hinnehmbares Risiko ist.
Nein, und der Unterschied zählt. Ein selbst-gehosteter Agent läuft auf Ihren eigenen Servern. Bezieht er sein Modell aber von einer Cloud-API wie OpenAI, Anthropic oder Google, verlassen Ihre Daten bei jeder Anfrage Ihr Netzwerk. Self-Hosting entscheidet, wo die Anwendung läuft. Die Abschottung verlangt zusätzlich, dass das Modell selbst lokal läuft, damit nicht einmal der Prompt das Netzwerk verlässt.
Ja, wenn jede Komponente lokal ist: ein offenes Modell, lokal bereitgestellt (etwa über Ollama); ein lokaler Dokumentenspeicher samt Abruf; und Werkzeuge, die nur Systeme im eigenen Netzwerk erreichen. Sie tauschen den Zugang zu den größten Cloud-Modellen gegen volle Souveränität. Für viele regulierte und sensible Aufgaben ist genau das der Sinn, und leistungsfähige offene Modelle machen es praktikabel.
Bei Verteidigung und Behörden werden Aufgaben mit eingestuften Informationen per Vorschrift in physisch abgeschotteten Netzwerken bearbeitet. Gesundheits- und Finanzwesen schotten ab, um sensible Daten von jedem externen Dienst fernzuhalten. Und selbst wo keine Regel es verlangt, ist es oft aufwendiger, ein vernetztes System als sicher nachzuweisen, als es schlicht zu trennen. Abschottung vereinfacht die Compliance also häufig, statt sie zu erschweren.
Nein. Die Abschottung sperrt den Weg, über den Daten nach außen gelangen. Das ist nur eine Seite des Risikos. Ein getrennter Agent kann immer noch mehr lesen, als er sollte, Datensätze ändern oder einer bösartigen Anweisung in einem Dokument folgen, das schon im abgeschotteten Bereich liegt. Berechtigungen und ein manipulationssichtbarer Audit-Trail gelten auch offline. Der Air Gap ist die äußere Grenze, kein Ersatz für Governance im Inneren.
Pinchy läuft auf lokalen Modellen, ohne Telemetrie und mit Offline-Lizenzprüfung. Mit lokalem Modell bleibt eine Installation vollständig abgeschottet. Quelloffen, selbst-gehostet, kostenlos im Betrieb.
Oder schreiben Sie uns: info@heypinchy.com