Künstliche Intelligenz (KI)
Sicherheitsmythos: „LLMs speichern alles, was sie kriegen“
Zu sagen „Das LLM speichert alles, was ich ihm gebe!“, ist übertrieben. Aber die dahinterstehende Sorge – mangelnde Kontrolle über Daten, fehlende Transparenz, potenzielle Manipulierbarkeit – ist berechtigt.
Save to Folio
Es ist gerade einmal elf Jahre her, da titelte die New York Times: „Facebook kennt einen Menschen besser als jeder andere“. Dies ist ein heikles Thema über die KI-gestützte Analyse von Menschen und führt zu einigen Fragen. Wenn nun KI in Alltagsoperationen eingesetzt wird, lernt sie dann unser Verhalten nachzumachen? Wird gespeichert, was wir sie fragen oder sie für uns tun soll? Muss ich deshalb aufpassen, was ich in ihrer Gegenwart tue?
Was für Privatpersonen unangenehme Überlegungen sein mögen, ist für Unternehmen ebenfalls von Relevanz. Können beispielsweise Firmengeheimnisse einer KI anvertraut werden? Wie verhält es sich mit personenbezogenen Daten? Darf man die KI wirklich alles fragen, oder begeht man damit nicht vielleicht sogar einen Rechtsbruch, weil man Daten mit einem anderen Unternehmen teilt?
Diese Überlegungen machen den Mythos relevant. Aber trifft er eigentlich auch zu?
Fangen wir mit dem Offensichtlichen an: Ja, viele KI-Anbieter verwenden potenziell Nutzerdaten zum Training ihrer Modelle. Aus Sicht der Anbieter ist das sehr wichtig. Um die Qualität einer KI hochzuhalten, muss das Training auch neue Daten erfassen. Die Interaktion mit „echten Menschen“ ist dabei eine wertvolle Hilfe. Würde sie aber alles unkontrolliert verwenden, ergäben sich dadurch auch für die KI hohe Risiken. Nicht zuletzt, dass sie sich bei ihren zahlenden Kunden strafbar machen könnte.
Deshalb offerieren seriöse Anbieter Konsumentenprodukte (kostenlos oder zu günstigen Tarifen), die oft mit weniger Datenschutzgarantien einhergehen. Hier kann die Möglichkeit, Training aus Gesprächen zu generieren, tatsächlich aktiviert sein – aber in der Regel mit Opt-out-Chance.
Die kostenpflichtigen Unternehmensprodukte und API-Zugänge sind dagegen typischerweise durch vertragliche Regelungen geschützt. Dem Training mit diesen Daten muss explizit zugestimmt werden.
Der eigentliche Mythos, dass ein LLM passiv „mithört“ und heimlich, bzw. ohne Zustimmung, alles speichert, trifft bei kommerziellen Anbietern also nicht zu. Allerdings gibt es auch kaum Möglichkeiten, diese Zusagen der Anbieter zu prüfen. Andererseits aber ist eine unbegrenzte Nutzung der Daten für ein LLM nicht risikolos.
Das unterschätzte Risiko: Training Data Poisoning
Denn würden alle Eingabedaten tatsächlich für das Training verwendet, gäbe es für die Anbieter ein nicht zu unterschätzendes Problem --das so genannte „Training Data Poisoning“.
Das Prinzip hinter der Theorie: Ausgehend davon, dass eingegebene Daten zum Training eines künftigen KI-Modells verwendet werden, kann ein Angreifer bewusst und systematisch Eingriffe generieren, um das zukünftige Modell gezielt zu beeinflussen. Berichten zufolge, versuchte ein pro-russisches Netzwerk namens „Pravda“ so KI-Modelle gezielt zu manipulieren, damit sie bei Fragen zum Krieg in der Ukraine die aus ihrer Sicht „richtigen Antworten“ gaben.
Ein eher wissenschaftliches Experiment versuchte herauszufinden, wie viele manipulierte Datensätze es benötigte, um die KI dazu zu bringen, auf ein „Triggerwort“ bei der Eingabe nur noch Unsinn von sich zu geben. Die Antwort: erstaunlich wenige.
Die Speicherung und Verwendung von Ein- und Ausgaben in einem KI-System sind also nicht nur eine Frage des Trainings, sondern auch des Qualitätsmanagements. Dabei gibt es selbst ohne böswillige Absicht ungewollte Effekte. Beispielsweise das unbeabsichtigte „Memorieren“, bei dem Modelle sensible Informationen wie interne Projektbezeichnungen oder persönliche Details als „ungewöhnliche Muster“ verstehen und adaptieren. Auch ein struktureller „Bias“ zu Deutsch „Vorurteil“ kann ungewollt „gelernt“ werden, wenn viele Nutzer ähnliche Eingaben tätigen und das Modell diese Muster als „Normalfall“ interpretiert.
Anbieter von KI-Systemen müssen deshalb auch die für das Training vorgesehenen Daten prüfen. Neben maschinellen Checks, etwa auf beleidigende oder illegale Inhalte, werden auch Prüfungen durch Menschen durchgeführt.
Was bedeutet das praktisch?
Eine Prüfung, ob Inhalte für das Training verwendet wurden oder nicht, ist für beteiligte Kunden nicht möglich. Auch das nach DSGVO zustehende Auskunftsrecht liefert im Zusammenhang mit KI-Trainingsdaten kaum brauchbare Ergebnisse.
Für Unternehmen und IT-Verantwortliche lassen sich daraus konkrete Handlungsempfehlungen ableiten:
- Genutzte KI-Produkte und deren Datenschutzklassifizierung kennen – Consumer-Produkte und Enterprise-Lösungen unterscheiden sich hier erheblich.
- Keine sensiblen Daten in ungeprüfte KI-Systeme eingeben, unabhängig von Opt-out-Einstellungen.
- Lösungen mit vertraglich geregeltem Ausschluss von Training-Datennutzung bevorzugen.
- Training Data Poisoning in die eigene Bedrohungsmodellierung aufnehmen – besonders wenn KI-Systeme in kritischen Workflows eingesetzt werden.
Fazit
Der Mythos trifft nicht ganz zu, aber er zeigt in die richtige Richtung. Die KI-Branche arbeitet an besseren Lösungen, aber die Transparenz ist noch lange nicht dort, wo sie sein sollte.
Immer wieder erleben wir es deshalb, dass Unternehmen ihren Mitarbeitern den Zugang zu KI-Modellen verbieten, um sich nicht unbewusst strafbar zu machen. Die Diskussion in der IT-Sicherheit ist deshalb darauf fokussiert, durch Inhaltsregeln und Zugangsberechtigungen eine angstfreie Nutzung der KI zu ermöglichen.