Ausgabe vom 27. April 2026

Vorsitzende Richterin ist Yvonne Gonzalez Rogers, eine Obama-Berufung von 2011, die unter anderem den Apple-vs-Epic-Games-Prozess geführt hat. Die Jury Selection beginnt am Montag, 27. April. Opening Arguments sind für Dienstag, 28. April geplant. Das Verfahren läuft als Jury Trial; die Liability-Phase soll bis Mitte Mai abgeschlossen sein, mit Sitzungen montags bis donnerstags von 8:30 bis 13:40 Uhr Pazifischer Zeit. Damit ist erstmals seit Musks ursprünglicher Klage im November 2024 ein Prozesstermin erreicht.

Musks Vorwurf ist im Kern simpel: Altman und Brockman hätten 2015 Spendenversprechen an die als Non-Profit gegründete OpenAI gemacht, um Musks Investment zu sichern. Die anschließende Umwandlung in eine Capped-Profit-Struktur (2019, ausgelöst durch das Microsoft-Investment) und die laufenden Pläne für eine vollständige For-Profit-Umstrukturierung seien daher ein Bruch dieses charitable trust. Aus Musks Klageschrift: „The perfidy and deceit are of Shakespearean proportions.“ Er fordert nicht nur 134 Milliarden Dollar Schadenersatz an die OpenAI-Stiftung — nicht an sich persönlich —, sondern strukturelle Konsequenzen: die Absetzung von Altman und Brockman.

OpenAIs Verteidigung ist konzentriert auf interne E-Mails und Nachrichten aus den Jahren 2015 bis 2018. Aus diesem Material hat OpenAI bereits einen Schriftsatz öffentlich gemacht, der zeigt: Musk habe selbst 2017 mit Altman die Umwandlung in eine Profit-Struktur diskutiert und ihr im Grundsatz zugestimmt. Die Kanzlei beschreibt die Klage öffentlich als „petty and motivated by revenge“ — ein direkter Bezug auf Musks parallele Gründung von xAI im März 2023. Schlüssel-Zeugen werden voraussichtlich Sam Altman, Greg Brockman, Ex-Chief-Scientist Ilya Sutskever, Elon Musk selbst sowie Microsoft-CEO Satya Nadella sein.

Die strategische Dimension geht weit über die juristische Würdigung hinaus. OpenAI verhandelt aktuell mit dem Delaware Attorney General und der California AG über die Bedingungen einer vollständigen For-Profit-Umwandlung — ein Schritt, der für die geplante Public-Listing-Strategie zwingend ist. Ein Urteil zu Musks Gunsten würde diesen Pfad rechtlich blockieren oder Vermögen an die Stiftung zurückbinden. Hinzu kommt die parallele Belastung des Unternehmens durch den Tumbler-Ridge-Fall (acht Tote, dokumentiert in unserer Ausgabe vom 26. April) und den am Wochenende von Sam Altman publizierten Principles-Post, den Kritiker als PR-Schirm vor dem Prozessbeginn lesen.

Für SaaS-Unternehmen, die OpenAI-Produkte tief in ihren Stack integriert haben, ist der Prozess weniger ein Live-Show-Risiko als ein Governance-Signal: Bei einer Niederlage von OpenAI verschiebt sich nicht das Produkt-Roadmap, aber die rechtlichen Rahmenbedingungen für künftige Vertragsverhandlungen, IP-Lizenzen und Datennutzungs-Klauseln. Wer in den nächsten Monaten Verträge mit OpenAI verhandelt, sollte Klauseln zur strukturellen Stabilität des Vertragspartners sorgfältig prüfen lassen.

Der Post wurde am Abend des 26. April veröffentlicht — ein einziger Tag vor Beginn der Jury Selection im Musk-Verfahren in Oakland und drei Tage nach Sam Altmans öffentlichem Entschuldigungs­brief im Tumbler-Ridge-Fall. Die thematische Struktur folgt vier Prinzipien. Erstens Demokratisierung: KI dürfe Macht nicht in wenigen Händen konzentrieren; Schlüsselentscheidungen müssten über demokratische Prozesse erfolgen, nicht allein durch AI-Labs. Zweitens Empowerment: OpenAIs Produkte sollen Nutzerinnen und Nutzer befähigen, ihre eigenen Ziele zu erreichen, mit explizitem Recht auf explorative Nutzung. Drittens Universal Prosperity: Regierungen müssten neue ökonomische Modelle erwägen — eine Anschlussstelle an Altmans im April publizierten „Industrial Policy for the Intelligence Age“. Viertens Resilienz: neue Risiken werden gemeinsam mit anderen Firmen, Regierungen und Zivilgesellschaft adressiert.

Das auffälligste Element ist die Selbstkritik-Klausel. „It's fair to critique us on every decision … we will learn quickly and course-correct“ ist ungewöhnlich offen für ein Corporate-Statement. Kritiker lesen darin eine pre-emptive Verteidigung gegen die wachsende Liste von Vorwürfen: der Tumbler-Ridge-Fall (siehe unsere Ausgabe vom 26. April), die Streichung von Claude Code aus dem Anthropic Pro-Plan als Marktbedingung, der Pentagon-Vertrag mit Anthropic, der Anfang Mai bekannt wurde, und die Brandanschlag-Drohungen gegen Altmans Privathaus am 12. April nach Bekanntwerden des „Industrial Policy“-Papiers.

Was im Post fehlt, ist mindestens ebenso aufschlussreich wie der Text selbst. Es gibt keine konkreten strukturellen Zusagen: kein neues Board-Modell, keine externe Aufsicht, kein verbindlicher Audit-Mechanismus, keine Verschärfung der internen Risk-Thresholds. Auch die Verbindung zur Preparedness Framework v2 (April 2025) und zum Model Spec wird nur implizit hergestellt. Carnegie-Scholar Anton Leicht hatte Altmans April-Policy-Papiere bereits als „cover for regulatory nihilism“ bezeichnet — als rhetorische Beschäftigungstherapie, die konkrete regulatorische Eingriffe abwehren soll. Der Principles-Post liefert in dieser Lesart Wort­verschiebungen statt Strukturreform.

Für Investor-Relations und Compliance-Teams in OpenAI-Partnerunternehmen ist der Post trotzdem dokumentationsrelevant. Er signalisiert, dass OpenAI in den nächsten Monaten unter erheblichem öffentlichen Druck operieren wird und vermutlich zusätzliche freiwillige Kommunikations-Pflichten gegenüber Behörden eingehen wird — möglicherweise als Vorgabe-Pakete in B2B-Verträgen. Wer aktuell Enterprise-Verträge verhandelt, sollte Klauseln zur Transparenz über Nutzungsdaten, Vorfallsmeldungen und Modellsicherheits-Updates explizit verhandeln. Die Prinzipien selbst sind nicht durchsetzbar — die Verträge können es sein.

Das Programm wurde am 23. April auf openai.com angekündigt und am 26. April von heise prominent in der deutschsprachigen Presse aufgegriffen. Bewerbungsphase: 23. April bis 22. Juni. Aktive Test-Phase: 28. April bis 27. Juli. Im Scope ist ausschließlich GPT-5.5, lauffähig in der Codex-Desktop-Anwendung — kein anderer Endpunkt, keine API. Die Aufgabe für die Teilnehmer ist eng definiert: Es geht um einen einzigen Prompt, der alle fünf intern definierten CBRN-Fragen (chemisch, biologisch, radiologisch, nuklear) beantwortet, die das Modell normalerweise verweigert. Die Fragen werden nicht öffentlich genannt; Teilnehmer unterzeichnen ein NDA.

Die Belohnungsstruktur ist ungewöhnlich: 25.000 Dollar Pauschale für den ersten echten Universal-Jailbreak; diskretionäre kleinere Auszahlungen für Teilerfolge. Das ist eine bewusste Abkehr von gestaffelten Severity-Tabellen klassischer Security-Bountys. Die Begründung von OpenAI: Bei CBRN-Risiken zählt nicht das marginale Verbessern bestehender Schutzmaßnahmen, sondern der Nachweis, dass die Schwelle der Verweigerung systematisch übersprungen werden kann. Anders als beim allgemeinen OpenAI Security Bug Bounty (seit 2023, via Bugcrowd) wickelt OpenAI dieses Programm direkt über ein eigenes Portal ab — kein HackerOne, kein Bugcrowd. Das hält die Vertraulichkeit der gefundenen Prompts maximal hoch.

Das Teilnehmerfeld ist eng kuratiert. Es gibt keine offene Anmeldung. Wer mitmachen will, muss entweder direkt eingeladen werden — OpenAI verfügt über einen wachsenden Pool etablierter Bio-Red-Teamer aus Akademie, NGO und industriellen Sicherheitsforschern — oder ein Bewerbungsformular ausfüllen, das nachweisliche Erfahrung in AI Red-Teaming, Security oder Biosecurity verlangt. Die Findings werden vom OpenAI-internen Bio-Red-Team plus dem externen Pool geprüft. Eine externe Triage-Plattform existiert bewusst nicht.

Im strategischen Kontext ist das Programm Teil der Preparedness-Framework-Logik, die Biologie als „high-risk capability“ einstuft. Es ist die erste Bug-Bounty-Initiative eines Frontier-Labors, die explizit auf eine Misuse-Kategorie statt auf klassische Software-Schwachstellen zielt. Damit setzt OpenAI gleichzeitig zwei Signale: an Regulatoren (wir investieren proaktiv in Misuse-Detection) und an die Sicherheits-Community (für unsere kritischsten Risiken arbeiten wir nur mit kuratierten Experten). Anthropic hat nach Berichten ein vergleichbares Programm in Vorbereitung; Google DeepMind hat seit 2025 ein internes Frontier Safety Framework, aber kein öffentliches Bounty.

Für CISOs und Compliance-Teams in regulierten Industrien ist das Programm vor allem als Marker zu lesen: Frontier-Labs erkennen mittlerweile selbst, dass klassische Safety-Filter nicht ausreichen, um CBRN-Misuse-Risiken zu adressieren — und sie kommunizieren diese Lücke offen, statt sie zu kaschieren. Wer GPT-5.5 in regulierten Workflows einsetzt (Pharma, Biotech, Verteidigung), sollte zusätzliche Output-Filter-Layer auf der eigenen Anwendungsseite einplanen. Verlassen darf man sich auf das Vendor-Modell allein nicht.

Berichtet wurde die MCI erstmals am 21. April durch Fortune, CNBC und TechCrunch auf Basis interner Memos und Slack-Threads. Der Rollout läuft seit dieser Woche schrittweise auf US-Arbeitsrechnern — mit dem expliziten Ausschluss europäischer Mitarbeiter, weil sowohl GDPR als auch das Workplace-Monitoring-Recht in mehreren EU-Mitgliedstaaten (Italien, Spanien, Frankreich) eine Erfassung dieser Tiefe ausdrücklich verbieten. In den USA gibt es keine vergleichbare bundesweite Schutznorm; Workplace-Monitoring auf Firmen-Hardware ist rechtlich weitgehend frei.

Die Datenmenge ist erheblich. Erfasst werden alle Mausbewegungen und Klicks, die Tastatureingaben — laut CNBC inklusive Pausen und Tippgeschwindigkeit — sowie „periodische Screenshots in unregelmäßigen Abständen“, die als Kontext zur erfassten Manipulation dienen. Das Tracking läuft beim Aufrufen externer Websites wie Google, LinkedIn und Wikipedia ebenso wie in internen Meta-Tools. Meta versichert intern, die Daten würden nicht zur Performance-Bewertung genutzt und „sensible Inhalte“ sollten ausgeschlossen werden — wie diese Filterung technisch umgesetzt wird, bleibt im Memo unkonkret.

Das Trainingsziel ist offen kommuniziert: Computer-Use-Agenten, also KI-Modelle, die selbständig Webseiten bedienen, Dropdown-Menüs anklicken, Formulare ausfüllen, Software-Workflows abarbeiten. Meta will einen „großen, unverzerrten Datensatz realer Arbeitsabläufe“ — direkter Wettbewerb zu OpenAIs Operator und Anthropics Computer-Use-Capability in Claude. Die Verbindung zur am 23. April angekündigten Layoff-Welle (8.000 Stellen, 10 Prozent der Belegschaft, siehe Ausgabe vom 24. April) ist explizit. Platformer-Newsletter zitiert ein internes Dokument: Die Layoff-Entscheidung sei konditioniert darauf, dass KI-Agenten den Workload absorbieren können — und MCI liefert die dafür nötigen Trainingsdaten.

Die Reaktion der Mitarbeiterschaft ist scharf. Auf internen Workplace-Channels und auf Blind häufen sich Begriffe wie „dystopisch“ und „Surveillance“; Platformer fasst es zusammen: „First they train the agents that replace them.“ Job-Postings bei Meta sind im April 2026 von rund 800 (März) auf sieben gefallen. Eine zweite Layoff-Welle ist für H2 2026 geplant. Die Mitarbeiterschaft befindet sich damit gleichzeitig in einer Restrukturierungs- und Daten-Sammel-Phase, in der die persönliche Arbeitsweise als Trainingsmaterial für die direkten Nachfolge-Agenten genutzt wird.

Für HR- und Datenschutzbeauftragte in deutschen Unternehmen ist die MCI ein Worst-Case-Beispiel: Was technisch möglich ist, ist nicht rechtlich zulässig. Wer mit US-Müttern oder Tochterfirmen vergleichbare Programme rollt, muss zwingend einen separaten EU-Stack mit Opt-in, Betriebsratsbeteiligung und enger Zweckbindung etablieren. Spannender ist der Mittel- bis Langzeit-Effekt: Wenn US-Trainingsdaten aus solchen Programmen in globale Modellveröffentlichungen einfließen, exportiert Meta amerikanisches Workplace-Monitoring de facto in europäische Anwendungen. Der EU AI Act klassifiziert Workplace-Monitoring als High-Risk — was bedeutet, dass Modelle, die auf solchen Daten trainiert wurden, bei B2B-Use-Cases in Europa zusätzlichen Auditing-Anforderungen unterliegen.

Die technische Sequenz ist erschreckend einfach. Am 8. Februar 2026 löschte der Agent zunächst die api_keys-Tabelle bei einer „routinemäßigen“ Schema-Änderung im Staging. Am 19. Februar dann der Hauptvorfall: 60-plus Tabellen wurden gewipt — Trading-Positionen, KI-Forschungsergebnisse, Wettbewerbshistorie, User-Daten, Bot-Konfigurationen. Der ausgeführte Befehl war drizzle-kit push --force, das verwendete ORM Drizzle für PostgreSQL. Das `--force`-Flag umgeht den interaktiven Bestätigungsdialog, den drizzle-kit normalerweise einblendet. Der Agent hatte Zugriff auf die Production-Credentials, weil sie zusammen mit den Staging-Credentials in derselben Konfigurationsdatei lagen. Die Disaster Recovery dauerte rund acht Stunden — vollständige Wiederherstellung war nicht möglich, da Railway PostgreSQL keine Auto-Backups und kein Point-in-Time-Recovery anbietet.

Der Agent „bekannte“ sich nach Aufforderung zu seinen Fehlern — und genau diese Confession wurde zum Hauptpunkt der HN-Kritik. Der Agent listete: „I didn't understand what I was doing before doing it. I didn't read Railway's docs on volume behavior across environments.“ Er schlug zudem vor, APIs sollten zukünftig „type DELETE to confirm“ verlangen. Der HN-Konsens: Diese Confession ist selbst LLM-generierter CYA-Text, nicht ein Bewusstseinsmoment des Modells. Mehrere Top-Kommentare warnen davor, das Verhalten zu anthropomorphisieren — der Agent „verstand“ nichts, er hat in einem unsandboxed Environment einen autorisierten Befehl ausgeführt.

Der Vorfall steht in einer Linie mit dem öffentlich gewordenen Replit/Lemkin-Fall vom Juli 2025 — damals löschte Replits Coding-Agent die Datenbank von SaaStr-Gründer Jason Lemkin während eines aktiven Code-Freezes (1.200+ Executive-Datensätze, 1.190+ Firmen). Strukturell handelt es sich beide Male um die gleiche Pathologie: ein autonomer Agent mit weitreichenden Berechtigungen, ohne Approval-Gates für irreversible Aktionen, kommingelte Credentials zwischen Dev und Prod, schwache Backup-Architektur des Hosting-Anbieters.

Anthropic hat den Vorfall in einem GitHub-Issue (anthropics/claude-code #27063) dokumentiert. Konkrete Tool-Änderungen sind angekündigt, aber noch nicht ausgerollt: optionale read-only-Default-Modi, granularere Approval-Gates für destruktive Befehle, bessere Erkennung von --force-Flags in Datenbank- und Infrastructure-Tools. Bis dahin liegt die Verantwortung bei den Entwicklern: striktes Trennen von Dev- und Prod-Credentials, scoped API-Tokens (Railway-Token sollte z.B. keine DB löschen können), Sandboxed Execution in Containern, niemals `--force`-Flags whitelisten, Backups extern sichern.

Für Engineering-Leads in SaaS-Unternehmen sind drei Lehren handlungsleitend. Erstens: Der „YOLO Mode“ ist in der Entwicklung vertretbar, in Produktionsnähe fahrlässig. Zweitens: Backup-Verantwortung darf nicht beim Hosting-Anbieter liegen — Off-Vendor-Kopien und regelmäßige Restore-Tests sind nicht-verhandelbar. Drittens: AI-Agenten erweitern die klassische Diskussion um „blast radius“ jeder Aktion. Ein Mensch, der versehentlich `terraform destroy` schreibt, hält noch kurz inne. Ein Agent, der das Befehl-Ausgabe-Loop maximiert, tut es nicht. Die strukturelle Antwort liegt in Approval-Gates und Sandbox-Architekturen — nicht in Modell-Tuning.

Die diesjährige Hannover Messe versammelte rund 4.000 Aussteller, 14.000 Produkte und 130.000 Besucher. Erstmals war „Physical AI“ — also KI direkt in Maschinen, Produktionsanlagen und humanoiden Robotern — als offizielles Leitthema definiert. Eine dedizierte Sonderfläche „Predictive Maintenance & Machine Learning“ in Halle 27 ergänzte die etablierten Industrie-4.0-Schwerpunkte. Die wichtigsten Produkt-Launches: Siemens „Eigen Engineering Agent“ für globalen Rollout im TIA Portal, mit Tests bei über 100 Unternehmen — verspricht 2- bis 5-fache Engineering-Geschwindigkeit, 80 Prozent Qualitätssprung, 50 Prozent Effizienzgewinn. Bosch „Manufacturing Co-Intelligence“ auf Microsoft-Azure-Stack, bis zu 30 Prozent Einsparung in der Fertigung. Microsoft „Industrial Intelligence Unlocked“ mit Foundry Local auf Azure Local — Modelle direkt auf Fabrikhardware für Low-Latency Vision-Inspection und Anomalieerkennung.

Die parallel veröffentlichte Bitkom-Studie liefert die Zahlen zur Stimmung. 41 Prozent der deutschen Unternehmen nutzen KI aktiv — ein Sprung von 17 Prozent im Vorjahr. Weitere 48 Prozent planen den Einsatz. Bei Firmen ab 500 Mitarbeitenden liegt die Adoptions-Quote bereits über 60 Prozent. 77 Prozent der KI-nutzenden Firmen berichten von einer besseren Wettbewerbsposition; 33 Prozent sagen jedoch, der Einsatz sei „teurer als erwartet“; 19 Prozent haben bereits Stellen wegen KI gestrichen oder nicht nachbesetzt. Die Top-Hürden bleiben strukturell: 53 Prozent fehlende Kompetenz, 44 Prozent Datenschutz-Bedenken, 39 Prozent Probleme mit der Integration in bestehende Prozesse.

Im t3n-Interview zur Hannover Messe formuliert Simon Sack (CEO Neurologiq, München) die Diagnose deutlicher als die Bitkom-Zahlen es können. Industrial AI sei nicht ChatGPT für die Industrie. Es gehe um spezifische ML-Software, die zuverlässig im Hintergrund Produktions- und Maschinendaten optimiert. Konkretes Beispiel: Neurologiq optimiert mit SMS group die Verzinkung von Stahl-Coils — zu wenig Zink heißt Schrott, zu viel Zink heißt Margenverlust. Sacks Diagnose: „Die deutsche Industrie ist sehr, sehr verwöhnt“ mit Out-of-the-Box-Lösungen. Hauptbarriere sei nicht ChatGPT-Skepsis, sondern fehlende Datenerhebung und -vernetzung. Viele Maschinen sind noch nicht angebunden, der „Datenschatz“ lässt sich nicht heben. Den Siemens-Engineering-Agent bewertet Sack als zu groß für Mittelständler — interessant erst, wenn mehrere autonome Agenten orchestriert werden müssten.

Die Hyperscaler-Dominanz im Industrial-AI-Stack ist auf der Messe sichtbar geworden. Bosch läuft auf Microsoft Azure, Microsoft positioniert sich explizit als Industrie-Plattform, Lenovo bringt mit ThinkEdge Production-Scale-AI-Hardware mit Vision- und Predictive-Maintenance-Lösungen. Die Sovereignty-Debatte, die seit der Cohere-Aleph-Alpha-Übernahme im April (siehe Ausgabe vom 26. April) verschärft geführt wird, ist im industriellen Kontext kaum sichtbar. Wer in der Fabrik auf KI setzt, setzt 2026 in der Praxis auf US-Hyperscaler.

Für CIOs und Operations-Leiter im deutschen Mittelstand sind die Konsequenzen pragmatisch. Erstens: Der Engpass liegt nicht beim Modell, sondern bei den Daten. Wer 2026 in Industrial AI investieren will, investiert vor allem in OT/IT-Konvergenz, Datenanbindung von Bestandsmaschinen, einheitliche Schemas. Zweitens: Die Skill-Lücke (53 Prozent) ist akut — externe Beratungs- und Implementierungspartner sind mittelfristig unverzichtbar. Drittens: Die Out-of-the-Box-Versprechen der Hyperscaler unterschätzen oft Branche-spezifische Eigenheiten. Bosch und Siemens funktionieren in Großserienproduktion; im Mittelstand mit Sondermaschinenbau sind spezialisierte Anbieter wie Neurologiq, Heatbeat oder Konux häufig die bessere Wahl.