Im Zusammenhang mit KI und der Cloud waren Datenschutz und Datensicherheit schon immer eine Herausforderung bei der Nutzung von Cloud-Diensten, es sei denn, man ist ein großes Unternehmen oder eine finanzstarke Regierung. Mit der Einführung von Private Cloud Compute (PCC) scheint Apple das Problem gelöst zu haben, Cloud-Dienste anzubieten, ohne die Privatsphäre der Nutzer zu gefährden oder zusätzliche Sicherheitslücken zu schaffen.
Das war auch notwendig, da Apple eine Cloud-Infrastruktur schaffen musste, auf der generative KI-Modelle (GenAI) ausgeführt werden können, die mehr Rechenleistung benötigen, als die Geräte bereitstellen können. Gleichzeitig musste der Konzern sicherstellen, dass die Privatsphäre der Nutzer geschützt ist. So kann man mit Apple Intelligence zwar auch ChatGPT verwenden, muss es aber nicht (und der Nutzer kann entscheiden, ob er seine Daten mit OpenAI teilt). Stattdessen hilft PCC dabei, die eigenen GenAI-Modelle von Apple auszuführen.
"Sie sollten nicht alle Details Ihres Lebens aus der Hand geben müssen, um sie in der KI-Cloud von jemandem zu speichern und zu analysieren", erklärte Craig Federighi, Senior Vice President Software Engineering bei Apple, als er den Dienst am Montag auf der WWDC ankündigte. Um dies zu erreichen, hat Apple vermutlich das Security-Budget eines ganzen Landes in die Entwicklung eines hochsicheren Cloud-basierten Systems investiert, das die erforderliche Rechenleistung bereitstellt.
Die Einführung erfolgt zu einem Zeitpunkt, an dem Anbieter eine Reihe von Trusted-Cloud- und Datensouveränitätslösungen auf den Markt bringen, um ähnliche Herausforderungen in der Unternehmens-IT zu bewältigen. Apples Private Cloud Compute ist der bisher beste Versuch, einen vertrauenswürdigen Cloud-Zugang für den Massenmarkt bereitzustellen. Und das zu einem Zeitpunkt, an dem Sicherheitsexperten vor der uneingeschränkten Nutzung von Cloud-basierten GenAI-Diensten ohne Datenschutzgarantie warnen.
Bemerkenswert ist, dass Elon Musk bei der ersten Reaktion auf die Nachricht von Apple Intelligence diese als Sicherheitsbedrohung bezeichnete, obwohl sie genau dafür nicht entwickelt wurde - man muss OpenAI überhaupt nicht verwenden, und vermutlich können auch Device-Management-Tools bald den Zugriff darauf sperren. Vielleicht wird ein Service im PCC-Stil irgendwann Teil des Ökosystems für autonome Fahrzeuge sein, die tatsächlich sicher sind?
— Elon Musk (@elonmusk) June 10, 2024
Was ist Private Cloud Compute?
Private Cloud Compute besteht aus einem Netzwerk von Apple-Silicon-Servern, die mit erneuerbarer Energie betrieben werden und von Apple in Rechenzentren in den USA bereitgestellt werden. Diese Server führen die GenAI-Modelle von Apple remote aus, wenn eine Abfrage mehr Rechenleistung erfordert, als auf einem Apple-Gerät verfügbar ist. Dabei muss man allerdings davon ausgehen, dass einige der neu eingeführten Apple-Intelligence-Dienste erst 2025 außerhalb der USA verfügbar sein werden, weil Zeit benötigt wird, um dort die für die Unterstützung erforderliche Infrastruktur bereitzustellen.
Die Idee ist, dass viele Apple-Intelligence-Aufgaben problemlos auf dem Gerät ausgeführt werden können, während einige Abfragen mehr Rechenleistung erfordern - und genau hier kommt PCC ins Spiel.
Apple verspricht, dass die vom Nutzer bereitgestellten Informationen für niemanden sonst zugänglich sind, nicht einmal für Apple. Erreicht wird dies durch eine Kombination aus Hardware, Software und einem völlig neuen Betriebssystem, das speziell auf die Unterstützung von Large Language Model (LLM)-Workloads zugeschnitten wurde und gleichzeitig eine sehr begrenzte Angriffsfläche bietet.
Gehärtete Hardware und proprietäre Tools
Apple setzt dazu serverseitig auf Unix, gepaart mit Apples eigener proprietärer System-Sicherheitssoftware und einer Reihe von gehärteten und hochsicheren Komponenten auf dem Gerät und im System.
So basiert die Hardware selbst auf Apple Silicon, sodass das Unternehmen die Server mit integrierten Security-Funktionen wie Secure Enclave und Secure Boot schützen konnte. Diese Systeme werden außerdem durch iOS-Sicherheits-Tools wie Code Signing und Sandboxing geschützt.
Um zusätzlichen Schutz zu bieten, hat Apple zudem herkömmliche Tools wie Remote Shells abgeschaltet und durch eigens entwickelte proprietäre Tools ersetzt. Es gibt auch etwas, das Apple "Swift on Server" nennt und auf dem die Cloud-Dienste des Unternehmens laufen. Die Verwendung von Swift, so Apple, gewährleistet die Sicherheit des Speichers, was dazu beiträgt, die Angriffsfläche weiter zu begrenzen.
Stellt der Nutzer eine Anfrage an Apple Intelligence, läuft Folgendes ab:
Das Gerät stellt fest, ob es die Anfrage selbst verarbeiten kann.
Benötigt es mehr Rechenleistung, wird es von PCC unterstützt.
Dazu wird die Anfrage über ein Oblivious-HTTP-Relay (OHTTP) geleitet, das von einem unabhängigen Drittanbieter betrieben wird und dazu beiträgt, die IP-Adresse, von der die Anfrage stammt, zu kaschieren.
Im Anschluss werden nur die für die Aufgabe relevanten Daten an die PCC-Server gesendet.
Die Daten werden zu keinem Zeitpunkt gespeichert, auch nicht in Server-Metriken oder Fehlerprotokollen; sie sind nicht zugänglich und werden nach Erfüllung der Anfrage gelöscht.
Das bedeutet auch, dass keine Daten gespeichert werden (im Gegensatz zu anderen Cloud-Anbietern), kein privilegierter Zugriff möglich ist und die Identität des Benutzers verschleiert wird.
Schutz vor remoten und lokalen Angriffen
Apple hat augenscheinlich große Fortschritte dabei gemacht, seine Benutzer vor gezielten Angriffen zu schützen. Angreifer können die Daten eines bestimmten Benutzers der privaten Cloud nicht kompromittieren, ohne das gesamte PCC-System zu gefährden. Dies gilt nicht nur für Remote-Angriffe, sondern auch für Versuche vor Ort, etwa wenn ein Angreifer Zugang zum Rechenzentrum erlangt hat. Dadurch ist es unmöglich, sich Zugriffsdaten für die Datenbank zu verschaffen, um einen Angriff zu starten.
Hardware-technisch hat Apple das gesamte System für unabhängige Sicherheits- und Datenschutzprüfungen geöffnet - auch hier werden die Informationen nicht übertragen, wenn der Server sich nicht als für eine solche Prüfung offen identifiziert. Doch damit nicht genug, wie Apple erklärt: "Wir ergänzen die integrierten Schutzmaßnahmen von Apple Silicon durch eine gehärtete Lieferkette für PCC-Hardware, sodass ein großangelegter Hardware-Angriff sowohl unerschwinglich teuer wäre als auch nicht unbemerkt bliebe", so das Unternehmen. Die Sicherheit der Hardware für Private Cloud Compute beginne bereits bei der Herstellung, indem man die Komponenten eines PCC-Knotens erfasse und hochauflösende Bildaufnahmen davon anfertige, bevor jeder Server versiegelt und sein Sabotageschalter aktiviert werde.
Responsible-AI-Prinzipien
Was die GenAI-Software von Apple angeht, hat das Unternehmen auch bei der Entwicklung der Tools, die im Rahmen von Apple Intelligence zur Verfügung gestellt werden, den Fokus auf die Sicherheit der Benutzer gelegt. Diese Tools folgen den sogenannten "Responsible AI Principles", heißt es auf der Unternehmens-Website erläutert. Diese umfassen:
Die Identifikation von Bereichen, in denen KI verantwortungsvoll eingesetzt werden kann, um Tools für spezifische Nutzerbedürfnisse zu entwickeln.
Das Ziel, Stereotypen und systemische Vorurteile in den KI-Tools und -Modellen zu vermeiden.
Vorkehrungen in jeder Phase des Prozesses, um zu ermitteln, wie die KI-Tools missbraucht werden oder zu potenziellen Schäden führen können.
Den Schutz der Privatsphäre der Nutzer durch leistungsstarke Verarbeitung auf dem Gerät und Private Cloud Compute. Weder die privaten personenbezogenen Daten der Nutzer noch deren Interaktionen werden verwendet, um die Basismodelle zu trainieren.
Apropos Daten: Hier verspricht Apple, dass seine Apple Intelligence LLMs mit lizenzierten Daten sowie mit öffentlich verfügbaren Daten, die von seinem Web-Crawler AppleBot gesammelt wurden, trainiert werden. Wer nicht will, dass seine Inhalte von AppleBot für die Verwendung in Trainingsmodellen durchsucht werden, kann sich abmelden. Wie das geht, erklärt Apple hier.
Wenngleich Forscher die Systeme von Apple erst noch auf Herz und Nieren prüfen, sieht es ganz danach aus, als hätte das Unternehmen einen hochsicheren Ansatz für GenAI entwickelt, der vom Gerät, das für die Anforderung eines Dienstes verwendet wird, bis hin zur Cloud reicht und bei dem auf jeder Stufe Software- und Hardwareschutzmaßnahmen vorhanden sind.
Die beste "Private" Cloud?
Bereits jetzt gibt es positive Reaktionen aus der gesamten Security Community auf die Neuigkeiten von Apple. "Wenn man einem hervorragenden Team einen riesigen Geldbetrag geben und ihm sagen würde, es solle die beste "private" Cloud der Welt bauen, würde sie wahrscheinlich so aussehen", schreibt etwa Mathew Green, Dozent für Kryptografie an der Johns Hopkins University. Er mahnte lediglich an, dass das Recht, die Nutzung von Apple Intelligence zu verweigern, deutlicher sichtbar sein sollte, und deutete an, dass die Auswirkungen der Entscheidung von Apple effektiv zu einer stärkeren Nutzung von Cloud-Diensten führen werden.
"Wir sind der Meinung, dass dies die fortschrittlichste Sicherheitsarchitektur ist, die jemals für die Nutzung von KI-Berechnungen aus der Cloud in großem Maßstab eingesetzt wurde", ist Ivan Krstic, Head of Security Engineering & Architecture bei Apple, überzeugt. Ist das wirklich der Fall? Vielleicht. Apple hat versprochen, zusätzliche Transparenz zu schaffen, um das IT-Sicherheitsversprechen zu bestätigen. (mb)