Steven LafortuneAm 20. Januar schockierte das chinesische Start-up DeepSeek die globale KI-Branche - und damit auch mehrere Finanzmärkte - durch die Behauptung, dass seine neue Modellserie mit dem Namen „R1“ viel billiger arbeiten und weit weniger Energie verbrauchen würde als die von den Tech-Giganten OpenAI und Google entwickelten KI-gestützten Chatbots.
Jetzt, weniger als einen Monat nach seiner beispiellosen Enthüllung, erschüttert DeepSeek erneut die ganze Welt. Aber dieses Mal handelt es sich nicht um eine geschickte Marketingaktion. Vielmehr wurden diese Erschütterungen ausgelöst durch eine dringende Warnung von NowSecure, einem Anbieter für mobile App-Sicherheit.
Mehrere Sicherheits- und Datenschutzrisiken
Am 6. Februar veröffentlichten die Forscher von NowSecure die Ergebnisse einer umfassenden Analyse, die mehrere Sicherheits- und Datenschutzrisiken in der iOS-App von DeepSeek aufdeckte Diese Schwachstellen umfassen:
- Unverschlüsselte Datenübertragung: Die App überträgt sensible Daten unverschlüsselt über das Internet, was sie anfällig für Abhören und Manipulation macht.
- Schwache und fest kodierte Verschlüsselungsschlüssel: Die App nutzt eine veraltete Triple-DES-Verschlüsselung, wiederverwendet Initialisierungsvektoren und kodiert Verschlüsselungsschlüssel fest ein - all dies verstößt gegen bewährte Sicherheitsverfahren zum Schutz von Daten.
- Unsichere Datenspeicherung: Die App speichert Nutzernamen, Passwort und Verschlüsselungsschlüssel unsicher, was das Risiko des Diebstahls von Anmeldeinformationen erhöht.
- Umfassende Datenerfassung: Die App sammelt Nutzer- und Gerätedaten, die von böswilligen Akteuren zur Nachverfolgung und Re-Identifizierung anonymer Daten verwendet werden können.
- Daten werden nach China gesendet: App-Nutzer sind sich möglicherweise nicht bewusst, dass ihre Daten an Server übertragen werden, die von ByteDance kontrolliert werden, dem chinesischen Unternehmen, dem TikTok gehört. Dies wirft Bedenken hinsichtlich der Praktiken zur Datenverwaltung unter chinesischer Rechtsprechung auf, einschließlich der Überwachung ohne richterliche Genehmigung.
- Deaktivierte iOS-Datenschutzkontrollen: Die App umgeht die Sicherheitsfunktionen von Apple und enthält keine obligatorischen Datenschutzmanifeste, was die Gefahr des Trackings und des Fingerprintings erhöht.
Bis diese Schwachstellen behoben sind, fordert NowSecure alle Unternehmen auf, die Verwendung von DeepSeek augenblicklich zu verbieten. DeepSeek wurde seit der Veröffentlichung millionenfach heruntergeladen und ist derzeit die drittbeliebteste „Produktivitäts“-App im App Store (nach mehreren Tagen auf Platz 1). Stattdessen sollten Unternehmen eine alternative KI-Lösung finden, die ähnliche Funktionen bietet, allerdings mit besseren Verfahren für die Sicherheit, den Datenschutz und die Datenverwaltung.
NowSecure rät Unternehmen, die DeepSeek zum jetzigen Zeitpunkt nicht ersetzen wollen oder können, ihr Risiko zu reduzieren, indem sie ein Open-Source-Modell mit einer gehosteten Lösung nutzen oder ein selbst-gehostetes Modell einsetzen.
Android-Nutzer: Vorsicht
Der Gründer von NowSecure, Andrew Hoog, hat erklärt, dass sein Forschungsteam die eingehende Analyse von DeepSeek für Android noch nicht abgeschlossen hat. Aber er glaubt, dass das grundlegende Design der iOS-Version funktional ähnlich sein könnte. Sollte dies der Fall sein, dann wären die meisten oder alle Schwachstellen auch hier vorhanden.
Zusätzliche Bedenken
NowSecure ist nicht das einzige Unternehmen, das wegen der Sicherheit von DeepSeek Alarm schlägt:
- Forscher von Check Point Software haben herausgefunden, dass böswillige Akteure DeepSeek und Quen nutzen (eine von Alibaba Cloud entwickelte Sammlung großer Sprachmodelle), um bösartige Inhalte zu entwickeln.
- Forscher bei Cisco haben eine 100-prozentige Erfolgsquote bei Angriffen auf DeepSeek ermittelt, was bedeutet, dass es DeepSeek nicht gelungen ist, eine einzige schädliche Eingabeaufforderung zu blockiere.
- Forscher bei Wiz haben festgestellt, dass eine öffentlich zugängliche Datenbank, die zu DeepSeek gehört, die volle Kontrolle über die Operationen mit der Datenbank ermöglichte, einschließlich der Möglichkeit, auf interne Daten und Millionen von Zeilen von Log-Streams mit hochsensiblen Informationen zuzugreifen.
Auch wenn diese Schwachstellen nicht direkt die iOS-App von DeepSeek betreffen, werfen sie doch einige beunruhigende Fragen zum Sicherheitsprofil, den Richtlinien und Praktiken des Unternehmens auf, die beantwortet werden müssen.
Erkenntnisse und Ratschläge von William Matos, dem Experten für Betriebssicherheit bei Devolutions
Diese Erkenntnisse der Forscher von NowSecure sind ernst zu nehmen und veranlassen mehrere Länder und Unternehmen auf der ganzen Welt, DeepSeek aufgrund seiner potenziellen Datenschutz- und Sicherheitsrisiken zu verbieten oder zu durchleuchten.
Bei Devolutions hat Sicherheit oberste Priorität und das bereits seit dem ersten Tag. Wir gehen keine Kompromisse ein und nehmen keine Abkürzung, wenn es um den Schutz der Daten bei der Übertragung oder im Ruhezustand oder um den Schutz der Privatsphäre und der Vertraulichkeit unserer Nutzer geht. Mit anderen Worten: Wir nehmen die Sicherheit genauso ernst, wie unsere globale Nutzer-Community, in der sich viele sehr erfahrene InfoSec-Sicherheitsexperten befinden.
Im Folgenden finden Sie einen Vergleich der Sicherheitsfunktionen von Devolutions Password Hub und DeepSeek iOS (Anmerkung: Devolutions Password Hub ist eine Cloud-basiert Lösung für die Passwortverwaltung und DeepSeek ist ein KI-gestützter Chatbot; diese Übersicht verdeutlicht unser verstärktes Engagement für Sicherheit und den Schutz der Nutzerdaten):
- Verschlüsselungsstärke Devolutions Password Hub: AES-256 & TLS 1.2/1.3 zum Schutz der Daten DeepSeek iOS: Schwache Verschlüsselung (3DES, hartkodierte Schlüssel)
- Sicherheit der Datenübertragung Devolutions Password Hub: Vollständige End-to-End-Verschlüsselung DeepSeek iOS: Unverschlüsselte Daten werden über das Internet übertragen
- Cloud-Infrastruktur Devolutions Password Hub: Gehostet auf sicheren und konformen Cloud-Plattformen (ISO 27001, SOC2) DeepSeek iOS: Sendet Daten an Volcano Engine (ByteDance-Server)
- Nullwissen-Architektur Devolutions Password Hub: Niemand (nicht einmal Devolutions) kann auf gespeicherte Passwörter zugreifen DeepSeek iOS: Sammelt Nutzer- und Gerätedaten ohne Zustimmung
- Einhaltung der Vorschriften und Datenschutz Devolutions Password Hub: GDPR, SOC 2, ISO 27001-konform DeepSeek iOS: Umgeht die Apple-Sicherheit (ATS) und verstößt gegen bewährte Verfahren
- Dateneigentum & -kontrolle Devolutions Password Hub: Nutzergesteuert, alle Daten gehören dem Unternehmen DeepSeek iOS: Daten werden auf externen Servern gespeichert, außerhalb der Kontrolle der Nutzer
Darüber hinaus arbeitet Devolutions nicht nach dem Prinzip „Sicherheit durch Unklarheit“. Transparenz ist einer der grundlegendsten Werte unseres Unternehmens und wir auf vielfältige Weise demonstriert:
- Unsere kryptografische Bibliothek ist als Open Source verfügbar und kann auf Github von jedermann eingesehen werden.
- Wir veröffentlichen regelmäßig Sicherheitsberichte Dritter und Zertifizierungen wie ISO/IEC 27001 und SOC2, die unter Sicherheit & Regelkonformität auf unserer Website einzusehen sind.
- Wir listen auf unserer Website Hinweise zu allen bekannten Sicherheitslücken auf. Jeder Hinweis enthält Abhilfemaßnahmen und Umgehungslösungen, einen Schweregrad gemäß dem Common Vulnerability Scoring System (CVSS) und eine CVE-Nummer (Common Vulnerabilities and Exposures). Nutzer können sich auch anmelden, um die neuesten Hinweise per E-Mail zu erhalten.
- Wir betreiben ein Bug Bounty-Programm, das Forschende dazu ermutigt, unsere Produkte „anzugreifen und zu knacken“, damit wir proaktiv Schwachstellen und Kodierungs-/Programmierfehler beheben können.
- Alle aktuellen und potenziellen Nutzer sind eingeladen, uns zu kontaktieren, wenn sie Fragen zur Sicherheit unserer Lösungen oder zu den Richtlinien und Praktiken unseres Unternehmens haben.
Ein Blick in die Zukunft
In nur wenigen Wochen hat DeepSeek das KI-Rennen dramatisch verändert und beschleunigt. Das Potenzial und die Versprechungen KI-gestützter Chatbots - zu denen DeepSeek unter vielen anderen gehört - können jedoch nur dann voll ausgeschöpft werden, wenn sie auf einer soliden Sicherheitsgrundlage basieren. Daher ist es Aufgabe von Anbietern, Regierungen und Mitgliedern der globalen Sicherheits-Community (ein Paradebeispiel dafür ist die hervorragende Arbeit der Forscher bei NowSecure in diesem Fall), dafür zu sorgen, dass hohe Sicherheitsstandards konsequent eingehalten werden.
Letztendlich dürfen wir die Wahrheit nicht aus den Augen verlieren, dass ein Produkt, das aufgrund von Design oder Nachlässigkeit die Daten der Nutzer gefährdet und ihr Vertrauen untergräbt, (noch) keine annehmbare Lösung ist, sondern ein ernstes Problem, das behoben werden muss.
Teilen Sie Ihre Gedanken mit
Wir laden Sie ein, Ihre Gedanken, Erfahrungen und Prognosen zu DeepSeek oder anderen KI-gestützten Chatbots mit uns zu teilen. Bitte lassen Sie unten einen Kommentar.