{"id":1901,"date":"2025-02-12T11:11:11","date_gmt":"2025-02-12T11:11:11","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1901"},"modified":"2025-02-12T11:11:11","modified_gmt":"2025-02-12T11:11:11","slug":"deepseek-erfasst-tastatureingabemuster","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1901","title":{"rendered":"DeepSeek erfasst Tastatureingabemuster"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Selbst Tastatureingaben in der DeepSeek App k\u00f6nnen wom\u00f6glich mitgelesen werden, bevor sie abgeschickt werden.\n

Mojahid Mottakin \u2013 shutterstock.com<\/p>\n<\/div>\n

Beh\u00f6rden und Cybersicherheitsfachleute haben gravierende Sicherheitsbedenken gegen die chinesische KI DeepSeek. Dabei geht es um mehrere Punkte: die offenkundig sehr weitreichende Speicherung von Nutzerdaten, die m\u00f6gliche Manipulierbarkeit der Anwendung f\u00fcr kriminelle Zwecke und die Frage, inwieweit der chinesische Spionage- und \u00dcberwachungsapparat Zugriff auf Nutzerdaten hat. DeepSeek hat sich seit der Ver\u00f6ffentlichung zu einer der beliebtesten KI-Anwendungen auch in den deutschen App Stores von Apple und Google entwickelt.\u00a0<\/p>\n

DeepSeek speichert Nutzereingaben in gro\u00dfem Umfang<\/h2>\n

Ein wesentlicher Kritikpunkt ist die Speicherung der Tastatureingaben. DeepSeek informiert in seinen Datenschutzhinweisen<\/a> dar\u00fcber, dass \u201cTastatureingabemuster oder -rhythmen\u201d (keystroke patterns or rhythms) erfasst werden \u2013 ein Verfahren, das zur Identifizierung von Nutzern eingesetzt werden kann. \u201cAuch Tastatureingaben innerhalb der App k\u00f6nnen wom\u00f6glich mitgelesen werden, bevor sie abgeschickt werden\u201d, sagt eine Sprecherin des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) auf dpa-Anfrage.\u00a0<\/p>\n

BSI: f\u00fcr sicherheitskritische Bereiche bedenklich<\/h2>\n

\u201cDaneben wird die Art und Weise, wie Tastatureingaben vorgenommen werden, gespeichert.\u201d Mit solchen Mustern k\u00f6nnten mit Hilfe K\u00fcnstlicher Intelligenz Nutzprofile erstellt und wiedererkannt werden. Fazit: \u201cDas BSI h\u00e4lt diese M\u00f6glichkeit mindestens f\u00fcr sicherheitskritische Bereiche f\u00fcr bedenklich.\u201d\u00a0<\/p>\n

Die etablierte US-Konkurrenz von Open AI hingegen sichert zu<\/a>, nicht aktiv nach pers\u00f6nlichen Daten zu suchen und keine \u00f6ffentlichen Daten im Internet zum Aufbau pers\u00f6nlicher Profile zu verwenden. Allerdings gibt es auch ein US-Gesetz \u2013 den Cloud Act<\/a> \u2013 das amerikanische Unternehmen verpflichtet, den Beh\u00f6rden Zugriff auf im Ausland gespeicherte Daten zu gew\u00e4hren.\u00a0<\/p>\n

Ein \u201cKeylogger\u201d, wie ihn kriminelle Hacker und Geheimdienste zum Ausspionieren von Passw\u00f6rtern und Zugangs-Daten verwenden, ist die Speicherung von Eingabemustern oder -rhythmen durch DeepSeek nach Einsch\u00e4tzung des Experten R\u00fcdiger Trost zwar nicht. \u201cHier muss man unterscheiden: Ein Keylogger \u201cschneidet alles mit, was \u00fcber die Tastatur eingegeben wird\u201d, sagt der Fachmann, der f\u00fcr den Cybersicherheitdienstleister WithSecure arbeitet. \u201cDas ist etwas Anderes als ein Prompt in einem GenAI Tool oder im Allgemeinen eine Sucheingabe in einem Browser.\u201d<\/p>\n

Palo Alto Networks: Hilfreich f\u00fcr Cybergangster<\/h2>\n

Doch in einer Untersuchung des gro\u00dfen US-Cybersicherheitsdienstleisters Palo Alto Networks lie\u00df sich DeepSeek leicht f\u00fcr kriminelle Zwecke manipulieren. Das berichtet Sam Rubin, Leiter der Bedrohungsanalyse und -beratung des Unternehmens.\u00a0<\/p>\n

So brachten die Cyberfachleute DeepSeek mit Hilfe der \u201crichtigen Prompts\u201d dazu, ein Skript zur Auslese von Daten aus Mails und Word-Dateien zu erzeugen. Derartige Skripts werden von Hackern genutzt, um Daten zu stehlen. Mit zus\u00e4tzlichen Prompts habe DeepSeek au\u00dferdem tats\u00e4chlich \u201cKeylogger Code\u201d produziert, wie Rubin auf Anfrage sagte.\u00a0<\/p>\n

Das erfolgreiche Aushebeln von Sicherheitsvorkehrungen hei\u00dft in der Software-Branche \u201cJailbreaking\u201d \u2013 Gef\u00e4ngnisausbruch. Laut Palo Alto Networks fehlen DeepSeek die Schutzplanken anderer KI-Modelle. \u201cUnsere Forscher waren in der Lage, die schwachen Sicherheitsvorkehrungen zu umgehen, um b\u00f6sartige Inhalte zu produzieren, was wenig bis kein Spezialwissen oder Expertise erforderte\u201d, sagt Rubin.\u00a0<\/p>\n

Freier Zugriff f\u00fcr Chinas Spione?<\/h2>\n

Ganz abgesehen davon ist DeepSeek nach chinesischem Recht verpflichtet, s\u00e4mtliche Daten in der Volksrepublik zu speichern. Das chinesische Geheimdienstgesetz<\/a> wiederum verpflichtet Bev\u00f6lkerung und Organisationen zur Kooperation mit den Sicherheitsbeh\u00f6rden. Der Gummiparagraf wird von etlichen China-Beobachtern als Zugriffsrecht des Spionageapparats auf s\u00e4mtliche in der Volksrepublik gespeicherten Daten interpretiert.\u00a0<\/p>\n

Datensch\u00fctzer wollen pr\u00fcfen<\/h2>\n

Derzeit bereitet der Datenschutzbeauftragte von Rheinland-Pfalz ein Pr\u00fcfverfahren gegen DeepSeek vor. \u201cMehrere deutsche Datenschutzaufsichtsbeh\u00f6rden gehen voraussichtlich parallel vor\u201d, sagte eine Sprecherin auf Anfrage. Laut EU-Datenschutzgrundverordnung muss ein Unternehmen ohne Niederlassung in der EU zumindest einen gesetzlichen Vertreter benennen, was DeepSeek bislang offenbar nicht getan hat. \u201cDas Fehlen eines gesetzlichen Vertreters stellt an sich schon einen Versto\u00df gegen die Datenschutz-Grundverordnung dar und kann mit Bu\u00dfgeld geahndet werden\u201d, sagt die Sprecherin. Die italienische Datenschutzbeh\u00f6rde GDDP hat die chinesische KI bereits Ende Januar auf den Index gesetzt. DeepSeek lie\u00df eine dpa-Anfrage zu den verschiedenen Kritikpunkten zun\u00e4chst unbeantwortet.<\/p>\n

Ministerien und Konzerne bei KI grunds\u00e4tzlich auf der Hut<\/h2>\n

Deutsche Ministerien, Bundesbeh\u00f6rden und gro\u00dfe Unternehmen treffen massive Sicherheitsvorkehrungen gegen Cyberattacken. Das schlie\u00dft K\u00fcnstliche Intelligenz mit ein und trifft nicht nur DeepSeek.\u00a0<\/p>\n

So hat das Bundesinnenministerium die Nutzung externer Cloud-Dienste grunds\u00e4tzlich verboten. Andere Bundesministerien haben \u00e4hnliche Vorschriften erlassen: Das Finanzministerium hat die Nutzung \u201ctextgenerativer K\u00fcnstlicher Intelligenz im Internet zu dienstlichen Zwecken grunds\u00e4tzlich untersagt\u201d. Das Wirtschaftsministerium hat festgelegt, welche Anwendungen erlaubt sind, DeepSeek und andere KI-Anwendungen geh\u00f6ren nicht dazu.\u00a0<\/p>\n

Auch das Deutsche Patent- und Markenamt in M\u00fcnchen \u2013 ebenfalls ein potenzielles Spionageziel \u2013 setzt DeepSeek nicht ein. Im bayerischen Innenministerium sind DeepSeek und andere KI-Anwendungen auf dienstlichen Ger\u00e4ten nicht erlaubt und private Ger\u00e4te d\u00fcrfen nicht dienstlich genutzt werden.\u00a0<\/p>\n

Nach diesem Prozedere verfahren auch gro\u00dfe Unternehmen, die ihre Technologie sch\u00fctzen wollen. Dazu z\u00e4hlt die M\u00fcnchner Wacker Chemie, ein wichtiger Lieferant der Computerchip-Industrie: kein DeepSeek auf Firmenrechnern und -ger\u00e4ten und keine privaten Ger\u00e4te bei der Arbeit.\u00a0<\/p>\n

Sicherheitsschleusen bei Dax-Konzernen<\/h2>\n

Mehrere Dax-Konzerne erm\u00f6glichen den Zugriff auf KI-Anwendungen nur \u00fcber die Sicherheitsschleusen eigener Systeme, bei Siemens etwa \u201cSiemensGTP\u201d gehei\u00dfen. \u201cDort ist neben vielen anderen Modellen auch Deep Seek verf\u00fcgbar \u2013 innerhalb eines sicheren Umfelds, das garantiert, dass Siemensdaten bei Siemens bleiben\u201d, sagt ein Sprecher. BMW und die BASF gehen nach \u00e4hnlichem Muster vor. (dpa\/rs)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Selbst Tastatureingaben in der DeepSeek App k\u00f6nnen wom\u00f6glich mitgelesen werden, bevor sie abgeschickt werden. Mojahid Mottakin \u2013 shutterstock.com Beh\u00f6rden und Cybersicherheitsfachleute haben gravierende Sicherheitsbedenken gegen die chinesische KI DeepSeek. Dabei geht es um mehrere Punkte: die offenkundig sehr weitreichende Speicherung von Nutzerdaten, die m\u00f6gliche Manipulierbarkeit der Anwendung f\u00fcr kriminelle Zwecke und die Frage, inwieweit der […]<\/p>\n","protected":false},"author":0,"featured_media":1902,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1901","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1901"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1901"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1901\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1902"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1901"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1901"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1901"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}