Beim Training und der Anwendung von Machine-Learning-Modellen und anderen Formen Künstlicher Intelligenz werden große Mengen sensibler Daten verarbeitet. Mit Confidential AI lässt sich sicherstellen, dass es dabei nicht zu Datenschutzverletzungen kommt.
Künstliche Intelligenz (KI) ist eine der wichtigsten Zukunftstechnologien. Sie hilft in der Medizin, den Behandlungserfolg bei schweren Krankheiten wie Krebs zu verbessern, unterstützt Lehrkräfte, Schüler und Studierende bei der Wissensvermittlung und steigert die Effizienz und Verfügbarkeit von IT-Infrastrukturen, um nur einige der vielfältigen Anwendungsbereiche zu nennen.
Werden KI-Modelle allerdings mit unausgewogenen oder unzureichenden Daten trainiert, kann es zu falschen, verzerrten oder sogar diskriminierenden Ergebnissen kommen. Eines der bekanntesten Beispiele hierfür ist eine vom Online-Versandhändler Amazon entwickelte Recruiting-KI, die Bewerberinnen gegenüber männlichen Mitbewerbern systematisch benachteiligte.
Um das Risiko der Diskriminierung durch KI zu minimieren, hat die Europäische Union den EU Artificial Intelligence Act (KI-Gesetz) erlassen. Er teilt KI-Anwendungen in vier Klassen ein. Je gravierender eine Anwendung für einzelne Betroffene und die Gesellschaft ist, desto strenger sind die Auflagen. Systeme, die zur Manipulation oder Kategorisierung von Menschen anhand von Persönlichkeitsmerkmalen und Sozialverhalten eingesetzt werden können, sind ganz verboten (siehe auch „Responsible AI: Wie der verantwortungsvolle Umgang mit KI gelingen kann“). Wie schon bei der Datenschutzgrundverordnung (DSGVO) und der Network and Information Security-Richtlinie NIS2 dürfte die Umsetzung der Vorgaben viele Unternehmen überfordern. Firmen sollten deshalb mit vertrauensvollen Partner zusammenarbeiten, die sie bei der Einhaltung der neuen Richtlinien unterstützen.
Um ausgewogene, diskriminierungsfreie KI-Modelle zu erhalten, ist es sehr wichtig, Machine-Learning-Modelle mit einer großen Anzahl unterschiedlicher und ausgewogener Datensätze zu trainieren. Häufig enthalten diese jedoch personenbezogene Informationen, Geschäftsgeheimnisse oder andere sensible Daten. Auch die Modelle selbst sind wertvolles geistiges Eigentum und dürfen nicht in fremde Hände geraten. Ihr Schutz ist vor allem im Bereich des Federated Learning eine große Herausforderung, bei dem mehrere Partner gemeinsam ein Modell trainieren. Die Gefahr von Datendiebstahl oder -missbrauch ist dabei nicht zu unterschätzen. Laut dem 2024 AI Threat Landscape Report des Sicherheitsspezialisten Hidden Layer mussten mehr als drei Viertel der Umfrageteilnehmer in den vergangenen zwölf Monaten einer oder mehrere Sicherheitslücken in ihren KI-Systemen feststellen.
Mit Confidential Computing zur sicheren KI-Anwendung
Unternehmen benötigen deshalb Systeme, die eine sichere Nutzung sensibler Daten für das Training und die Anwendung von KI-Modellen gewährleisten. Dieser Ansatz wird als Confidential AI bezeichnet. Er basiert auf dem Konzept des Confidential Computing, das die Vertraulichkeit von Daten entlang der gesamten Verarbeitungskette sicherstellt und KI-Modelle vor Manipulation und Ausspähung schützt. Ein wesentlicher Baustein des Konzepts ist die Enklave, auch Trusted Execution Environment (TEE) genannt (siehe auch Artikel „Die Enklave im Rechner“). Sie schottet Teile des Prozessors und des Arbeitsspeichers von der Umgebung ab. Nur speziell signierter und autorisierter Code erhält Zugriff auf die Daten, die nur innerhalb der TEE zur Verarbeitung entschlüsselt werden. Mit Befehlserweiterungen, den Intel Software Guard Extensions (Intel SGX), können Entwickler festlegen, welche Funktionen im Code vertrauliche Daten verwenden dürfen. Selbst ganze virtuelle Maschinen (VM) lassen sich als sichere Zone konfigurieren. Möglich machen dies die Intel Trust Domain Extensions (Intel TDX), die mit der vierten Generation der skalierbaren Intel Xeon Prozessoren eingeführt wurden. Damit können Entwickler bestehende Applikationen ohne Modifikation in eine sichere Umgebung migrieren und sogar in einer Public-Cloud-Umgebung betreiben. Im April 2024 hat beispielsweise Google angekündigt, Intel TDX in seinen virtuellen Maschinen der C3-Serie zu unterstützen und vertrauenswürdige VMs zu ermöglichen. Die chinesische Ant Group setzt für ihr Platform-as-a-Service (PaaS)-Angebot Elastic Compute Services (ECS) g8i-Instanzen in der Alibaba Cloud ein, die ebenfalls auf Basis von Intel TDX Confidential Computing in der Public Cloud ermöglichen.
Confidential AI in der Praxis
Die folgenden Beispiele zeigen, wie die sichere und vertrauliche Entwicklung und Anwendung von Machine-Learning-Algorithmen und anderen Formen der KI gelingen kann:
Am Center for Digital Health Innovation (CDHI) der University of California in San Francisco (UCSF) wurde mit BeeKeeper AI eine Lösung entwickelt, die einen sicheren, geschützten Zugang zu Gesundheitsdaten bietet. Forschende, Mediziner und Unternehmen aus dem Gesundheitswesen können gemeinsam neue KI-Modelle entwickeln oder bestehende weiter trainieren, ohne dass die Privatsphäre der Patienten, das geistige Eigentum oder die Datensouveränität der beteiligten Parteien gefährdet werden.,
Das Herzstück der Lösung heißt passenderweise „The Hive“ (der Bienenstock). Es bietet auf Basis von Confidential Computing eine sichere Laufzeitumgebung, in der die Verarbeitung der Daten stattfindet. Alle Informationen werden verschlüsselt gespeichert und übertragen. An die Anforderungen im Gesundheitswesen angepasste Tools und Workflows erleichtern die Erstellung, Kennzeichnung, Segmentierung und Beschriftung von Datensätzen. BeeKeeper AI fungiert als Vermittler zwischen Datenlieferanten und Entwicklern, was nach Angaben des Anbieters Zeit, Aufwand und Kosten für KI-Projekte um mehr als 50 Prozent reduziert.
Ein Beispiel wie Confidential Computing für mehr Sicherheit und Vertraulichkeit beim Einsatz von KI in der Bildung sorgen kann, liefert die Fernfachhochschule Schweiz (FFHS). Sie sah sich zunehmend mit Betrugsversuchen und Cyberangriffen bei Online-Prüfungen konfrontiert. Zudem waren die Überwachung der Fernexamen und die Auswertung des dabei aufgezeichneten Audio- und Videomaterials sehr personalintensiv und führten zu einer hohen Belastung der Mitarbeitenden. Die FFHS entwickelte deshalb ein KI-basiertes System zur Identitätsüberprüfung und Betrugserkennung, das den Arbeitsaufwand reduzieren und das Sicherheitsniveau der Online-Prüfungen verbessern sollte.
Die neue intelligente Prüfungsplattform nutzt Confidential Computing, um die Examensdaten und die Privatsphäre der Studierenden zu schützen. Sie führt die Identitätsüberprüfung durch und markiert verdächtige Stellen in den Videoaufzeichnungen der Examen. Menschliche Fachkräfte müssen nun nur noch die gekennzeichneten Bereiche analysieren. Der Zeitaufwand pro Video ist dadurch von ein bis zwei Stunden auf wenige Minuten gesunken.
Fazit: Mit Confidential AI mehr Vertrauen schaffen
Künstliche Intelligenz ist ein mächtiges Werkzeug, das allerdings auch missbraucht und kompromittiert werden kann. Die Folgen für die Betroffenen, aber auch für Unternehmen und Gesellschaft können gravierend sein. Der Missbrauch oder Diebstahl von Modellen und Daten muss deshalb so weit irgend möglich verhindert werden. Das Training und die Ausführung in einem geschützten Bereich des Prozessors bieten hierfür die besten Voraussetzungen. Werkzeuge wie Intel SGX und TDX senken die Hürden für Entwickler und erleichtern die Nutzung sicherer Umgebungen erheblich.
Um Confidential Computing für das Training von KI-Modellen nutzen zu können, muss die Plattform allerdings auch die nötige Leistung bereitstellen. Intel baut daher die KI-Unterstützung in den skalierbaren Xeon Prozessoren mit Erweiterungen und Beschleunigungsfunktionen wie den Intel Advanced Matrix Extensions (Intel AMX) oder dem Data Streaming Accelerator (Intel DSA) kontinuierlich aus. Mit der fünften Generation der Xeon Prozessoren ist die Leistung bei der Anwendung von KI-Modellen (Inference) gegenüber der Vorgängerversion noch einmal um 42 Prozent gestiegen, während die Antwortzeiten (Latenz) bei großen Sprachmodellen (Large Language Models, LLM) auf unter 100 Millisekunden gesunken ist. Forschende und Unternehmen können so KI-Workloads mit hoher Leistung und absoluter Vertraulichkeit auf einer Standard-Serverplattform ausführen, unabhängig davon, ob sich diese im eigenen Rechenzentrum oder in einer Public Cloud befindet. Auch aus Gesamtkostensicht lohnt sich der Einsatz, da KI-Anwendungen auf CPUs wie Xeon im Vergleich zu GPU-Plattformen durch geringere Anschaffungskosten und weniger Energieverbrauch punkten.