Freitag, 17:21 Uhr.

VonThomas Körting

Ich wollte einfach nur arbeiten. Terminal auf, Claude Code gestartet – und statt der gewohnten Eingabezeile eine Fehlermeldung:

There’s an issue with the selected model. It may not exist or you may not have access to it.

Mein Reflex: Ich hab was kaputtgemacht. Also der übliche Diagnose-Weg. Umgebungsvariablen geprüft – leer. CLI-Version – topaktuell. Settings-Dateien nach einem falschen Modell-Pin durchsucht – sauber. Managed Settings, falls die Firma irgendeine Allowlist gesetzt hat – nicht vorhanden. Jeder Verdächtige fiel der Reihe nach aus.

Dann grep ich in die globale State-Datei. Und finde das hier:

"tengu-fable-off-switch": ... "Claude Fable 5 is currently unavailable. Please use Opus 4.8 or another available model."

Ein serverseitiger Kill-Switch. Nicht mein Rechner. Nicht meine Config. Jemand anderes hatte mein Werkzeug abgeschaltet, während es bei mir im Terminal lag.

17:21

Die Erklärung war keine zwölf Stunden alt. Anthropic hatte am Freitag um 17:21 Uhr ET eine Anweisung der US-Regierung erhalten – eine Exportkontroll-Direktive, gestützt auf „national security authorities“. Inhalt: jeglichen Zugriff auf die neuen Modelle Fable 5 und Mythos 5 durch „any foreign national“ zu unterbinden. Weltweit. Innerhalb wie außerhalb der USA. Ausdrücklich auch durch die eigenen ausländischen Mitarbeiter von Anthropic.

Um das umzusetzen, blieb Anthropic nur ein Hebel: das Modell für alle abschalten. Drei Tage nach dem öffentlichen Launch. Alle anderen Modelle – Opus, Sonnet, Haiku – laufen weiter.

Die zehn Sekunden bis zur Lösung waren trivial: im Modell-Picker Opus 4.8 wählen, fertig. Aber die Frage, die danach im Raum stand, ist es nicht.

Was hier wirklich passiert ist

Halten wir kurz fest, welches Instrument hier benutzt wurde. Exportkontrolle ist das Recht, mit dem Staaten Chips regulieren, Waffentechnik, Nukleargüter. Physische Dual-Use-Technologie, die man verschifft. Hier wird es auf ein Software-Modell angewendet, das über eine API läuft und das man nicht „exportiert“, sondern aufruft.

Das ist der eigentliche Bruch. Nicht „Anbieter schaltet Produkt ab“ – das ist betrieblich banal. Sondern: Ein Frontier-Modell wird wie ein kontrolliertes Rüstungsgut behandelt. Und es verschwindet nicht nach Vorankündigung und Übergangsfrist, sondern per Brief, an einem Freitagabend, mit sofortiger Wirkung.

Die Dramatik hält der Prüfung nicht stand

An der Stelle ist man als Leser geneigt, die schlimmste Geschichte zu glauben: Da muss jemand etwas Gefährliches mit dem Modell angestellt haben, sonst greift doch keine Regierung so durch.

Genau hier lohnt der zweite Blick – und der dreht die Geschichte. Die Regierung beruft sich laut Anthropic darauf, dass jemand eine Methode gefunden habe, Fable 5 zu „jailbreaken“. Anthropic hat sich die Demonstration angesehen und schreibt nüchtern: Die Technik habe „a small number of previously known, minor vulnerabilities“ zutage gefördert – kleinere, längst bekannte Schwachstellen, simpel, und von anderen öffentlich verfügbaren Modellen (Anthropic nennt namentlich OpenAIs GPT-5.5) genauso auffindbar. Kein universeller Jailbreak. Kein nachgewiesener Schaden. In Anthropics Worten: „We believe this is a misunderstanding.“

Das ist bemerkenswert. Das Unternehmen, das die Anweisung befolgen muss, sagt öffentlich, dass die Begründung technisch nicht trägt. Und es nennt die Konsequenz beim Namen: Würde man diesen Maßstab branchenweit anlegen – ein enges, theoretisches Schlupfloch genügt zum Rückruf –, käme jede neue Modellauslieferung praktisch zum Erliegen.

Man muss Anthropic das nicht glauben; es ist ihre Lesart, und sie sind Partei. Aber die Faktenlage, die sie selbst offenlegen, macht die Sache nicht beruhigender, sondern unheimlicher. Wenn schon ein bestrittenes, minderschweres Finding reicht, um ein Werkzeug für hunderte Millionen Nutzer über Nacht zu kassieren – dann ist die Hürde niedriger, als jeder gedacht hat.

Ist das der erste Fall?

Ja und nein – und die Unterscheidung ist der eigentliche Lerngewinn.

Das Instrument ist alt. In den 1990ern führten die USA die „Crypto Wars“: Starke Verschlüsselung stand auf der US-Munitionsliste, in derselben Kategorie wie Waffen. Software galt rechtlich als Kriegsgerät. Als Phil Zimmermann seine Verschlüsselungssoftware PGP ins Internet stellte, ermittelte das US-Justizministerium drei Jahre lang gegen ihn – wegen mutmaßlichen Waffenexports. Seine Unterstützer druckten den Quellcode daraufhin als Buch, weil ein Buch unter den Schutz der Meinungsfreiheit fällt und legal exportiert werden durfte. Code als Waffe, Code als Sprache – dieser Streit ist dreißig Jahre alt.

Auch auf KI ist Exportkontrolle nicht neu. Im Januar 2025 erließ das US-Handelsministerium die „Framework for Artificial Intelligence Diffusion“-Regel, die erstmals die Modell-Gewichte besonders fortgeschrittener KI unter eine eigene Exportklassifizierung stellte (ECCN 4E091) – neben Kontrollen für die Chip-Cluster, auf denen solche Modelle trainiert werden. Diese Regel wurde im Mai 2025 wieder ausgesetzt, aber das Prinzip stand im Raum: Modellgewichte sind exportkontrollierbares Gut.

Das Neue ist die Anwendung. Crypto Wars und Diffusion-Rule zielten auf den Transfer an Gegner – Export im klassischen Sinn, Weitergabe von Technologie über Grenzen. Was am Freitag passierte, ist etwas anderes: der erzwungene Rückruf eines bereits ausgelieferten, massenhaft genutzten Endkunden-Produkts – ein laufender Dienst, abgeschaltet für jede Person ohne US-Pass, weltweit. Nicht „du darfst es nicht ausführen“, sondern „es wird dir aus der Hand genommen, während du es benutzt“. Diese Kombination – live, kommerziell, global, nach Staatsangehörigkeit – hat in dieser Schärfe keinen klaren Vorläufer.

Wer hat darüber nachgedacht – und welche Szenarien folgen

Man steht mit dieser Beobachtung nicht im Leeren. Es gibt eine ganze Denkschule dafür.

Die Politikwissenschaftler Henry Farrell und Abraham Newman beschreiben seit Jahren, was sie „weaponized interdependence“ nennen: Globale Netze – Finanzen, Daten, Technologie – haben zentrale Knotenpunkte, „chokepoints“. Wer einen solchen Knoten kontrolliert, kann ihn als Waffe nutzen: entweder zum Mitlesen (der „panopticon effect“) oder zum Aussperren (der „chokepoint effect“). Genau das ist hier passiert. Der API-Endpunkt eines Frontier-Modells ist ein solcher Knoten – und er wurde als Aussperr-Hebel benutzt.

Ian Bremmer nennt das Umfeld den „technopolaren Moment“: eine Welt, in der eine Handvoll Tech-Konzerne geopolitische Macht ausübt, die früher Staaten vorbehalten war – und in der Staat und Konzern um die Kontrolle über den digitalen Raum ringen. Die Forschung zur „compute governance“ wiederum denkt seit Längerem darüber nach, KI über ihre physischen Engstellen zu regulieren – Chips, Rechenzentren –, ähnlich wie man Rüstungskontrolle über spaltbares Material organisiert. Der Freitag zeigt, dass die Engstelle nicht nur die Hardware ist. Auch das ausgelieferte Modell selbst ist ein Kontrollpunkt.

Aus diesen Linien lassen sich drei Szenarien ableiten, nüchtern, ohne Alarmismus:

Erstens, die Bagatelle: Es war ein Missverständnis, das Modell ist in zwei Wochen wieder da, und der Fall bleibt eine Fußnote. Anthropic selbst legt diese Lesart nahe.

Zweitens, die Normalisierung: Der Vorgang wird zum Werkzeug im Werkzeugkasten. Staaten lernen, dass sie ein Modell per Brief abschalten können, und greifen wieder danach – mal als Sicherheitsmaßnahme, mal als Druckmittel in einem Handelskonflikt. Modell-Verfügbarkeit wird zur außenpolitischen Variable.

Drittens, die Fragmentierung: Wenn der Zugang zu Spitzenmodellen an Staatsangehörigkeit und Geopolitik hängt, zerfällt der globale Markt in Zonen. Wer am Frontier arbeiten will, muss wissen, in wessen Jurisdiktion sein Werkzeug steht. Das ist die teuerste Variante – und nicht die unwahrscheinlichste.

Die unbequeme Lektion fürs Arbeiten

Für jeden, der nicht über KI redet, sondern damit baut, steht hier eine konkrete Lehre.

Ein Frontier-Modell kann freitags um 17:21 Uhr per Behördenbrief verschwinden. Nicht wegen eines Ausfalls, nicht wegen einer Preiserhöhung, sondern wegen einer geopolitischen Entscheidung, auf die weder du noch dein Anbieter Einfluss haben. Das ist ein Risiko-Typ, den die meisten Roadmaps nicht kennen.

Die Antwort darauf ist unspektakulär und genau deshalb richtig: keine Prozesse fest an ein einzelnes Modell koppeln. Modell-Agnostik ist kein Architektur-Luxus mehr, sondern Betriebssicherheit. Mein Setup lief zehn Sekunden später auf Opus 4.8 weiter, weil nichts in meinem Workflow auf genau dieses eine Modell angewiesen war. Wer seine Wertschöpfung dagegen auf einem einzigen Modell-Endpunkt aufbaut, hat an dem Freitag nicht zehn Sekunden verloren, sondern seinen Betrieb.

Ein Detail am Rande, das für DSGVO-Köpfe relevant ist: Fable verlangte 30 Tage Datenspeicherung, damit Anthropic Jailbreaks erforschen kann. Verfügbarkeit war hier also an eine Datenhaltung gekoppelt, die man bei der Modellwahl mitbedenken muss. Das stärkste Modell ist nicht automatisch das, das in deinen Compliance-Rahmen passt.

Was es mit dem Vertrauen macht

Vertrauen in ein Werkzeug hatte bisher zwei Achsen: Ist es gut? Ist es verfügbar? Der Freitag fügt eine dritte hinzu: Unterliegt es einer Politik, die ich nicht sehe und nicht beeinflussen kann?

Das Verstörende ist nicht, dass ein Anbieter mal ausfällt. Das Verstörende ist, dass der Anbieter hier öffentlich seiner eigenen Regierung widerspricht – und trotzdem abschalten muss. Das heißt: Selbst ein Anbieter, der auf deiner Seite argumentiert, kann dich nicht schützen, wenn der Hebel woanders liegt. Vertrauen in das Unternehmen reicht nicht mehr; man vertraut implizit auch der Jurisdiktion, in der es sitzt.

Für den professionellen Einsatz verschiebt das etwas Grundsätzliches. Man wählt nicht mehr nur ein Modell nach Qualität und Preis, sondern eine Abhängigkeit nach politischer Stabilität. Das ist unbequem, weil es eine Frage stellt, die mit Technik nicht zu beantworten ist.

Digitale Souveränität – der Booster?

Dieser Vorfall ist das perfekte Argument für digitale Souveränität. Und Europa war schon vorher in Bewegung. Im November 2025 unterzeichneten alle 27 EU-Staaten eine „Declaration for European Digital Sovereignty“ mit dem erklärten Ziel, die Abhängigkeit von ausländischen digitalen Anbietern binnen fünf Jahren zu halbieren. Es gibt den „EuroStack“-Gedanken – eine europäische Infrastruktur von Chips über Cloud bis KI –, und mit Mistral einen Anbieter, der zusammen mit SAP und den Regierungen in Berlin und Paris an einem souveränen KI-Stack für die Verwaltung baut. Der Freitag liefert all diesen Initiativen rhetorischen Treibstoff wie kein Whitepaper zuvor.

Aber hier kommt der Reality-Check, und ich verkaufe die Souveränitäts-Geschichte nicht zu schön: Rhetorik ist billig, Kapazität ist teuer. Eine Absichtserklärung halbiert keine Abhängigkeit, und Mistral ist gut, aber nicht am selben Frontier wie das Modell, das gerade abgeschaltet wurde. „Souveränität“ als Vollunabhängigkeit ist auf Jahre eine Illusion – wer das verspricht, verkauft etwas.

Was realistisch und sofort umsetzbar ist, ist nicht Unabhängigkeit, sondern Hedging: mehrere Anbieter, mehrere Jurisdiktionen, austauschbare Modelle, ein klarer Notfallpfad, wenn einer wegbricht. Souveränität fängt nicht beim eigenen Frontier-Modell an, sondern bei der schlichten Fähigkeit, den Anbieter wechseln zu können, ohne dass der Laden stillsteht. Der Vorfall ist der Booster – aber für die nüchterne Version des Ziels, nicht für die patriotische.

Yuval Harari beschreibt in Nexus, wie Informationsnetze Macht organisieren und wer die Kontrolle über sie hält. Man muss das Buch nach diesem Freitag nicht mehr als Theorie lesen. Es ist gerade Betriebsalltag geworden.

Das Modell ist – vielleicht – in zwei Wochen wieder da. Anthropic arbeitet daran und nennt es ein Missverständnis. Aber der Präzedenzfall steht im Raum, egal wie es ausgeht: Ein Werkzeug, auf das du dich verlässt, kann an einem Freitagabend um 17:21 Uhr per Brief weg sein. Das ändert nicht, ob ich mit KI arbeite. Es ändert, wie ich darüber nachdenke, worauf ich mich dabei verlasse.

Quellen & Hintergrund

Ähnliche Beiträge