Angesichts der wachsenden Besorgnis über potenzielle Sicherheitsrisiken durch ausländische Gegner, insbesondere die Volksrepublik China (VR China), haben die US-Senatoren Jacky Rosen und Bill Cassidy einen Gesetzentwurf eingebracht, der darauf abzielt, DeepSeek, ein Unternehmen im Besitz der Kommunistischen Partei Chinas (KPCh), und andere KI-Technologien, die als feindlich eingestuft werden, zu verbieten. Dieser Schritt soll sensible Bundesdaten schützen.
Die Senatoren haben erhebliche Bedenken hinsichtlich der potenziellen nationalen Sicherheitsrisiken von DeepSeek geäußert. Sie verweisen auf das chinesische Recht, das DeepSeek verpflichtet, seine gesammelten Daten mit der chinesischen Regierung und ihren Geheimdiensten zu teilen, als einen Hauptgrund für ihre Besorgnis. Mehrere US-Bundesstaaten und verbündete Nationen haben bereits Maßnahmen ergriffen, um DeepSeek von Regierungsgeräten zu blockieren, was die kritischen Sicherheitsbedenken rund um die KI-Plattform unterstreicht.
Der “Protection Against Foreign Adversarial Artificial Intelligence Act”
Die vorgeschlagene überparteiliche Gesetzgebung mit dem Titel „Protection Against Foreign Adversarial Artificial Intelligence Act“ zielt darauf ab, Bundesunternehmen daran zu hindern, DeepSeek zur Erfüllung von Verträgen mit Bundesbehörden zu nutzen. Der Gesetzentwurf erweitert dieses Verbot auf jede Nachfolgeanwendung, die von High-Flyer entwickelt wurde, und verhindert deren Einsatz in Regierungsaufträgen.
Berichtspflichten und Aufsicht des Kongresses
Darüber hinaus schreibt der Gesetzentwurf einen umfassenden Bericht an den Kongress vom US-Handelsminister vor, der in Zusammenarbeit mit dem US-Verteidigungsminister erstellt wird. Dieser Bericht wird sich mit den Bedrohungen der nationalen Sicherheit und der Wirtschaftsspionage befassen, die von KI-Plattformen ausgehen, die aus gegnerischen Nationen wie China, Nordkorea, Iran und Russland stammen.
Senatorin Rosen, eine Demokratin aus Nevada, betonte die Bedeutung des Schutzes amerikanischer Daten und Regierungssysteme vor Cyber-Bedrohungen durch ausländische Gegner. Sie erklärte, dass die überparteiliche Gesetzgebung Bundesunternehmen wirksam daran hindern würde, DeepSeek, eine mit der KPCh verbundene KI-Plattform, bei der Ausführung von Regierungsarbeiten zu verwenden. Rosen versprach, weiterhin über Parteigrenzen hinweg zusammenzuarbeiten, um die nationale Sicherheit zu stärken und die Daten der Amerikaner zu schützen.
Senator Cassidy, ein Republikaner aus Louisiana, hob die Dualität von KI als ein mächtiges Werkzeug hervor, das für nützliche Zwecke wie die Verbesserung von Medizin und Bildung genutzt werden kann. Er warnte jedoch davor, dass KI in den falschen Händen als Waffe eingesetzt werden kann. Cassidy warnte davor, dass die Einspeisung sensibler Daten in Systeme wie DeepSeek China eine weitere Waffe liefern könnte.
Detaillierte Berichtspflichten
Die vorgeschlagene Gesetzgebung sieht vor, dass der Handelsminister in Abstimmung mit dem Verteidigungsminister innerhalb eines Jahres nach Inkrafttreten des Gesetzes einen detaillierten Bericht an die wichtigsten Ausschüsse im Senat und im Repräsentantenhaus vorlegen muss. Zu diesen Ausschüssen gehören der Ausschuss für Streitkräfte, der Ausschuss für Handel, Wissenschaft und Verkehr sowie der Ausschuss für Energie und Handel. Der Bericht muss die Bedrohungen der nationalen Sicherheit durch künstliche Intelligenz-Plattformen, einschließlich großer Sprachmodelle und generativer KI, die in Ländern von Besorgnis ansässig oder mit diesen verbunden sind, behandeln.
Umfassende Berichtskomponenten
Der Gesetzentwurf schreibt vor, dass der umfassende Bericht mehrere kritische Komponenten enthalten muss. Dazu gehört eine gründliche Analyse der Zensurgesetze und der Fähigkeiten ausländischer Regierungen, insbesondere solcher, die auf KI-Anwendungen zugreifen oder diese beeinflussen können.
Die Rolle der KI bei Propaganda und Desinformation
Der Bericht muss auch bewerten, wie KI-Plattformen derzeit verwendet werden oder potenziell verwendet werden könnten, um staatlich geförderte Propaganda zu fördern. Dies ist insbesondere im Kontext gegnerischer Nationen relevant, die versuchen, demokratische Institutionen zu untergraben und Desinformation zu verbreiten. Durch das Verständnis, wie KI auf diese Weise als Waffe eingesetzt werden kann, können politische Entscheidungsträger Strategien entwickeln, um diesen Bedrohungen wirksam zu begegnen.
Umgehung von Exportkontrollen
Ein weiterer wesentlicher Aspekt des Berichts ist die Bewertung der Auswirkungen auf die nationale Sicherheit, wenn gegnerische Nationen versuchen, US-Exportkontrollen für Grafikprozessoren (GPUs) zu umgehen. GPUs sind für die Entwicklung fortschrittlicher KI-Modelle von entscheidender Bedeutung, und jeder Versuch, sie illegal zu erwerben, stellt eine erhebliche Bedrohung für die nationalen Sicherheitsinteressen der USA dar. Daher muss der Bericht Schwachstellen im Exportkontrollsystem identifizieren und beheben, um zu verhindern, dass gegnerische Nationen Zugang zu diesen kritischen Technologien erhalten.
Bedrohungen der Privatsphäre und Datensicherheit
Der Bericht muss datenschutz- und datensicherheitsbezogene Risiken im Zusammenhang mit US-Daten untersuchen, die in KI-Anwendungen eingegeben oder über diese übermittelt werden. Die Analyse muss wichtige Bedenken ansprechen, darunter, wie und wo Daten gespeichert werden, ob auf eigenen Servern oder innerhalb der Cloud-Infrastruktur. Sie muss auch untersuchen, ob diese Daten von ausländischen Regierungen oder politischen Organisationen, insbesondere der KPCh, abgerufen oder verwertet werden können, und inwieweit aus den USA stammende Daten zur Weiterentwicklung ausländischer KI-Technologien beitragen.
Der Standort der Datenspeicherung ist von entscheidender Bedeutung, da er sich direkt auf den Grad der Kontrolle und Sicherheit auswirkt, der darüber ausgeübt werden kann. On-Premises-Server bieten eine direktere Kontrolle, erfordern jedoch erhebliche Investitionen in Infrastruktur und Fachwissen. Die Cloud-Infrastruktur bietet andererseits Skalierbarkeit und Zugänglichkeit, beruht jedoch auf den Sicherheitsmaßnahmen, die der Cloud-Anbieter implementiert.
Risiko der Wirtschaftsspionage
Der Bericht muss das Risiko der Wirtschaftsspionage bewerten, das von einem solchen Zugriff ausgeht, einschließlich Bedrohungen für geistiges Eigentum, Geschäftsgeheimnisse, geschützte Informationen und andere sensible oder vertrauliche Daten.
Wirtschaftsspionage umfasst den Diebstahl wertvoller Geschäftsinformationen durch ausländische Unternehmen, um sich einen Wettbewerbsvorteil zu verschaffen. Dies kann Geschäftsgeheimnisse, Patente und andere vertrauliche Daten umfassen, die Unternehmen einen strategischen Vorteil auf dem Markt verschaffen. Durch den Zugriff auf US-Daten über KI-Anwendungen könnten gegnerische Nationen diese Informationen potenziell stehlen und die Wettbewerbsfähigkeit amerikanischer Unternehmen untergraben.
Bedrohungen für Regierungsinformationen
Schließlich sollte der Bericht die potenzielle Gefahr bewerten, die dieser Zugriff für Informationen der Bundesregierung darstellt, einschließlich Daten, die politische Entscheidungen beeinflussen oder an Regierungsprogramme gebunden sind. Die Sicherheit von Regierungsinformationen ist für das Funktionieren einer demokratischen Gesellschaft von größter Bedeutung. Wenn gegnerische Nationen auf diese Daten zugreifen oder sie manipulieren können, könnten sie möglicherweise politische Entscheidungen beeinflussen oder Regierungsprogramme stören.
Vorherige Maßnahmen und laufende Überprüfungen
Die Regierung von Präsident Donald Trump leitete über den Nationalen Sicherheitsrat eine Überprüfung der nationalen Sicherheitsbedrohungen im Zusammenhang mit DeepSeek ein, die Bedenken widerspiegelt, die sich über mehrere Regierungen erstrecken. Das Repräsentantenhaus hat Maßnahmen ergriffen, um Kongressbüros zu verbieten, DeepSeek auf Arbeitsgeräten zu installieren oder herunterzuladen, was die mit der Plattform verbundenen Sicherheitsrisiken weiter unterstreicht.
Maßnahmen von Regierungsbehörden
Die Defense Information Systems Agency und die Navy haben ähnliche Memoranden an ihr Personal herausgegeben, in denen die Verwendung von DeepSeek auf Regierungsgeräten eingeschränkt wird. Diese Maßnahmen verschiedener Regierungsbehörden weisen auf eine weitverbreitete Anerkennung der potenziellen Bedrohungen durch DeepSeek und eine konzertierte Anstrengung zur Minderung dieser Risiken hin.
Einschränkungen auf Staatsebene
Texas, New York und Virginia haben bereits Gesetze erlassen, die ähnliche Beschränkungen für staatliche Angestellte und Auftragnehmer vorsehen, was einen wachsenden Trend unter den Staaten signalisiert, die Sicherheitsbedenken im Zusammenhang mit KI-Plattformen aus gegnerischen Nationen anzugehen. Es wird erwartet, dass andere Staaten diesem Beispiel folgen und die Bemühungen zum Schutz sensibler Daten vor potenziellen Bedrohungen weiter verstärken werden.
KI in der industriellen Cybersicherheit
Laut Daten, die im Oktober von Takepoint Research veröffentlicht wurden, zeigt die sich entwickelnde Cybersicherheitslandschaft, dass die Vorteile von KI in der industriellen Cybersicherheit die Risiken für 80 Prozent der Befragten überwiegen. KI ist besonders effektiv bei der Erkennung von Bedrohungen (64 Prozent), der Netzwerküberwachung (52 Prozent) und dem Schwachstellenmanagement (48 Prozent), was ihre wachsende Bedeutung bei der Verbesserung der Abwehr in OT-Umgebungen (Operational Technology) hervorhebt. Die Umfrage ergab, dass übermäßiges Vertrauen in KI, die Manipulation von KI-Systemen und falsch-negative Ergebnisse die Hauptbedenken der Eigentümer industrieller Anlagen sind.
Die Wirksamkeit von KI bei der Erkennung von Bedrohungen beruht auf ihrer Fähigkeit, große Datenmengen zu analysieren und Muster zu erkennen, die auf böswillige Aktivitäten hindeuten können. KI-gestützte Systeme können Anomalien und verdächtiges Verhalten in Echtzeit erkennen und Sicherheitsteams mit Frühwarnungen vor potenziellen Bedrohungen versorgen.
Die Netzwerküberwachung ist ein weiterer Bereich, in dem sich KI auszeichnet. Durch die kontinuierliche Überwachung des Netzwerkverkehrs können KI-Systeme unbefugte Zugriffsversuche und andere Sicherheitsverletzungen erkennen. KI kann auch Schwachstellen in Netzwerkkonfigurationen identifizieren und Korrekturmaßnahmen empfehlen.
Das Schwachstellenmanagement umfasst die Identifizierung und Behebung von Schwachstellen in Systemen und Anwendungen, bevor sie von Angreifern ausgenutzt werden können. KI kann den Schwachstellenscanprozess automatisieren und Sanierungsbemühungen basierend auf der Schwere der Schwachstellen priorisieren.
Bedenken hinsichtlich übermäßigen Vertrauens und Manipulation
KI bietet zwar erhebliche Vorteile in der industriellen Cybersicherheit, es gibt aber auch potenzielle Risiken, die es zu beachten gilt. Eines der Hauptanliegen ist das übermäßige Vertrauen in KI. Sicherheitsteams sollten sich nicht zu sehr auf KI-Systeme verlassen und ihr Fachwissen und ihr Situationsbewusstsein aufrechterhalten.
Ein weiteres Problem ist die Manipulation von KI-Systemen. Gegner können versuchen, KI-Systeme zu manipulieren, um der Erkennung zu entgehen oder sie zu falschen Entscheidungen zu veranlassen. Daher ist es wichtig, robuste Sicherheitsmaßnahmen zu implementieren, um KI-Systeme vor Manipulationen zu schützen.
Falsch-negative Ergebnisse, bei denen KI-Systeme tatsächliche Bedrohungen nicht erkennen, sind ebenfalls ein Problem. Sicherheitsteams sollten die Leistung von KI-Systemen regelmäßig bewerten und ihre Konfigurationen anpassen, um das Risiko falsch-negativer Ergebnisse zu minimieren.