Connect with us

Vordenker

Wo AI-Sicherheitsstandards aufhören — und Laufzeit-Schutz beginnen muss

mm
Published
Updated

Mit all dem Gespräch über die Sicherheitsrisiken von KI wird eine Frage zu übersehen scheinen: die Tatsache, dass KI-Systeme nur funktionieren, indem sie ihre wertvollsten Vermögenswerte — Modelle und Daten — preisgeben.

Im Gegensatz zu traditioneller Software führt KI nicht einfach vordefinierte Logik aus. Sie kombiniert kontinuierlich proprietäre Modelle mit sensitiven Eingaben, um Ausgaben zu generieren, oft auf Infrastrukturen, die nicht dafür ausgelegt sind, Berechnungen zu schützen.

Auf diese Weise versagt traditionelle Sicherheit. Verschlüsselung ist effektiv, wenn Daten gespeichert oder über ein Netzwerk übertragen werden, aber nicht, wenn Daten verarbeitet oder bearbeitet werden. Für KI im Besonderen entsteht die Gefahr, wenn ein Modell bereitgestellt wird. Seine Parameter werden in den Speicher geladen, initialisiert und im großen Maßstab ausgeführt – der Punkt, an dem die Verschlüsselung aufhört – und sie potenziell unbefugtem Zugriff aussetzt. Während der Inferenz fließen sensitive Daten durch denselben exponierten Raum. Das Ergebnis ist eine hochgradig gefährdete Risikofläche: KI-Systeme, die sicher zu sein scheinen – aber tatsächlich in den kritischsten Momenten ungeschützt sind.

Normenorganisationen wie das National Institute of Standards and Technology (NIST), die Europäische Agentur für Netz- und Informationssicherheit (früher bekannt als European Network and Information Security Agency, oder ENISA) und das Open Web Application Security Project (OWASP) haben begonnen, dieses Gebiet zu kartieren. Sie beschreiben die Risiken, nennen die Schwachstellen und skizzieren Governance-Prinzipien. Aber sie hören auf, vorzuschreiben, wie Modelle als geistiges Eigentum und Daten als vertrauliche Vermögenswerte geschützt werden können, sobald die Ausführung beginnt. Die Schließung dieser Lücke erfordert ein Neudenken der KI-Sicherheit – nicht als Compliance-Übung, sondern als Problem der Berechnung selbst. Hier kommt die Verschlüsselung-in-Verwendung oder End-to-End-Verschlüsselung ins Spiel.

Der Blindspot in der modernen KI-Sicherheit

Die meisten KI-Sicherheitsgespräche bewegen sich noch auf vertrautem Terrain: Regierung der Trainingsdaten, Zugriffskontrollen, API-Überwachung und verantwortungsvolle Benutzerpolitiken. Diese sind notwendig. jedoch geht keine davon auf das ein, was nach der Bereitstellung passiert, wenn ein Modell das Repository verlässt und zu einem lebendigen System wird.

Sobald ein Modell bereitgestellt ist, sind seine Parameter nicht mehr abstrakte Artefakte. Sie sind lebendige, speicherresidente Vermögenswerte, die kontinuierlich während der Inferenz zugegriffen und oft von mehreren Mandanten oder Kunden durch gemeinsam genutzte KI-Dienste verwendet werden. Diese Exposition erfolgt, bevor überhaupt eine Inferenzanfrage gestellt wird, wodurch das Risiko durch die Einführung sensibler Eingaben und extern beobachtbaren Verhaltens verstärkt wird.

Die Behandlung des Modellschutzes als eine vorbereitstellungsbezogene Sorge und die Inferenzsicherheit als eine Laufzeit-Sorge verfehlt den Punkt. In realen Systemen überlappen sich diese Risiken. Modelle und Daten sind über Initialisierung, Ausführung und Ausgabe hinweg exponiert. Sicherheit, die mit Speichersteuerungen beginnt und endet, versäumt es, diese Expositionen anzusprechen.

Was NIST richtig macht — und wo es aufhört

Das NIST-KI-Risikomanagement-Framework ist zu einem Eckpfeiler für Organisationen geworden, die KI-Risiken managen möchten. Seine Struktur — regieren, kartieren, messen, managen — bietet einen disziplinierten Weg, um über Verantwortung, Kontext, Auswirkung und Minderung im gesamten KI-Lebenszyklus nachzudenken.

Was NIST besonders gut macht, ist die Rahmung des KI-Risikos als systemisches und nicht als zufälliges. KI-Ausfälle sind selten einzelne Ereignisse; sie entstehen aus Interaktionen zwischen Modellen, Daten, Menschen und Infrastruktur. Diese Rahmung ist wesentlich.

Wo das Framework versagt, ist es, dass es nicht diktiert, wie hochwertige KI-Vermögenswerte geschützt werden, sobald Systeme live sind. Modellparameter werden implizit als Designzeit-Artefakte und nicht als Laufzeit-Vermögenswerte behandelt. Ausführungsumgebungen werden als vertrauenswürdig genug angenommen.

In der Praxis sind Modellparameter oft das wertvollste geistige Eigentum, das eine Organisation besitzt. Sie werden in den Speicher geladen, über Knoten kopiert, zwischengespeichert und wiederverwendet. Wenn KI-Risikomanagement es versäumt, die Vertraulichkeit von Modellen während der Bereitstellung und Ausführung zu berücksichtigen, bleibt ein kritischer Vermögenswert außerhalb der Risikogrenze, wie eine sitzende Ente.

ENISA und die Realität KI-spezifischer Bedrohungen

ENISAs Arbeit an KI-Cybersicherheit treibt das Gespräch weiter voran. Ihr mehrschichtiges Framework unterscheidet zwischen traditioneller Infrastruktursicherheit und KI-spezifischen Risiken und erkennt an, dass KI-Systeme anders verhalten — und anders ausfallen — als konventionelle Software.

Warum ist dies wichtig? KI introduceiert Bedrohungen, die nicht gut in bestehende Kontrollen passen: Modell-Extraktion, Parameter-Leckage, Co-Tenancy-Exposition und Manipulation während der Ausführung. Diese Risiken erfordern keine exotischen Angreifer. Sie entstehen natürlich, wenn hochwertige Modelle in gemeinsam genutzten oder extern verwalteten Umgebungen ausgeführt werden.

ENISAs Framework erkennt implizit an, dass die Sicherung von KI die Sicherung des Verhaltens und nicht nur des Codes bedeutet. Aber wie die meisten Normen konzentriert es sich auf das, was berücksichtigt werden sollte, und nicht darauf, wie Schutzmaßnahmen technisch durchgesetzt werden, sobald Modelle ausgeführt werden.

OWASP und die Kosten der beobachtbaren Intelligenz

OWASPs Top 10 für Large Language Model-Anwendungen bietet eine konkretere Sicht darauf, wie KI-Systeme in der realen Welt ausfallen. Prompt-Injektion, Offenlegung sensibler Informationen, Embedding-Leckage, übermäßige Ausgabetransparenz — diese sind keine theoretischen Bedenken. Sie sind die Nebenprodukte des Bereitstellens leistungsstarker Modelle ohne Einschränkung dessen, was sie preisgeben.

Während diese Probleme oft als Anwendungs-Schicht-Probleme dargestellt werden, sind ihre Konsequenzen tiefer. Wiederholte Exposition des Modellverhaltens kann zu effektiver Klonung führen; schlecht isolierte Embeddings können Struktur preisgeben; und Inferenz-Missbrauch wird zu einem Weg zur Modell-Replikation.

OWASPs Taxonomie macht eines klar: Die Sicherung von KI ist nicht nur daran, schlechte Eingaben zu stoppen. Es geht darum, zu begrenzen, was Modelle intern und extern preisgeben, sobald sie operativ sind.

Ein gemeinsamer Schluss, ein unvollendeter Job

Über NIST, ENISA und OWASP hinweg gibt es breite Übereinstimmung in den Grundlagen:

  • KI-Risiko umfasst den gesamten Lebenszyklus
  • KI-Systeme introduzieren neue Bedrohungskategorien
  • Modelle und Daten sind hochwertige Vermögenswerte
  • Laufzeit-Exposition ist unvermeidlich

Was diese Frameworks jedoch fehlt, ist ein Mechanismus zur Durchsetzung der Vertraulichkeit, sobald Modelle bereitgestellt und die Berechnung beginnt. Diese Auslassung ist kein Fehler, da Normen Absicht und Umfang definieren. Die Implementierung wird typischerweise dem System-Designer überlassen.

Aber sie lassen eine kritische Lücke — eine, die mit dem Skalieren von KI-Systemen größer wird.

Verschlüsselung-in-Verwendung ändert die Gleichung

Verschlüsselung-in-Verwendung verschiebt das Sicherheitsmodell. Anstatt anzunehmen, dass Daten und Modelle exponiert werden müssen, um nützlich zu sein, behandelt sie die Berechnung als etwas, das geschützt werden kann.

In praktischen Begriffen bedeutet dies:

  • Modelle bleiben während der Bereitstellung, Initialisierung und Ausführung verschlüsselt
  • Eingaben sind niemals im Klartext für die Ausführungsumgebung sichtbar
  • Zwischenzustände können nicht inspiziert oder modifiziert werden
  • Infrastruktur muss nicht mehr implizit vertrauenswürdig sein

Dies ersetzt nicht Governance-Frameworks oder Anwendungs-Schicht-Kontrollen – es operationalisiert sie. Es wandelt Risiko-Prinzipien in durchsetzbare Garantien um, genau dann, wenn KI-Systeme am verletzlichsten sind.

Mit anderen Worten, Verschlüsselung-in-Verwendung ist die fehlende Schicht zwischen KI-Politik und KI-Realität.

Wenn Governance endet und Ausführung beginnt: Sichere KI-Berechnung

KI-Sicherheit bricht während der Laufzeit zusammen. Sobald bereitgestellt, müssen KI-Modelle und sensible Daten in den Speicher exponiert werden, um zu funktionieren, und erzeugen eine Risikofläche, die traditionelle Kontrollen — Verschlüsselung in Ruhe, Verschlüsselung während der Übertragung und Governance-Frameworks — nie dazu ausgelegt waren, zu schützen.

Normenorganisationen wie NIST, ENISA und OWASP haben wesentliche Fortschritte bei der Definition von KI-Risiko, Verantwortung und Missbrauch gemacht. Aber ihre Richtlinien behandeln Modelle größtenteils als Designzeit-Artefakte und gehen davon aus, dass Ausführungsumgebungen vertrauenswürdig sein können. In der Praxis sind Modellparameter und sensible Eingaben kontinuierlich zugegriffen, wiederverwendet und oft in gemeinsam genutzten oder extern verwalteten Umgebungen verarbeitet.

Die Schließung dieser Lücke erfordert ein Neudenken der KI-Sicherheit nicht als Compliance-Übung, sondern als Problem des Schutzes der Berechnung selbst — wenn Modelle live sind, Daten in Verwendung sind und Exposition unvermeidlich ist. Verschlüsselung-in-Verwendung bietet einen gangbaren Weg, um KI-Modelle und sensible Eingaben über alle Stufen des KI-Lebenszyklus hinweg sicher zu halten.

Related Topics:
mm

Luigi Caramico, ein Veteran in der DatenSchutzindustrie, ist seit über zwei Jahrzehnten an der Spitze der Cybersicherheitsinnovation. Als Mitbegründer und CTO von DataKrypto ist Caramico Vorreiter einer neuen Ära der Datensicherheit mit vollhomomorpher Verschlüsselung (FHE)-Technologie, die verspricht, die Art und Weise, wie Organisationen ihre sensibelsten Informationen im Zeitalter von KI schützen, zu revolutionieren.

Mit einer Karriere, die mehrere erfolgreiche Unternehmungen in Datenanalyse und -schutz umfasst, wurde Caramicos Weg von einem ethischen Hacker zu einem Verschlüsselungsinnovator von einer einzigen Vision getrieben: eine Welt zu schaffen, in der Daten von der Erstellung bis zur Nutzung, sogar während der Berechnung, sicher bleiben.