Behörden und Cyber­sicher­heits­fach­leute haben weitere Sicher­heits­bedenken gegen die chinesische KI Deepseek geäussert. Ein wesent­licher neuer Kritikpunkt ist die Speicherung der Tastatur­eingaben. Deepseek informiert in seinen Daten­schutz­hin­weisen darüber, dass "Tastatur­eingabe­muster oder -rhythmen" erfasst werden. Dies kann zur Identifizierung von Nutzern eingesetzt werden. "Auch Tastatur­eingaben innerhalb der App können womöglich mitgelesen werden, bevor sie abgeschickt werden", sagt eine Sprecherin des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) auf Anfrage der deutschen Nachrichtenagentur 'DPA'.

"Daneben wird die Art und Weise, wie Tastatureingaben vorgenommen werden, gespeichert", so die BSI-Sprecherin weiter. Mit solchen Mustern könnten mit Hilfe Künstlicher Intelligenz Nutzerprofile erstellt und wiedererkannt werden. Fazit: "Das BSI hält diese Möglichkeit zumindest für sicherheitskritische Bereiche für bedenklich."

Deepseek hat sich seit der Veröffentlichung zu einer der beliebtesten KI-Anwendungen in den App Stores von Apple und Google entwickelt.

Ein "Keylogger", wie ihn kriminelle Hacker und Geheimdienste zum Ausspionieren von Passwörtern und Zugangs-Daten verwenden, ist die Speicherung von Eingabemustern oder -rhythmen durch Deepseek nach Einschätzung des Experten Rüdiger Trost allerdings nicht.

"Hier muss man unterscheiden: Ein Keylogger schneidet alles mit, was über die Tastatur eingegeben wird", sagt der Fachmann, der für den Cyber­sicher­heit­s­dienstleister Withsecure arbeitet. "Das ist etwas anderes als ein Prompt in einem GenAI Tool oder im Allgemeinen eine Sucheingabe in einem Browser."

Derzeit bereitet der Datenschutzbeauftragte des deutschen Bundeslands Rheinland-Pfalz eine Prüfung von Deepseek vor. "Mehrere deutsche Daten­schutz­auf­sichts­behörden gehen voraussichtlich parallel vor", sagte eine Sprecherin auf Anfrage.

Laut EU-Datenschutzgrundverordnung muss ein Unternehmen ohne Nieder­lassung in der EU zumindest einen gesetzlichen Vertreter benennen, was Deepseek bislang offenbar nicht getan hat. "Das Fehlen eines gesetzlichen Vertreters stellt an sich schon einen Verstoss gegen die Daten­schutz­grund­verordnung dar und kann mit Bussgeld geahndet werden", sagt die Sprecherin.

Die italienische Datenschutzbehörde GDDP hat die chinesische KI bereits Ende Januar auf den Index gesetzt. Deepseek liess eine 'DPA'-Anfrage zu den verschiedenen Kritikpunkten zunächst unbeantwortet.