Nachrichten Detail
Wed Feb 12 06:35:00 CET 2025
MÜNCHEN (dpa-AFX) - Behörden und Cybersicherheitsfachleute haben gravierende Sicherheitsbedenken gegen die chinesische KI DeepSeek. Dabei geht es um mehrere Punkte: die offenkundig sehr weitreichende Speicherung von Nutzerdaten, die mögliche Manipulierbarkeit der Anwendung für kriminelle Zwecke und die Frage, inwieweit der chinesische Spionage- und Überwachungsapparat Zugriff auf Nutzerdaten hat. DeepSeek hat sich seit der Veröffentlichung zu einer der beliebtesten KI-Anwendungen auch in den deutschen App Stores von Apple und Google entwickelt.
DeepSeek speichert Nutzereingaben in großem Umfang
Ein wesentlicher Kritikpunkt ist die Speicherung der Tastatureingaben. DeepSeek informiert in seinen Datenschutzhinweisen darüber, dass "Tastatureingabemuster oder -rhythmen" (keystroke patterns or rhythms) erfasst werden - ein Verfahren, das zur Identifizierung von Nutzern eingesetzt werden kann. "Auch Tastatureingaben innerhalb der App können womöglich mitgelesen werden, bevor sie abgeschickt werden", sagt eine Sprecherin des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf dpa-Anfrage.
BSI: für sicherheitskritische Bereiche bedenklich
"Daneben wird die Art und Weise, wie Tastatureingaben vorgenommen werden, gespeichert." Mit solchen Mustern könnten mit Hilfe Künstlicher Intelligenz Nutzprofile erstellt und wiedererkannt werden. Fazit: "Das BSI hält diese Möglichkeit mindestens für sicherheitskritische Bereiche für bedenklich."
Die etablierte US-Konkurrenz von Open AI hingegen sichert zu, nicht aktiv nach persönlichen Daten zu suchen und keine öffentlichen Daten im Internet zum Aufbau persönlicher Profile zu verwenden. Allerdings gibt es auch ein US-Gesetz - den Cloud Act - das amerikanische Firmen verpflichtet, den Behörden Zugriff auf im Ausland gespeicherte Daten zu gewähren.
Ein "Keylogger", wie ihn kriminelle Hacker und Geheimdienste zum Ausspionieren von Passwörtern und Zugangs-Daten verwenden, ist die Speicherung von Eingabemustern oder -rhythmen durch DeepSeek nach Einschätzung des Experten Rüdiger Trost zwar nicht. "Hier muss man unterscheiden: Ein Keylogger "schneidet alles mit, was über die Tastatur eingegeben wird", sagt der Fachmann, der für den Cybersicherheitdienstleister WithSecure arbeitet. "Das ist etwas Anderes als ein Prompt in einem GenAI Tool oder im Allgemeinen eine Sucheingabe in einem Browser."
Palo Alto Networks: Hilfreich für Cybergangster
Doch in einer Untersuchung des großen US-Cybersicherheitsdienstleisters Palo Alto Networks ließ sich DeepSeek leicht für kriminelle Zwecke manipulieren. Das berichtet Sam Rubin, Leiter der Bedrohungsanalyse und -beratung des Unternehmens.
So brachten die Cyberfachleute DeepSeek mit Hilfe der "richtigen Prompts" dazu, ein Skript zur Auslese von Daten aus Mails und Word-Dateien zu erzeugen. Derartige Skripts werden von Hackern genutzt, um Daten zu stehlen. Mit zusätzlichen Prompts habe DeepSeek außerdem tatsächlich "Keylogger Code" produziert, wie Rubin auf Anfrage sagte.
Das erfolgreiche Aushebeln von Sicherheitsvorkehrungen heißt in der Software-Branche "Jailbreaking" - Gefängnisausbruch. Laut Palo Alto Networks fehlen DeepSeek die Schutzplanken anderer KI-Modelle. "Unsere Forscher waren in der Lage, die schwachen Sicherheitsvorkehrungen zu umgehen, um bösartige Inhalte zu produzieren, was wenig bis kein Spezialwissen oder Expertise erforderte", sagt Rubin.
Freier Zugriff für Chinas Spione?
Ganz abgesehen davon ist DeepSeek nach chinesischem Recht verpflichtet, sämtliche Daten in der Volksrepublik zu speichern. Das chinesische Geheimdienstgesetz wiederum verpflichtet Bevölkerung und Organisationen zur Kooperation mit den Sicherheitsbehörden. Der Gummiparagraf wird von etlichen China-Beobachtern als Zugriffsrecht des Spionageapparats auf sämtliche in der Volksrepublik gespeicherten Daten interpretiert.
Datenschützer wollen prüfen
Derzeit bereitet der Datenschutzbeauftragte von Rheinland-Pfalz ein Prüfverfahren gegen DeepSeek vor. "Mehrere deutsche Datenschutzaufsichtsbehörden gehen voraussichtlich parallel vor", sagte eine Sprecherin auf Anfrage. Laut EU-Datenschutzgrundverordnung muss ein Unternehmen ohne Niederlassung in der EU zumindest einen gesetzlichen Vertreter benennen, was DeepSeek bislang offenbar nicht getan hat. "Das Fehlen eines gesetzlichen Vertreters stellt an sich schon einen Verstoß gegen die Datenschutz-Grundverordnung dar und kann mit Bußgeld geahndet werden", sagt die Sprecherin. Die italienische Datenschutzbehörde GDDP hat die chinesische KI bereits Ende Januar auf den Index gesetzt. DeepSeek ließ eine dpa-Anfrage zu den verschiedenen Kritikpunkten zunächst unbeantwortet.
Ministerien und Konzerne bei KI grundsätzlich auf der Hut
Deutsche Ministerien, Bundesbehörden und große Unternehmen treffen massive Sicherheitsvorkehrungen gegen Cyberattacken. Das schließt Künstliche Intelligenz mit ein und trifft nicht nur DeepSeek.
So hat das Bundesinnenministerium die Nutzung externer Cloud-Dienste grundsätzlich verboten. Andere Bundesministerien haben ähnliche Vorschriften erlassen: Das Finanzministerium hat die Nutzung "textgenerativer Künstlicher Intelligenz im Internet zu dienstlichen Zwecken grundsätzlich untersagt". Das Wirtschaftsministerium hat festgelegt, welche Anwendungen erlaubt sind, DeepSeek und andere KI-Anwendungen gehören nicht dazu.
Auch das Deutsche Patent- und Markenamt in München - ebenfalls ein potenzielles Spionageziel - setzt DeepSeek nicht ein. Im bayerischen Innenministerium sind DeepSeek und andere KI-Anwendungen auf dienstlichen Geräten nicht erlaubt und private Geräte dürfen nicht dienstlich genutzt werden.
Nach diesem Prozedere verfahren auch große Unternehmen, die ihre Technologie schützen wollen. Dazu zählt die Münchner Wacker Chemie , ein wichtiger Lieferant der Computerchip-Industrie: kein DeepSeek auf Firmenrechnern und -geräten und keine privaten Geräte bei der Arbeit.
Sicherheitsschleusen bei Dax-Konzernen
Mehrere Dax-Konzerne ermöglichen den Zugriff auf KI-Anwendungen nur über die Sicherheitsschleusen eigener Systeme, bei Siemens etwa "SiemensGTP" geheißen. "Dort ist neben vielen anderen Modellen auch Deep Seek verfügbar - innerhalb eines sicheren Umfelds, das garantiert, dass Siemensdaten bei Siemens bleiben", sagt ein Sprecher. BMW und die BASF gehen nach ähnlichem Muster vor./cho/DP/zb
Wertentwicklungen (Performances) und Renditechancen werden ohne Berücksichtigung der jeweiligen Produkt-, Dienstleistungskosten und Zuwendungen angezeigt. Diese und deren Auswirkungen auf die Performance und Renditechance des Instruments erhalten Sie kundenindividuell vor Ihrer Transaktion oder im Rahmen Ihrer Beratung bei der HypoVereinsbank.
Alle Angaben ohne Gewähr. Die Informationen auf dieser Seite stellen weder eine Anlageberatung, noch ein verbindliches Angebot dar und dienen ausschließlich der eigenverantwortlichen Information. Insbesondere können sie eine Aufklärung und Beratung durch den Betreuer nicht ersetzen. Die Instrumente sind nur in Grundzügen dargestellt. Ausführliche Informationen enthalten bei Fonds die allein verbindlichen Verkaufsprospekte sowie die Wesentlichen Anlegerinformationen, die aktuellen Jahres- und Halbjahresberichte, bei anderen Instrumenten die allein verbindlichen Basisprospekte einschließlich etwaiger Nachträge bzw. die Endgültigen Bedingungen und bei Finanzinstrumenten, die der PRIIP-Verordnung unterliegen zusätzlich die Basisinformationsblätter. Diese deutschsprachigen Dokumente erhalten Sie bei Fonds in elektronischer Form auf der Detailseite zum Fonds und/oder in Papierform kostenlos über alle HypoVereinsbank Filialen. Bei Finanzinstrumenten, die der PRIIP-Verordnung unterliegen erhalten Sie die deutschsprachigen Basisinformationsblätter in elektronischer und/oder in Papierform kostenlos bei Ihrem Ansprechpartner der HypoVereinsbank. Alle anderen Dokumente können Sie direkt beim Emittenten (Herausgeber) anfordern. Wertpapiere und sonstige Finanzinstrumente unterliegen u.a. Kurs- und Währungsschwankungen, die die Rendite steigern oder reduzieren können. Es kann grundsätzlich zum Verlust des eingesetzten Kapitals kommen. Alle Wertpapiere außer Fonds unterliegen dem Emittentenrisiko und strukturierte Produkte zusätzlich dem Risiko des Basiswertes. Bei Optionsscheinen, Knock out Produkten und Faktorzertifikaten sind starke Kursschwankungen üblich und es besteht ein Totalverlustrisiko.
Die Informationen auf dieser Seite stellen auch keine Finanzanalyse dar. Eine den gesetzlichen Anforderungen entsprechende Unvoreingenommenheit wird daher nicht gewährleistet. Es gibt auch kein Verbot des Handels - wie es vor der Veröffentlichung von Finanzanalysen gilt. Diese Information richtet sich nicht an natürliche oder juristische Personen, die aufgrund ihres Wohn- bzw. Geschäftssitzes einer ausländischen Rechtsordnung unterliegen, die für die Verbreitung derartiger Informationen Beschränkungen vorsieht. Insbesondere enthält diese Information weder ein Angebot noch eine Aufforderung zum Kauf von Wertpapieren an Staatsbürger der USA, Großbritanniens oder der Länder im Europäischen Wirtschaftsraum, in denen die Voraussetzungen für ein derartiges Angebot nicht erfüllt sind.
© 2012-2020. UniCredit Bank GmbH (HVB). Bitte beachten Sie die Nutzungsbedingungen.
Design and Implementation by ByteWorx GmbH.
Powered by FactSet Digital Solutions GmbH.
Bereitstellung der Kurs- und Marktinformationen erfolgt durch FactSet Digital Solutions GmbH.
Fondsdaten bereitgestellt von Mountain-View Data GmbH.
Es wird keine Haftung für die Richtigkeit der Angaben übernommen!
