Erik Buchmann
Professor für Data Privacy and Security an der Universität Leipzig
IT-Sicherheit und Datenschutz – nicht nur für Profis
Gefahr erkannt, Gefahr gebannt? Manchmal macht es sich der Volksmund doch ein bisschen leicht. Was passiert, wenn Nutzende über eine automatische Warnmeldung erfahren, dass ihr Passwort gehackt wurde oder eine Datei mit einem Virus infiziert wurde – aber keine Ahnung haben, was diese Meldung genau bedeutet oder wie sie reagieren sollen? „Wir brauchen nicht unbedingt weitere Virenscanner, Firewalls oder Intrusion-Detection-Systeme“, sagt Erik Buchmann, der den Lehrstuhl Data Privacy and Security am Institut für Informatik der Universität Leipzig innehat. „Die Technik funktioniert schon jetzt recht gut. Das Problem ist, dass wir sie der breiten Masse der Nutzenden verständlich und erklärbar zugänglich machen müssen."
Genau daran arbeitet er: Sprachmodelle wie ChatGPT, Llama 2 oder Gemini sollen bei Datenschutz- und Sicherheitstools die Brücke zum Endkunden schlagen. Schließlich können Nutzende nur dann die passenden Sicherungsmaßnahmen ergreifen, wenn sie aus Fehler- und Warnmeldungen die richtigen Schlussfolgerungen ziehen. Und eben diese Expertise fehlt oft.
Privacy und Security erklärbar machen
Können KI-Modelle diese Lücke schließen? Buchmann betritt zusammen mit mehreren Startups, darunter dem Leipziger Startup CyberInsight, Neuland in diesem Bereich. Sie arbeiten an der anwendungsnahen Umsetzung eines Sprachmodells, die Nutzenden bei Entscheidungen in Sachen Cybersecurity unterstützen, also etwa Fehler- oder Warnmeldungen erklären soll.
Für Buchmann selbst ist das Projekt fast eine logische Fortsetzung seiner bisherigen Arbeit. Er promovierte 2006 mit summa cum laude in Magdeburg, leitete ab 2007 eine Arbeitsgruppe am Karlsruher Institut für Technologie [KIT], wo er 2016 habilitierte. Schon in seiner Dissertation befasste er sich aber mit dem Vorläufer dessen, was später Grid Computing werden sollte - Rechner, die auf verschiedene Standort verteilt gemeinsame Aufgaben erledigen. Aus dem Grid Computing entwickelte sich das Cloud Computing, aus dem sich für Erik Buchmann jede Menge spannende Datenschutz- und IT-Sicherheitsfragen ergaben.
Datenschutzfreundliches Smart Grid
Ein Konzept, auf dessen Idee er bei seinen Arbeiten am KIT kam, reichte er 2017 als Gebrauchsmuster beim Deutschen Patent- und Markenamt ein. Es ging um die datenschutzfreundliche Steuerung eines intelligenten Energienetzes mit variabel verfügbaren erneuerbaren Energieträgern. Die Frage: Welche Art von Information ist nötig, um zu entschieden, ob ein Kühlschrank, eine Poolheizung oder auch eine Wärmepumpe an- oder abgeschaltet werden soll? Wenn ein zentrales System einzelne Stromverbraucher abfragen würde, müsste auch jeder Privathaushalt bis ins Detail offenlegen, welche Geräte in welchem Ausmaß, zu welcher Uhrzeit und für welche Zeitspanne in Gebrauch sind.
„Das warf jede Menge Fragen zum Datenschutz auf“, erinnert sich Buchmann. Seine Lösung: Per Funkübertragung (Broadcast) sollte ein Signal an alle Teilnehmenden gesendet werden. Diese könnten dann gemäß ihrer eigenen Notwendigkeiten automatisch entscheiden, welches Gerät sie wann aus- und einschalten. Basierend auf diesem Konzept entwickelte Buchmann seine nach eigener Aussage bisher spannendste Forschungsarbeit, die unter dem Titel „Swarm Algorithms for Energy Allocation in Microgrids“ 2017 mit einem Best Paper Award ausgezeichnet wurde. Darin beschrieb er die Idee für ein Smart Grid für Solarenergie, das ohne Lastgangmessung auskommt. Gesagt, getan: Im Rahmen eines Solarprojekts in Allensbach am Bodensee wurde dieser Ansatz bereits mit der Easy Smart Grid GmbH umgesetzt. „Wir waren überrascht, wie wenig Information man versenden muss, um Angebot und Nachfrage in einem dynamischen lokalen Stromnetz mit vielen unterschiedlichen Erzeugern und Verbrauchern auszugleichen.“ Ein Ergebnis, das ihn auch in Hinsicht auf den Datenschutz faszinierte.
Von der unternehmenseigenen Hochschule zur Universität
Was ist Buchmanns eigenes Erfolgsrezept? „Im Leben lässt sich nur wenig planen“, sagt er. „Es hilft aber, wenn man sich in eine Position mit Potenzial bringt.“ Für ihn gilt das im Job wie im Privatleben. Ein Bespiel ist seine „Traumstelle“ als Professor an der Universität Leipzig, die er seit 2022 innehat, sich dafür aber jahrelang in Stellung gebracht hatte - obwohl sein Berufsweg bis dahin erfolgreich gewesen war.
Buchmann war Professor an der von der Deutschen Telekom betriebenen Hochschule für Telekommunikation Leipzig. „Dort hatte ich eine Hands-on-Perspektive auf aktuelle Probleme der Wirtschaft“, sagt er. „Andererseits durfte ich über vieles nicht publizieren.“ 2016 hatte er die Stelle angetreten, zwei Jahre später beschloss der Wissenschaftsrat, der Hochschule die Akkreditierung zu entziehen, da sie nicht genügend unabhängig war. Die Telekom hatte die Hochschule vor allem für eigene Zwecke finanziert. „Der Wechsel an die Universität war schon immer mein Ziel gewesen – wegen der hohen Unabhängigkeit". Als passionierter Tourenradfahrer hat er für den Karrieresprung auch ein passendes Bild: den mühsam, aber erfolgreich erklommenen Bergpass.
Auf der Institutsseite hat Buchman sogar seine Radtouren verlinkt: Franken, Erzgebirge, Ungarn-Österreich, Venedig-Garmisch. Zwar hat Buchmann eine puristische Herangehensweise, ist „ohne Motor, Besenwagen und Gepäckdienst“ unterwegs. Was ihn an dieser Art des Reisens so fasziniert, sind die Überraschungsmomente. Die Suche nach Übernachtungen, nach Essgelegenheiten – und damit verbunden die Begegnungen mit Menschen, die ein völlig anderes Leben führen als er in der Stadt.
Auch im Institut kann diese Passion helfen, das Eis zu brechen und neue Netzwerke zu knüpfen, weil Buchmann über den Sport mit Studierenden, Kolleginnen und Kollegen leicht ins Gespräch kommt. Um dann hoffentlich gemeinsam der Leidenschaft für die Wissenschaft zu frönen: In Leipzig hatte Buchmann am Center for Scalable Data Analytics and Artificial Intelligence (SCaDS.AI), das vom Bundesministerium für Bildung und Forschung (BMBF) gefördert wird, eine der ersten KI-Professuren inne. Weitere sollen folgen: Bis zu zwölf KI-Professuren und zwei Alexander von Humboldt-Professuren sollen noch eingerichtet werden.
IT-Sicherheit und Datenschutz leichter verstehbar machen
Am SCaDS.AI arbeitet Buchmann daran, IT-Sicherheit mit Datenschutz zusammenzubringen – mit Methoden des maschinellen Lernens in der Cloud. Dabei befasst er sich auch damit, wie technische Lösungen datenschutzkonform gestaltet werden können. Das Spektrum reicht von Algorithmen und Datenmanagement über Geschäftsprozesse bis hin zu Architekturfragen. Ein weiterer Schwerpunkt seiner Arbeit: IT-Sicherheit und Datenschutz leichter und für jedermann verstehbar zu machen.
Mit Studierenden führte Erik Buchmann eine KI-gestützte Textanalyse des Standard-Datenschutzmodells (SDM) durch, einer Prüfmethode der Aufsichtsbehörden. Berechnet wurden Metriken wie der Lesbarkeitsindex – und das bei maximaler Varianz. Als Vergleichsmaßstab wählte Buchmann denkbar unterschiedliche Quellen, darunter einige Artikel der Bild-Zeitung, das 1. Buch Mose aus der Bibel sowie die Einleitung von Einsteins spezieller Relativitätstheorie. Das Ergebnis: Zwar sind der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) und das SDM etwas verständlicher als die Datenschutz-Grundverordnung, sie erfordern aber „eine nicht wesentlich geringere Lesekompetenz als die zum Verständnis von Einsteins Schriften“. Buchmann lacht, als er an dieses Projekt zurückdenkt.
Aktuell untersucht er, wie mit Sprachmodellen wie ChatGPT Datenschutzerklärungen eines Unternehmens interpretiert und vereinfacht werden können. „Wir suchen eigentlich den Heiligen Gral in Hinsicht auf den Datenschutz“, sagt Buchmann und meint damit „ein System, das für den Nutzenden alle Datenschutzerklärungen liest und dann sagt, was zu den jeweiligen Vorlieben passt.“ Das System gibt also Empfehlungen ab – dabei steht im Zentrum der meisten personenbezogenen Datenverarbeitungen das Konzept der freiwilligen informierten Einwilligung. Sie ist eine wesentliche Stütze des Datenschutzrechts. Diese Lösung zieht eine weitere zentrale Frage nach sich: Wie erklärbar ist die KI selbst, die solche zentralen Entscheidungen übernehmen soll?