Neues Jahr, neues Paper: Der erste im neuen Jahr in der Zeitschrift für Informationssicherheit „kes“ veröffentlichte Beitrag behandelt eine gleichermaßen aktuelle wie wichtige Frage: Ist die #Manipulation von einem #Chatbot eigentlich cyberstrafbar? Zusammen mit Young Talent am cyberintelligence institute Dr. Christoph Werner habe ich untersucht, ob es sich bei #LLM-#Prompting um eine strafbare Datenausspähung und deren Vorbereitung gem. §§ 202a ff. StGB handelt.
Gemeint sind mit „Prompt Injections“ insbesondere solche Eingaben, mit denen Daten aus dem #KI-Modell ausgelesen werden sollen, die nach dem Willen des Betreibers gerade nicht zur Ausgabe bestimmt sind. Dazu gehören insbesondere der sogenannte Systemprompt und die Trainingsdaten. Der Systemprompt enthält grundlegende Anweisungen für das Verhalten der KI und wird vom Betreiber für alle Chats gültig festgelegt. Kenntnisse hierüber könnten ggf. unerwünschte Änderungen im Ausgabeverhalten des LLMs ermöglichen, so zum Beispiel zur Erteilung von Informationen für kriminelle Handlungen.
Dabei kommen wir zum Ergebnis: Ja, eine strafrechtliche Sanktionierung von Angriffen durch Prompt Injections auf LLMs und die Erstellung solcher Prompt Injections ist durchaus möglich, indem diese als strafbare Vorbereitungshandlung gewertet werden können. Entscheidend ist insoweit, dass die §§ 202a ff. StGB trotz ihres historischen Blicks auf tradierte Programme und Sicherheitsmaßnahmen durch entsprechende Auslegung auch auf promptbasierte Angriffe gegen LLMs Anwendung finden können. So zeigen wir, dass ein Prompt im Sinne des § 202a StGB sowohl eine Zugangssicherung (Systemprompt) als auch ein Mittel zur Überwindung derselben (Prompt Injection) sein kann. Außerdem lassen sich Prompt Injections auch als Computerprogramme i.S.d. § 202c StGB qualifizieren.
Maßgeblich für diese Auslegung ist die Abkehr von einem tradierten Verständnis von Schadsoftware und technischen Sicherheitsmaßnahmen als „Programmcode“. Entscheidend für das IT-Strafrecht ist die Lesbarkeit der Anweisungen durch den Computer, die – und hier liegt die entscheidende Neuerung – bei der Verwendung von LLMs anders als bislang auch bei gewöhnlicher Sprache gegeben ist:
#denniskenjikipker #cyberresilience #cyberintelligence #cyberintelligenceinstitute #frankfurt #bremen