Auf den Punkt: Meta sammelte hochsensible Mitarbeiterdaten (Tastenanschläge, Bildschirminhalte, private Gespräche) mit unzureichenden Zugriffskontrollmechanismen, was zu wiederholten nicht autorisierten Zugriffen führte.
Meta hat sein Programm zur Datenerfassung von Mitarbeitern für KI-Training nach mehrfachen Sicherheitslücken vorübergehend eingestellt. Unbefugte Mitarbeiter konnten trotz Sicherheitsmaßnahmen auf sensible Daten zugreifen – und das wiederholte sich selbst nach einer angeblichen Behebung der Schwachstelle.
Seit April 2024 betrieb Meta das Programm Model Compatibility Initiative (MCI), das Computerinteraktionen von Mitarbeitern erfasst: Mausbewegungen, Klickpositionen, Tastenanschläge sowie Bildschirminhalte. Die erhobenen Daten umfassten vollständige KI-Prompts, Transkriptionen, private Gespräche sowie Leistungsdaten. Mitarbeiter konnten sich dem Programm nicht abmelden. Meta begründete die Datenerfassung damit, dass Mitarbeiter die beste Trainingsquelle für KI-Systeme seien, die menschliches Computerverhalten nachbilden sollen.
Am 18. Juni 2024 entdeckte Meta, dass nicht autorisierte Mitarbeiter auf MCI-Daten zugegriffen hatten. Laut Stephane Kasriel, Vice President für KI-Forschung bei Meta, wurde die Sicherheitslücke innerhalb von vier Stunden geschlossen. Die Behebung hielt jedoch nicht an – der Zugriff musste danach erneut eingeschränkt werden. Sicherheitsexperten kritisieren nicht primär das Überwachungsprogramm selbst, sondern die unzureichenden Schutzmaßnahmen. Karianne Michelle von der Beratungsfirma Acceligence diagnostiziert ein klassisches Organisationsproblem: „Die Entscheidung auf Politikebene und die technische Umsetzung fanden in zwei verschiedenen Räumen statt, die nicht vollständig synchron waren.”
Fritz Jean-Louis, Principal Cybersecurity Advisor bei der Info-Tech Research Group, sieht darin einen typischen Fehler in der KI-Datenstrategie: „Hochriskante Telemetrie ohne ausreichend ausgereifte Zugriffskontrollmechanismen erfassen. In dieser Größenordnung führt eine einzige Fehlkonfiguration zu systematischen Risiken.” Carmi Levy, unabhängiger Technologieanalyst, hebt hervor, dass die fehlende Verschlüsselung und Zugriffskontrolle das kernhafte Risiko darstellt – unabhängig davon, ob Daten tatsächlich missbraucht wurden.
Ein zusätzlicher Risikofaktor war die Einstufung der Daten: Obwohl die erfassten Informationen hochsensibel sind, galten sie nicht als personenbezogene Daten (PII) im strengen Compliance-Verständnis. Dies könnte Meta zu der Fehleinschätzung verleitet haben, dass schwache Schutzmaßnahmen ausreichen. Meta teilte mit, dass das Programm pausiertist und das Unternehmen derzeit untersucht, wie sensible Mitarbeiterdaten so weitgestreut werden konnten.
Quelle: www.csoonline.com · Erschienen 24. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.