Microsoft-Forscher enthüllen eine raffinierte Angriffsmethode, die trotz Verschlüsselung verrät, worüber Nutzer mit KI-Chatbots sprechen. Die Schwachstelle betrifft nahezu alle großen KI-Anbieter – und stellt das Vertrauen in verschlüsselte KI-Kommunikation grundlegend infrage.

Die erst vergangene Woche bekannt gewordene Attacke namens „Whisper Leak" analysiert lediglich Muster im verschlüsselten Datenverkehr. Kein Einbruch, kein geknackter Code – nur das Beobachten, wie Datenpakete fließen. Doch genau das reicht aus, um hochsensible Informationen über Gesprächsinhalte preiszugeben. Besonders brisant: Die Schwachstelle liegt nicht in fehlerhafter Software, sondern in der Grundarchitektur moderner Sprachmodelle.

Für Unternehmen und Einzelpersonen, die KI-Assistenten für vertrauliche Anfragen in Bereichen wie Gesundheit, Finanzen oder Recht nutzen, bedeutet die Entdeckung ein massives Sicherheitsrisiko. OpenAI, Microsoft und Mistral haben bereits erste Gegenmaßnahmen ergriffen.

Wie Angreifer die Verschlüsselung aushebeln

Der Trick hinter „Whisper Leak" ist so clever wie beunruhigend: Die Attacke knackt nicht die Verschlüsselung selbst, sondern nutzt deren Schwachpunkt – die Meta-Daten. Moderne Sprachmodelle senden ihre Antworten Token für Token, um ein flüssiges Gesprächsgefühl zu erzeugen. Dieses „Streaming" erzeugt jedoch charakteristische Muster.

Ein Angreifer, der den Netzwerkverkehr beobachten kann – etwa ein staatlicher Akteur bei einem Internetanbieter oder jemand im selben WLAN-Netz – analysiert Größe und zeitliche Abstände der verschlüsselten Datenpakete. Da die zugrundeliegende Verschlüsselung eine Beziehung zwischen Original- und verschlüsselter Datengröße beibehält, verraten diese Muster überraschend viel.

Mit Machine Learning lassen sich diese „digitalen Fingerabdrücke" bestimmten Themen zuordnen. Die Methode ist deshalb so gefährlich, weil sie keine Implementierungsfehler ausnutzt, sondern eine fundamentale Eigenschaft der Streaming-Architektur.

Fast alle großen Anbieter betroffen

Microsofts Untersuchungen zeigen: Die Schwachstelle ist kein Einzelfall. Das Forschungsteam testete „Whisper Leak" erfolgreich gegen Modelle von Alibaba, DeepSeek, Mistral, Microsoft, OpenAI und xAI. In kontrollierten Experimenten erreichte die Attacke eine Trefferquote von über 98 Prozent bei der Identifikation von Zielthemen.

Noch erschreckender: In einem realistischen Überwachungsszenario mit 10.000 zufälligen Gesprächen, von denen nur eines ein sensibles Thema behandelte, lag die Präzision bei 100 Prozent. Jede markierte Konversation betraf tatsächlich das gesuchte Thema.

Können Google und Amazon aufatmen? Nur bedingt. Ihre Modelle zeigten zwar größere Resistenz – vermutlich durch „Token Batching", bei dem mehrere Tokens gebündelt übertragen werden. Doch auch sie sind nicht vollständig immun gegen die Angriffsmethode.

Von Wirtschaftsspionage bis Staatsterror

Was bedeutet das konkret für die Realität? Die Risiken reichen von Corporate Espionage bis zur staatlichen Überwachung. Sicherheitsforscher Jonathan Bar Or und Geoff McDonald vom Microsoft Defender Security Research Team warnen besonders vor den Gefahren in autoritären Regimen. Regierungen könnten die Technik nutzen, um Personen aufzuspüren, die über Proteste, verbotene Inhalte oder Wahlen diskutieren.

Doch auch westliche Unternehmen sollten aufhorchen: Konkurrenten könnten herausfinden, welche strategischen Themen ein Unternehmen mit KI-Assistenten bespricht. Cyberkriminelle könnten maßgeschneiderte Phishing-Kampagnen starten, basierend auf erkannten Interessen.

„Diese Datenlecks bei Interaktionen zwischen Menschen und Streaming-Sprachmodellen bergen ernsthafte Risiken für die Privatsphäre", warnt Microsoft. Nutzer gehen davon aus, dass verschlüsselte Verbindungen absolute Vertraulichkeit garantieren – ein Trugschluss, wie sich nun zeigt.

Notfall-Patches und langfristige Strategien

Die Branche reagiert ungewöhnlich schnell auf die Bedrohung. OpenAI hat bereits ein Verschleierungsfeld implementiert, das jeder Streaming-Antwort zufälligen Text variabler Länge hinzufügt. Dies maskiert die verräterischen Paketgrößenmuster effektiv.

Weitere Gegenmaßnahmen wie Token Batching und zufälliges Padding werden derzeit evaluiert und ausgerollt. Beide Techniken zielen darauf ab, die charakteristischen „Fingerabdrücke" zu stören, auf die der Angriff angewiesen ist.

Im Vergleich zu SAP oder der Telekom, die sich primär mit klassischen IT-Sicherheitsbedrohungen auseinandersetzen, betritt die KI-Branche hier Neuland. Anders als ein Software-Bug lässt sich diese Schwachstelle nicht einfach patchen – sie erfordert fundamentale Änderungen in der Kommunikationsarchitektur.

Der Vorfall dürfte die Forschung zu ganzheitlichen Datenschutzmaßnahmen für KI massiv beschleunigen. Die Sicherheit von KI-Systemen muss künftig nicht nur schützen, was sie sagen, sondern auch wie sie es sagen.