KI und Datenschutz müssen kein Widerspruch sein!

Bei Training und Anwendung von Machine-Learning-Modellen und anderen KI-Formen werden große Mengen sensibler Daten verarbeitet. Confidential AI verhindert dabei Datenschutzverletzungen.

Künstliche Intelligenz (KI) ist eine der wichtigsten Zukunftstechnologien. Sie hilft in der Medizin, den Behandlungserfolg bei schweren Krankheiten wie Krebs zu verbessern, unterstützt Lehrkräfte, Schüler und Studierende bei der Wissensvermittlung und steigert die Effizienz und Verfügbarkeit von IT-Infrastrukturen, um nur einige der vielfältigen Anwendungsbereiche zu nennen.

Werden KI-Modelle allerdings mit unausgewogenen oder unzureichenden Daten trainiert, kann es zu falschen, verzerrten oder sogar diskriminierenden Ergebnissen kommen. Eines der bekanntesten Beispiele hierfür ist eine vom Online-Versandhändler Amazon entwickelte Recruiting-KI, die Bewerberinnen gegenüber männlichen Mitbewerbern systematisch benachteiligte.

Um das Risiko der Diskriminierung durch KI zu minimieren, hat die Europäische Union den EU Artificial Intelligence Act (KI-Gesetz) erlassen. Er teilt KI-Anwendungen in vier Klassen ein. Je gravierender eine Anwendung für einzelne Betroffene und die Gesellschaft ist, desto strenger sind die Auflagen. Systeme, die zur Manipulation oder Kategorisierung von Menschen anhand von Persönlichkeitsmerkmalen und Sozialverhalten eingesetzt werden können, sind ganz verboten (siehe auch „Responsible AI: Wie der verantwortungsvolle Umgang mit KI gelingen kann“). Wie schon bei der Datenschutzgrundverordnung (DSGVO) und der Network and Information Security-Richtlinie NIS2 dürfte die Umsetzung der Vorgaben viele Unternehmen überfordern. Firmen sollten deshalb mit vertrauensvollen Partner zusammenarbeiten, die sie bei der Einhaltung der neuen Richtlinien unterstützen.

Um ausgewogene, diskriminierungsfreie KI-Modelle zu erhalten, ist es sehr wichtig, Machine-Learning-Modelle mit einer großen Anzahl unterschiedlicher und ausgewogener Datensätze zu trainieren. Häufig enthalten diese jedoch personenbezogene Informationen, Geschäftsgeheimnisse oder andere sensible Daten. Auch die Modelle selbst sind wertvolles geistiges Eigentum und dürfen nicht in fremde Hände geraten. Ihr Schutz ist vor allem im Bereich des Federated Learning eine große Herausforderung, bei dem mehrere Partner gemeinsam ein Modell trainieren. Die Gefahr von Datendiebstahl oder -missbrauch ist dabei nicht zu unterschätzen. Laut dem 2024 AI Threat Landscape Report des Sicherheitsspezialisten Hidden Layer mussten mehr als drei Viertel der Umfrageteilnehmer in den vergangenen zwölf Monaten einer oder mehrere Sicherheitslücken in ihren KI-Systemen feststellen.

Mit Confidential Computing zur sicheren KI-Anwendung

Unternehmen benötigen deshalb Systeme, die eine sichere Nutzung sensibler Daten für das Training und die Anwendung von KI-Modellen gewährleisten. Dieser Ansatz wird als Confidential AI bezeichnet. Er basiert auf dem Konzept des Confidential Computing, das die Vertraulichkeit von Daten entlang der gesamten Verarbeitungskette sicherstellt und KI-Modelle vor Manipulation und Ausspähung schützt. Ein wesentlicher Baustein des Konzepts ist die Enklave, auch Trusted Execution Environment (TEE) genannt (siehe auch Artikel „Die Enklave im Rechner“). Sie schottet Teile des Prozessors und des Arbeitsspeichers von der Umgebung ab. Nur speziell signierter und autorisierter Code erhält Zugriff auf die Daten, die nur innerhalb der TEE zur Verarbeitung entschlüsselt werden. Mit Befehlserweiterungen, den Intel Software Guard Extensions (Intel SGX), können Entwickler festlegen, welche Funktionen im Code vertrauliche Daten verwenden dürfen. Selbst ganze virtuelle Maschinen (VM) lassen sich als sichere Zone konfigurieren. Möglich machen dies die Intel Trust Domain Extensions (Intel TDX), die mit der vierten Generation der skalierbaren Intel Xeon Prozessoren eingeführt wurden. Damit können Entwickler bestehende Applikationen ohne Modifikation in eine sichere Umgebung migrieren und sogar in einer Public-Cloud-Umgebung betreiben. Im April 2024 hat beispielsweise Google angekündigt, Intel TDX in seinen virtuellen Maschinen der C3-Serie zu unterstützen und vertrauenswürdige VMs zu ermöglichen. Die chinesische Ant Group setzt für ihr Platform-as-a-Service (PaaS)-Angebot Elastic Compute Services (ECS) g8i-Instanzen in der Alibaba Cloud ein, die ebenfalls auf Basis von Intel TDX Confidential Computing in der Public Cloud ermöglichen.

Fazit: Mit Confidential AI mehr Vertrauen schaffen

Künstliche Intelligenz ist ein mächtiges Werkzeug, das allerdings auch missbraucht und kompromittiert werden kann. Die Folgen für die Betroffenen, aber auch für Unternehmen und Gesellschaft können gravierend sein. Der Missbrauch oder Diebstahl von Modellen und Daten muss deshalb so weit irgend möglich verhindert werden. Das Training und die Ausführung in einem geschützten Bereich des Prozessors bieten hierfür die besten Voraussetzungen. Werkzeuge wie Intel SGX und TDX senken die Hürden für Entwickler und erleichtern die Nutzung sicherer Umgebungen erheblich.

Um Confidential Computing für das Training von KI-Modellen nutzen zu können, muss die Plattform allerdings auch die nötige Leistung bereitstellen. Intel baut daher die KI-Unterstützung in den skalierbaren Xeon Prozessoren mit Erweiterungen und Beschleunigungsfunktionen wie den Intel Advanced Matrix Extensions (Intel AMX) oder dem Data Streaming Accelerator (Intel DSA) kontinuierlich aus. Mit der fünften Generation der Xeon Prozessoren ist die Leistung bei der Anwendung von KI-Modellen (Inference) gegenüber der Vorgängerversion noch einmal um 42 Prozent gestiegen, während die Antwortzeiten (Latenz) bei großen Sprachmodellen (Large Language Models, LLM) auf unter 100 Millisekunden gesunken ist. Forschende und Unternehmen können so KI-Workloads mit hoher Leistung und absoluter Vertraulichkeit auf einer Standard-Serverplattform ausführen, unabhängig davon, ob sich diese im eigenen Rechenzentrum oder in einer Public Cloud befindet. Auch aus Gesamtkostensicht lohnt sich der Einsatz, da KI-Anwendungen auf CPUs wie Xeon im Vergleich zu GPU-Plattformen durch geringere Anschaffungskosten und weniger Energieverbrauch punkten.