LLM-Hacking: Ein Überblick über Angriffstechniken und -szenarien

Das sogenannte „LLM-Hacking“ bezieht sich auf Techniken und Strategien, um diese Modelle zu manipulieren oder ihre Funktionen auf unvorhergesehene Weise zu nutzen.

Große Sprachmodelle sind in gewisser Hinsicht besonders gefahrgeneigt, weil diese versuchen autonom zu agieren und dabei notwendigerweise auf Eingaben von Außen angewiesen sind: Mal durch die Aufgaben, die ihnen erteilt werden, mal durch Daten, mit denen sie gefüttert werden. Die zunehmende Verbreitung von LLM sollte dabei Anlass sein, sich mit grundsätzlichem Wissen zur Cybersicherheit bei LLM auseinanderzusetzen. Im Folgenden möchte ich darum als Einstieg verständlich darauf eingehen, was LLM-Hacking ist und typische Angriffsszenarien beschreiben.

„LLM-Hacking: Ein Überblick über Angriffstechniken und -szenarien“ weiterlesen

KI-Washing

Der Begriff „KI-Washing“ (auch als „AI-Washing“ bekannt) bezeichnet eine Praxis, bei der Unternehmen und Organisationen ihre Produkte, Dienstleistungen oder Projekte als künstliche Intelligenz (KI) bezeichnen oder vermarkten, obwohl diese Bezeichnung entweder irreführend oder stark übertrieben ist. Dabei zeigt sich, dass eine handfeste Strafbarkeit bei übertriebener Bewerbung von KI-Produkten im Zuge des KI-Washing im Raum stehen kann.

„KI-Washing“ weiterlesen

Large Language Models (LLM)

Ein LLM, oder „Large Language Model“, ist ein fortschrittliches Computerprogramm, das darauf trainiert ist, menschliche Sprache zu verstehen und zu generieren. LLMs kann man sich wie extrem erfahrene Bibliothekare vorstellen, die in einer riesigen Bibliothek mit einer Unmenge an Büchern und Texten arbeiten. Diese Bibliothekare haben so viele Texte gelesen, dass sie sehr gut darin geworden sind, Fragen zu beantworten, Texte zu schreiben und sogar Gespräche zu führen, die sich fast wie mit einem echten Menschen anfühlen.

„Large Language Models (LLM)“ weiterlesen

Extended Reality: Moderne Realitäten

In der Welt der modernen Technologie, insbesondere im Zusammenhang mit dem Metaverse, tauchen immer wieder Begriffe auf, die sowohl faszinieren, als auch verwirren können. Dazu gehören Extended Reality (XR), Virtual Reality (VR), Augmented Reality (AR) und Mixed Reality (MR). Im Folgenden möchte ich diese Begriffe entwirren, um einen klaren Blick auf ihre Bedeutungen und Unterschiede zu werfen. Damit kann dann auch kurz versucht werden, einen Ausblick auf mögliche rechtliche Probleme bzw. Spielfelder der Zukunft zu geben!

„Extended Reality: Moderne Realitäten“ weiterlesen

Sybil-Angriff

Unter einem Sybil-Angriff versteht man einen digitalen Angriff, bei dem ein Reputationssystem unterwandert wird, indem mehrere Identitäten erstellt werden. Besonders bei einer Blockchain muss dieses Angriffsszenario berücksichtigung finden: Denn es geht hierbei gerade daum, dass der Angreifer das Reputationssystem eines Netzwerkdienstes so angreift, indem er eine große Anzahl pseudonymer Identitäten erstellt und diese nutzt, um einen unverhältnismäßig großen Einfluss zu erlangen. Das aber untergräbt die Basis der Idee hinter Blockchain-Protokollen.

„Sybil-Angriff“ weiterlesen

EU-Digitalstrategie

Die EU-Digitalstrategie ist eine Idee der EU-Kommission, mit dem Ziel, „das kommende Jahrzehnt zur digitalen Dekade Europas zu machen“. Ziel sind der Ausbau der digitalen Souveränität Europas sowie Aufbau eigener Standards. Der Schwerpunkt liegt in den groben Themenbereichen Daten, Technologie und Infrastruktur.

„EU-Digitalstrategie“ weiterlesen

Cybercrime

Was ist Cybercrime: Cybercrime ist heute ein Schlagwort, unter welches das digitale Strafrecht gefasst wird. Ich nutze selber lieber den Begriff des „Daten-Strafrechts“. Eine veraltete Bezeichnung für Cybercrime ist das Computerstrafrecht. Allgemeine Verbindlichkeiten, welchen Begriff man nutzt, welche Delikte man darunter fasst und wie genau man die Deliktsbereiche abgrenzt gibt es dabei bis heute nicht.

Jedenfalls ich verstehe unter dem Begriff „Daten-Strafrecht“ ein weites Feld, das sich durch die Begriffe „Daten“ und „Strafrecht“ erschließt, anders als bei „Cybercrime“ das auf den altbackenen und engen Begriff des „Cyberraums“ zurückgreifen müsste:

  1. „Daten“: Ich greife auf die weiteste Definition von „Daten“ zurück. Daten sind alle codierbaren Informationen ausgenommen reine Gedanken. Es spielt also keine Rolle, ob die Informationen verkörpert sind oder nicht, womit nicht nur Computerprogramme sondern auch Urkunden erfasst werden. Das führt dann dazu, dass nach meinem weiten Verständnis von der Datensabotage bis zur Urkundenfälschung Delikte erfasst sind.
  2. „Strafrecht“: Auch den Begriff „Strafrecht“ fasse ich weit. Dabei greife ich auf den Art. 6 EMRK zurück, der in ständiger Rechtsprechung des EGMR so ausgelegt wird, dass jede staatliche Sanktion als „Strafe“ anzusehen ist. Somit werden auch Ordnungswidrigkeiten vom „Daten-Strafrecht“ erfasst, mit der Folge, dass auch nur bußgeldbewährte Verstöße gegen DSGVO/BDSG von diesem Rechtsgebiet erfasst sind. Was aber rausfällt sind zivilrechtliche Ausgleichsansprüche, also etwa die Störerhaftung.

Cybercrime im eigentlichen Sinne

Für die Strafverfolgungbehörden stellt sich Cybercrime im engeren Sinne in der polizeilichen Kriminalitätsstatistik wie Folgt dar:

  • Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung §§ 269, 270 StGB
  • Datenveränderung, Computersabotage §§ 303a, 303b StGB
  • Ausspähen, Abfangen von Daten einschließlich Vorbereitungshandlungen gemäß §§ 202a, 202b, 202c StGB
  • Verletzung des Urheberrechtsgesetzes durch Soft- warepiraterie (privates Handeln und gewerbsmäßiges Handeln)
  • Computerbetrug gemäß § 263a StGB:
    • weitere Arten des Warenkreditbetruges
    • Computerbetrug mittels rechtswidrig erlangter Zahlungskarten mit PIN
    • Computerbetrug mittels rechtswidrig erlangter Daten von Zahlungskarten
    • Computerbetrug mittels rechtswidrig erlangter sonstiger unbarer Zahlungsmittel
    • Leistungskreditbetrug
    • Missbräuchliche Nutzung von Telekommunikationsdiensten
    • Überweisungsbetrug
    • weitere Arten des Computerbetrugs
Fälle von Cybercrime aus dem BKA-Bundeslagebild Cybercrime 2018
Aus dem BKA-Bundeslagebild Cybercrime 2018
„Cybercrime“ weiterlesen

Clearnet

Das „Clearnet“ ist die Sammelbezeichnung für den allgemein „bekannten” Teil des Internets. Dieser Teil ist für jedermann zugänglich, bedienbar mit normalen Browserprogrammen und mittels Suchmaschinen durchsuchbar. Das Clearnet ist also einfach ausgedrückt der Teil des Internets, den man normalerweise meint wenn man von „dem Internet“ spricht und den man mit normalen Browsern (ohne technische Hilfsmittel) nutzt.

Das Clearnet ist also das Gegenstück zu Darknet und Deepweb, wobei nicht zu verkennen ist, dass selbstverständlich auch hier illegale Inhalte vorhanden sind, z. B. Delikte politisch motivierter Kriminalität, Urheberrechtsverletzungen, Persönlichkeitsrechtsverletzungen, Verbreitung von Kinderpornografie, Seiten der „Underground Economy“.

Dazu auch:


[darknet]

Bitcoin Mixer

Bei „Bitcoin Mixern“ – auch Bitcoin Laundry Service, Tumbler, Strampler oder Shuffler genannt – handelt es sich um eine Dienstleistung zur weiteren Anonymisierung von Zahlungen via Bitcoins. Auch wenn Bitcoins grundsätzlich erst einmal keiner Person zuzuordnen sind, so sind sämtliche Transaktionen gleichwohl frei einsehbar. Spätestens wenn man seine Bitcoins monetisieren möchte, also den Sprung in harte Währung vollziehen möchte, könnten grundsätzlich Ermittler Ansätze finden – etwa weil der Hashwert des öffentlichen Schlüssels auf einer Bitcoin-Börse einem realen Geldfluss zugeordnet werden kann, der am Ende Personen zuzuordnen ist. Hier kommen nun Bitcoin-Mixer ins Spiel.

„Bitcoin Mixer“ weiterlesen