Italien und Irland verbieten DeepSeek auf Apple- und Google-Geräten

DeepSeek, der umstrittene chinesische KI-Chatbot, ist in Italien und Irland nicht mehr zum Download verfügbar. Beide Länder entfernten die App am 29. Januar aus den App Stores von Apple und Google und warfen dem Unternehmen vor, Fragen zum Umgang mit personenbezogenen Daten auszuweichen und Befürchtungen hinsichtlich eines möglichen Zugriffs der chinesischen Regierung auf Nutzerinformationen zu schüren.

Die Aufsichtsbehörden drängen das Unternehmen auf Antworten – und gehen dabei nicht gerade zimperlich vor. Nutzer in Italien, die versuchten, den Chatbot herunterzuladen, erhielten auf Apple-Geräten Meldungen wie: „Derzeit in Ihrem Land oder Ihrer Region nicht verfügbar.“.

29. Januar hatte jedoch mindestens ein Apple-Nutzer weiterhin Zugriff darauf. Bericht des Guardian vom

DeepSeek ist nach seinem rasanten Aufstieg zur meistgeladenen Gratis-App im Apple Store in den USA und Großbritannien verschwunden. Die erst letzte Woche veröffentlichte App bot eine mit ChatGPT vergleichbare KI-Leistung, jedoch zu einem Bruchteil des Preises. Ihr schnelles Wachstum löste Panik aus und vernichtete innerhalb eines Tages über eine Billion US-Dollar an den US-Börsen.

Die Regulierungsbehörden fordern Antworten zur Datenspeicherung und zum Datenzugriff

Die italienische Datenschutzbehörde Garante hat DeepSeek 20 Tage Zeit gegeben, um offenzulegen, welche personenbezogenen Daten das Unternehmen erhebt, wo diese gespeichert werden und ob sie in China verarbeitet werden. „Unsere Behörde wird eine eingehende Untersuchung einleiten, um zu prüfen, ob die DSGVO-Bestimmungen eingehalten werden“, erklärte Behördenleiter Pasquale Stanzione am 29. Januar gegenüber der italienischen Nachrichtenagentur ANSA.

Garante verlangt konkrete Angaben – welche Daten erhoben werden, auf welcher Rechtsgrundlage dies geschieht und welche Maßnahmen zum Schutz der Nutzer ergriffen werden. Sollte das Unternehmen nicht kooperieren, drohen ihm in Italien empfindliche Strafen gemäß der europäischen Datenschutz-Grundverordnung (DSGVO).

Die irische Datenschutzkommission hat ebenfalls eine eigene Untersuchung eingeleitet. Laut einem Bericht des Guardian hat sie eine detaillierte Aufschlüsselung der Datenverarbeitungsmethoden von DeepSeek angefordert, die mit irischen Bürgern in Verbindung stehen.

Die Untersuchung konzentriert sich Berichten zufolge darauf, ob Benutzerinformationen unsachgemäß behandelt oder ohne angemessene Sicherheitsvorkehrungen nach China übermittelt werden.

Seitdem bekannt wurde, dass DeepSeek in seiner Datenschutzerklärung offen angibt, dass Nutzerdaten auf „sicheren Servern in der Volksrepublik China“ gespeichert werden, brodeln Bedenken hinsichtlich des Datenschutzes. Die britische Regierung hingegen verfolgt einen eher zurückhaltenden Ansatz.

Britische Beamte erklärten, es liege im Ermessen der Bürger, ob sie die App nutzen. Sie versprachen jedoch, bei ernsthaften Sicherheitsrisiken umgehend zu handeln.

Chinas nationales Nachrichtendienstgesetz trägt nicht zur Beruhigung der Befürchtungen bei. Laut diesem Gesetz müssen alle chinesischen Unternehmen, Organisationen und Bürger die staatlichen Geheimdienstaktivitäten unterstützen. Kritiker befürchten, dass DeepSeek dadurch gezwungen sein könnte, sensible Nutzerdaten ohne Vorwarnung preiszugeben.

Wiz Research deckt auf, dass die Datenbank von DeepSeek vollständig offengelegt wurde

Während sich die Regulierungsbehörden auf Datenschutzverletzungen konzentrieren, haben Sicherheitsforscher einen weiteren Albtraum für DeepSeek aufgedeckt – eine ungeschützte Datenbank, die Benutzerdaten für jeden im Internet zugänglich macht.

Wiz Research untersuchte die digitale Infrastruktur von DeepSeek und gibt an , eine öffentlich zugängliche ClickHouse-Datenbank gefunden zu haben. Die Datenbank verfügte über kein Passwort, kein Authentifizierungssystem und keinerlei Schutzmechanismen. 

„Innerhalb weniger Minuten hatten wir vollen Zugriff auf sensible Informationen“, so das Wiz-Team. Die Datenbank wurde unter oauth2callback.deepseek.com:9000 und dev.deepseek.com:9000 gehostet, die beide direkt mit den Kernsystemen von DeepSeek verbunden waren.

ClickHouse ist für die Hochgeschwindigkeits-Datenverarbeitung konzipiert und wird häufig zur Speicherung von Protokollen, Chatverläufen und Backend-Betriebsdaten verwendet. Laut einem Bericht von Wiz entstand jedoch durch den ungeschützten Betrieb eine erhebliche Sicherheitslücke.

Welche Daten fand Wiz? Jede Menge. Die Datenbank enthielt Chatverläufe, API-Geheimnisse, Daten aus dem Backend-Betrieb und sensible Protokolldateien. Ein einfacher Befehl wie „SHOW TABLES;“ über die Weboberfläche enthüllte alles.

Noch schlimmer war, dass die ungeschützte Datenbank nicht nur über normales Webbrowser angreifbar war. Die Forscher von Wiz entdeckten die Sicherheitslücke durch Scannen der nicht standardmäßigen HTTP-Ports 8123 und 9000, die DeepSeek offen gelassen hatte. Dieser Fehler ermöglichte es dem Team, problemlos über den Browser auf die Datenbank zuzugreifen.

Als ob DeepSeek nicht schon genug Probleme hätte, wirft OpenAI dem Unternehmen Diebstahl vor. Der amerikanische KI-Riese behauptet, es gebe Hinweise darauf, dass DeepSeek seine Technologie durch eine Methode namens Destillation gestohlen haben könnte. Bei der Destillation wird ein großes, komplexes KI-Modell zu einer kleineren, effizienteren Version verkleinert.

„Wir wissen, dass Gruppen in China daran arbeiten, unsere Modelle mithilfe von Destillation zu replizieren“, erklärte OpenAI. „Wir ergreifen entschiedene Gegenmaßnahmen und arbeiten eng mit der US-Regierung zusammen, um unsere Technologie zu schützen.“