DeepSeek unter der Lupe: Sind die Risiken für Privatsphäre und die Sicherheitsbedenken gerechtfertigt?

DeepSeek AI steht derzeit im Mittelpunkt des Interesses, dominiert die Charts der App-Stores und fasziniert Nutzer mit seinen umfangreichen Fähigkeiten. Das Sprichwort „Mit großer Macht kommt auch große Verantwortung“ trifft hier besonders zu. 

Weltweit beschäftigen sich Sicherheitsexperten, Behörden und Organisationen intensiv mit dieser KI-Sensation. Dabei kommen mögliche Datenschutzrisiken und Sicherheitslücken ans Licht.  

Von Begeisterung zu Skepsis 

Der Aufstieg von DeepSeek erinnert an ein virales Phänomen in den sozialen Medien: Anfangs erzeugt es große Aufmerksamkeit und Begeisterung, doch schnell treten kritische Fragen auf – was genau geschieht hier und welche Risiken sind damit verbunden?  

Im Bereich der Cybersecurity gilt das Prinzip der „Defense in Depth“ als Standard. DeepSeek zeigt hier offenbar deutliche Lücken, ob absichtlich oder nicht. Es ist, als hätte man ein Haus gebaut und dann vergessen, Schlösser an den Türen und Riegel an den Fenstern anzubringen. 

In dieser Analyse sehen wir uns die Sicherheits- und Datenschutzpraktiken von DeepSeek ganz genau an. Dabei decken wir Folgendes auf: 

• Welche Schwachstellen existieren  
• Welche Methoden der Datenerfassung genutzt werden 
• Und wir fragen uns am Ende: Ist die Faszination dieses KI-Modells das potenziellen Risiko für Ihre digitale Sicherheit wert?  

Die zentrale Frage lautet: Überwiegen die Vorteile, oder handelt es sich um eine Anwendung, die letztlich zwar beeindruckend erscheint, aber Nutzer potenziell in unsichere Situationen bringt?  

Dieser Artikel soll den tatsächlichen Nutzen von DeepSeek kritisch prüfen und die Risiken für die digitale Sicherheit unter die Lupe nehmen.  

DeepSeek im Cybersicherheits-Check: Bedenken zu Datenschutz und Privatsphäre 

Sobald ein neuer bahnbrechender Dienst die Aufmerksamkeit auf sich zieht, taucht in der Regel ein chinesischer Konkurrent auf, der das Original übertreffen will. Es ist keine Überraschung, dass DeepSeek, das von Sicherheitsforschern auf der ganzen Welt gefeiert wurde, Opfer groß angelegter Cyberangriffe wurde, die Schwachstellen in seiner Sicherheitsinfrastruktur aufdeckten. 

Offengelegte Datenbanken und Sicherheitslücken 

Sicherheitsexperten entdeckten schnell ungeschützte Datenbanken, was Nutzerdaten verwundbar und zugänglich machte. 

Forscher von Wiz stellten fest, dass DeepSeek eine kritische Datenbank ohne jegliche Authentifizierungsmaßnahme falsch konfiguriert hatte. Die Datenbank war über die offenen Ports 8123 und 9000 für das Internet zugänglich und konnte mit einfachen SQL-Befehlen abgefragt werden, wodurch über eine Million Datensätze offengelegt wurden, darunter:  

• Chatverläufe im Klartext 
• API-Schlüssel 
• Details zur Backend-Infrastruktur 

Dies ist vergleichbar mit einer offen gelassenen Eingangstür eines Unternehmens,  wodurch geschützte Informationen und sensible Daten preisgegeben werden, was zu weiteren böswilligen Aktivitäten und Missbrauch einlädt. 

Datenschutzbedenken und regulatorische Mängel 

DeepSeek hat einige fragwürdige Datenschutzprobleme, von denen das größte die fehlende Einhaltung der EU-DSGVO ist, die in der Datenschutzerklärung des Unternehmens wenig überraschend nicht einmal erwähnt wird. Die Richtlinien enthüllen offen eine umfangreiche Datenerfassung, darunter Chatverläufe (wie jedes große Sprachmodell), Geräteinformationen und Tastatureingabemuster, die allesamt auf Servern in China gespeichert werden. 

Auf die Datenschutzbedenken wird im Folgenden noch detaillierter eingegangen.  

Was die Datenschutzbestimmungen von DeepSeek verraten: Ein tiefer Einblick 

Der Datenschutz steht im Mittelpunkt, und die Datenschutzrichtlinie von DeepSeek dient als Leitfaden für den Umgang mit Nutzerdaten. 

Ähnlich wie bei der Analyse der Komponenteneines komplexen Cyberangriffs, um zukünftige Risiken zu minimieren, wird bei der Prüfung dieser Richtlinie das Ausmaß der Datenerfassung deutlich:  

• IP-Adressen,  
• Chat-Protokolle,  
• Geräteinformationen  
• und Tastenanschläge. 

Das Sammeln dieser Informationen könnte der Verbesserung der maschinellen Lernprozesse oder anderen geschäftlichen Zwecken dienen, allerdings ist die Absicht, wie in den meisten Fällen, unklar.   

Biometrie: Eine verborgene Identifikationsebene 

Ein weiterer Aspekt der Benutzerauthentifizierung ist die Biometrie. Dabei geht es nicht nur um Fingerabdrücke, sondern auch um weniger offensichtliche Merkmale, wie Tastatureingabemuster. 

Die Art und Weise, wie eine Person tippt – einschließlich der Dauter der Tastenanschläge, Geschwindigkeit und Rhythmus – kann als individuelle identifikationsmethode dienen. Damit wird deutlich, dass Anonymität in diesem Kontext nur eingeschränkt gewährleistet ist. 

Das Ende echter Anonymität? 

Theoretisch dient der Einsatz von Biometrie dazu, die Benutzererfahrung zu verbessern und zu personalisieren. In der Praxis zeigt sich jedoch, dass eine derart umfangreiche Datensammlung – unter Einbeziehung biometrischer Merkmale –die Anonymität eines persönlichen VPNs weitgehend überflüssig macht. DeepSeek oder andere, die Zugang zu diesen Daten erhalten, werden Nutzer anhand ihrer Muster identifizieren können.  

Darüber hinaus gilt: Wenn ein Dienst kein Produkt verkauft, besteht eine hohe Wahrscheinlichkeit, dass der Nutzer selbst zum Produkt wird. 

Ist DeepSeek sicher?  

Die Antwort lautet: Ja, wenn Ihnen Ihre eigene Privatsphäre egal ist. Die bittere Wahrheit ist, dass sich die meisten Menschen nicht um den Datenschutz scheren, solange die KI ihre Arbeit erledigt. 

Aber was, wenn Sie Ihr Unternehmen oder Ihre Familie in Gefahr bringen, indem Sie sensible Informationen preisgeben, die eines Tages gegen Sie verwendet werden könnten? Datenschutz ist nicht nur eine persönliche Entscheidung, sondern eine kollektive Verantwortung. Unternehmen stehen aufgrund fehlender Daten-Governance vor erheblichen Herausforderungen. Sofern Sie keinen speziellen Anwendungsfall haben, bei dem Datenschutzbedenken keine Rollen spielen, sollten Sie die Online-Version von DeepSeek nicht verwenden.  

Eine Alternative: DeepSeek lokal ausführen 

Es gibt jedoch eine andere Option: Im Gegensatz zu einigen anderen generativen KI-Sprachmodellen ist DeepSeek Open Source. Das bedeutet, dass Sie es herunterladen und in Ihrer eigenen Infrastruktur betreiben können. So  behalten Sie die volle Kontrolle darüber, wo Ihre Daten gespeichert werden.  

Ich habe DeepSeek konkrete Fragen zu seinen Datenschutzbestimmungen gestellt. Dabei zeigte sich jedoch, dass es nicht in der Lage ist, die eigenen Herausforderungen inBezug auf die DSGVO zu thematisieren.  

Zu „Forschungszwecken“ habe ich meine Anfrage jedoch angepasst und die online verfügbare DeepSeek-Datenschutzerklärung eingefügt, woraufhin ich eine abweichende Antwort erhielt. 

Die Antwort bleibt allerdings sehr vage. Vor allem fehlt ein zentrales Element: Transparenz. An dieser Stelle überlasse ich es Ihnen, sich selbst ein Urteil zu bilden. 

Globale Reaktion: Verbote und Ermittlungen – ein Aufruf zur Vorsicht 

DeepSeeks Weg durch das komplexe Regelwerk des EU-KI-Gesetzes gestalten sich zunehmend schwierig. Im Folgenden Ein Überblick, wie das chinesische KI-Unternehmen in das Netz europäischer Regulierung geraten könnte: 

Compliance-Rätsel 

DeepSeeks R1-Modell wirft ernsthafte Fragen zur Einhaltung der DSGVO auf. Die aktuelle Datenschutzrichtlinie verweist auf eine Speicherung der Daten in China und enthält keine klaren Hinweise auf eine Anpassung an europäische Vorgaben. 

Italien als Vorreiter 

Die italienische Datenschutzbehörde Garante hat bereits reagiert und den Dienst von DeepSeek untersagt. Weitere EU-Mitgliedstaaten prüfen derzeit ähnliche Schritte und beobachten die Entwicklung aufmerksam. 

Open Source oder Open Sesame? 

DeepSeek könnte versuchen, die Open-Source-Schlupflöcher des KI-Gesetzes der EU auszunutzen. Doch dieser Ansatz wirkt bislang wenig überzeugend. Wie bereits erwähnt, ist es wichtig, folgenden Unterschied zu beachten: Beim Zugriff auf ein Modell über eine API gelten sämtliche oben genannte Risiken. Wird das Modell dagegen in der eigenen Infrastruktur betrieben, behalten Sie die Kontrolle über die Daten.  

Ein Beispiel: Über Microsofts Azure steht DeepSeek als eines von vielen Open-Source-Modellen zur Verfügung. In diesem Fall werden keine Daten mit dem chinesischen Unternehmen hinter dem Modell geteilt.  

Der Balanceakt mit dem KI-Gesetz der EU 

Es besteht dennoch Hoffnung, sich vor Risiken durch Sprachmodelle wie DeepSeek zu schützen. Der Umgang von DeepSeek mit dem KI-Gesetz der EU gestaltet sich äußerst kompliziert. Die Europäische Union geht in Fragen des Datenschutzes und der Nutzung von KI einen Schritt weiter und untersagt Praktiken, die DeepSeek in seiner Arbeitsweise missachtet:  

• Schädliche KI-basierte Manipulation und Täuschung 
• Schädliche KI-basierte Ausnutzung von Schwachstellen 
• Soziales Scoring 
• Individuelle Risikobewertung oder Vorhersage von Straftaten 
• Ungezieltes Scraping von Internet- oder CCTV-Material zur Erstellung oder Erweiterung von Gesichtserkennungsdatenbanken 
• Erkennung von Emotionen am Arbeitsplatz und in Bildungseinrichtungen 
• Biometrische Kategorisierung zur Ableitung bestimmter geschützter Merkmale 
• Echtzeit-basierte biometrische Fernidentifikation für Zwecke der Strafverfolgung im öffentlichen Raum 

---

Schützen Sie sich vor KI-gestützten Cyberbedrohungen mit dem Security Awareness Service 

Die Datenschutz- und Sicherheitsrisiken von DeepSeek verdeutlichen die wachsenden Gefahren durch KI-gesteuerte Cyber-Bedrohungen. Cyberkriminelle entwickeln ihre Taktiken ständig weiter, so dass Sicherheitsbewusstsein wichtiger ist denn je. 

Mit dem Security Awareness Service von Hornetsecurity stärken Sie Ihre Mitarbeiter durch gezieltes Wissen, umPhishing, Social Engineering und KI-gestützte Cyberbedrohungen zu erkennen und abzuwehren. 

Bleiben Sie Cyberrisiken voraus – vereinbaren Sie noch heute eine Demo und stärken Sie die Sicherheit Ihres Unternehmens! 

---

Fazit: Sollten Sie DeepSeek verwenden? Abwägung der Risiken und Vorteile 

DeepSeek hat in Untergrund-Cyberwelt durch seine „Jailbreak“-Funktion Aufmerksamkeit erlangt. Bei über der Hälfte der von Qualys durchgeführten Jailbreak-Tests ist das Modell durchgefallen  und hat Schwachstellen in seiner Inhaltsmoderationaufgezeigt. 

Die Jailbreak-Funktion ermöglicht es Benutzern, die Richtlinien zur Moderation von Inhalten eines KI-Modells zu umgehen und es so dazu zu bringen, schädliche, ungenaue oder unbeabsichtigte Ergebnisse zu erzeugen. 

In einigen Fällen produzierte DeepSeek-R1 verzerrte oder politisch sensible Antworten und lieferte Hinweise auf illegale Aktivitäten.  

Die zentrale Lektion 

Die Sicherheits- und Datenschutzprobleme von DeepSeek verdeutlichen die heikle Balance zwischen lesitungsfähiger künstlicher Intelligenz und dem Schutz der Nutzerdaten. Vor der Nutzung solcher Systeme ist es entscheidend, die potenziellen Risiken zu verstehen und klare Grenzen für deren Einsatz zu definieren. 

DeepSeek sollte als Beispiel dafür dienen, dass Risiken in der Datenerfassung im Vorfeld klar identifiziert werden müssen. Ähnlich wie bei der Implementierung von „Erlaubnislisten“, die sicherstellen, dass vertrauenswürdige E-Mails Spamfiltern entgehen, sollten Nutzer die Möglichkeit haben, KI-Modelle zu wählen, die Sicherheit, Datenschutz und den Schutz sensibler Daten priorisieren.