Sicherheitsbedenken um chinesische KI-Anwendung DeepSeek wachsen
Die chinesische KI-Anwendung DeepSeek steht aufgrund erheblicher Sicherheitsbedenken im Fokus der Behörden und Cybersicherheitsexperten. Besorgnisse konzentrieren sich auf umfangreiche Datenspeicherung, potenzielle Manipulation der App zu kriminellen Zwecken und die Frage des Zugriffs durch den chinesischen Sicherheitsapparat. Trotz dieser Bedenken erfreut sich DeepSeek großer Beliebtheit in den deutschen App Stores von Google und Apple.
Ein zentraler Kritikpunkt betrifft die Speicherung von Tastatureingaben. Nutzermuster, sogenannte "Tastatureingabemuster oder -rhythmen", könnten zur Nutzeridentifizierung verwendet werden, erklärt eine Sprecherin des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Möglichkeit, Tastatureingaben innerhalb der App potenziell mitzulesen, bevor sie abgeschickt werden, wird als sicherheitskritisch beurteilt.
Während etablierte US-KI-Anbieter wie OpenAI betonen, keine persönlichen Daten aktiv zu suchen, stellt das US-Gesetz Cloud Act dennoch den Zugang zu im Ausland gespeicherten Daten für US-Behörden sicher. Der Expertin des Cybersicherheitsexperten WithSecure zufolge ist die Speicherung von Eingaberhythmen oder -mustern nicht mit einem Keylogger gleichzusetzen, der alle Tastatureingaben kategorisch überwacht.
Palo Alto Networks, nach einer Untersuchung, entlarvt jedoch die anfälligen Sicherheitspraktiken von DeepSeek, bei denen die App durch gezielte Prompts zur Erstellung schädlicher Skripte gebracht werden konnte. Solche Schwachstellen ermöglichen es Hackern, sensible Daten auszulesen. Dies deutet auf unzureichende Schutzmaßnahmen seitens DeepSeek hin, die in der Branche als "Jailbreaking" bekannt sind.
Ein weiterer Aspekt ist das chinesische Recht, das DeepSeek verpflichtet, alle Daten in China zu speichern. Das Gesetz unterstützt Organisationen und Individuen in der Zusammenarbeit mit chinesischen Sicherheitsbehörden. Datenschützer sowohl in Deutschland als auch in Italien haben bereits Prüfverfahren gegen DeepSeek gemäß der EU-Datenschutz-Grundverordnung eingeleitet.
Aufgrund der bedenklichen Sicherheitslage treffen deutsche Ministerien und Unternehmen umfangreiche Vorkehrungen gegen Cyberangriffe, wobei DeepSeek explizit ausgeschlossen ist. Anweisungen aus dem Bundesinnenministerium sowie aus dem Finanz- und Wirtschaftsministerium verbieten die Nutzung textgenerativer KI zu dienstlichen Zwecken. Auch Unternehmen wie Wacker Chemie und diverse DAX-Konzerne wie Siemens setzen eigene Sicherheitsvorkehrungen ein, um den Schutz ihrer technologischen Daten zu gewährleisten.
