Burn-After-Use for Preventing Data Leakage through a Secure Multi-Tenant Architecture in Enterprise LLM

Diese Studie stellt eine sichere Multi-Tenant-Architektur (SMTA) in Kombination mit einem neuartigen „Burn-After-Use"-Mechanismus vor, der durch strikte Isolation und automatische Vernichtung von Kontextdaten nach der Nutzung das Risiko von Datenlecks in unternehmensinternen LLM-Umgebungen effektiv minimiert.

Das Wesentliche

Das Problem: Das „vergessliche" Büro und die unsicheren Notizen

Stell dir vor, ein großes Unternehmen nutzt einen super-intelligenten KI-Assistenten (eine sogenannte „Large Language Model" oder LLM), um bei allen möglichen Aufgaben zu helfen. Das Problem ist: Wenn die Personalabteilung, die Finanzabteilung und die Forschungsabteilung denselben Assistenten nutzen, kann es passieren, dass der Assistent versehentlich Geheimnisse verrät.

Das Szenario:
Die Finanzabteilung fragt den Assistenten: „Wie hoch ist das Budget für das neue Projekt?" Der Assistant antwortet. Kurz darauf fragt die Forschungsabteilung: „Was hat die Finanzabteilung über das Budget gesagt?"
In einem herkömmlichen System könnte der Assistent denken: „Ah, ich habe das gerade erst gelesen!" und die Antwort weitergeben. Das ist wie ein Büro, in dem alle Notizen auf einem großen, offenen Tisch liegen, den jeder sehen kann. Selbst wenn man den Tisch abschließt, bleiben die Notizen vielleicht in den Köpfen des Assistenten hängen (das nennt man „Kontext-Persistenz").

Die Lösung: Zwei neue Sicherheitsregeln

Die Autoren dieser Studie schlagen zwei neue Regeln vor, um das zu verhindern: SMTA und BAU.

1. SMTA: Die „Unsichtbaren Glaswände" (Secure Multi-Tenant Architecture)

Stell dir das Unternehmen nicht als einen großen Raum vor, sondern als ein Hochhaus mit vielen einzelnen, abgeschotteten Büros.

• Das alte Problem: Alle nutzen denselben Raum. Wenn jemand eine Frage stellt, hört es jeder mit.
• Die neue Lösung (SMTA): Jeder Abteilung (Personal, Finanzen, Forschung) bekommt ihr eigenes, abgeschottetes Büro mit einem eigenen, privaten Assistenten.
• Der Vergleich: Es ist so, als hätte jede Abteilung ihren eigenen, in sich geschlossenen Garten. Wenn die Finanzabteilung im Garten der Finanzen über Budgets spricht, kann niemand aus dem Forschungs-Garten das hören oder sehen. Selbst wenn die Wände aus Glas sind, sind sie so beschichtet, dass man nichts durchsehen kann. Der Assistent der Finanzabteilung weiß gar nicht, dass es einen Forschungs-Assistenten gibt.

Zusätzlich gibt es eine neue Art, den Schlüssel zum Büro zu bekommen: Statt eines einfachen Namens und Passworts (das man leicht stehlen kann), nutzt man eine 12-Wort-Geheimphrase (wie bei einer digitalen Geldbörse). Diese Phrase wird nur auf deinem eigenen Gerät erzeugt und nie an eine zentrale Stelle gesendet. Es ist wie ein Schlüssel, den nur du hast und der sich nach jedem Öffnen des Tors selbst verändert.

2. BAU: Der „Selbstzerstörende Brief" (Burn-After-Use)

Das ist die zweite, noch wichtigere Regel. Selbst wenn jeder in seinem eigenen Büro ist, könnte der Assistent die Gespräche im Gedächtnis behalten.

• Das alte Problem: Der Assistent merkt sich alles, was man ihm sagt, für immer. Das ist wie ein Brief, den man schreibt und der dann für immer in einem Archiv liegt.
• Die neue Lösung (BAU): Alles, was besprochen wird, ist wie ein Brief aus wasserlöslichem Papier. Sobald die Unterhaltung vorbei ist, die Zeit abläuft oder du den Knopf drückst, verschwindet alles sofort spurlos.
• Der Vergleich: Stell dir vor, du schreibst einen Brief auf einem Stück Papier, das in Wasser getaucht wird. Sobald du fertig bist, wirfst du das Papier ins Wasser. Es löst sich auf. Niemand kann es später wiederherstellen, nicht einmal der Assistent selbst. Es gibt keine Kopie, kein Archiv, keine Notiz.

In der Technik heißt das: Sobald die Sitzung endet, werden alle temporären Daten, die im Arbeitsspeicher lagen, sofort gelöscht. Es ist, als würde der Assistent nach jeder Sitzung einen „Reset-Knopf" drücken, der sein Kurzzeitgedächtnis komplett leert.

Wie haben sie das getestet? (Die Sicherheitsprüfung)

Die Forscher haben diese Idee in der Praxis getestet, indem sie versuchten, die Sicherheitswände zu durchbrechen:

1. Der Einbruchstest: Sie haben versucht, einem Assistenten in der Finanzabteilung zu tricksen, damit er Geheimnisse der Forschungsabteilung preisgibt.
   • Ergebnis: In 92 % der Fälle hat die „Glaswand" funktioniert. Der Assistent hat die Geheimnisse nicht verraten. (Es gab noch kleine Lücken bei schlecht konfigurierten Schlössern, aber das System ist sehr stark).
2. Der Gedächtnistest: Sie haben versucht, den Assistenten zu überreden, sich an Dinge zu erinnern, die er eigentlich „vergessen" sollte (nachdem der „Selbstzerstörungs-Knopf" gedrückt wurde).
   • Ergebnis: In etwa 77 % der Fälle hat das System perfekt funktioniert und alle Spuren vernichtet. In den restlichen Fällen gab es kleine Fehler (z. B. wenn der Computer abstürzte, bevor er alles löschen konnte), aber insgesamt war es ein großer Erfolg.

Fazit: Warum ist das wichtig?

Diese Studie zeigt, wie man KI sicher in großen Firmen einsetzen kann, ohne dass sensible Daten (wie Gehälter, geheime Rezepte oder Budgetpläne) versehentlich an die falschen Leute oder in die Öffentlichkeit gelangen.

• SMTA sorgt dafür, dass jeder in seinem eigenen, sicheren Raum ist.
• BAU sorgt dafür, dass keine Spuren zurückbleiben, sobald die Arbeit erledigt ist.

Es ist wie ein hochsicheres Bank-System, bei dem jeder Kunde sein eigenes Tresorzimmer hat und alle Gespräche im Tresor sofort in Luft aufgelöst werden, sobald die Tür geschlossen wird. So können Unternehmen die Vorteile von KI nutzen, ohne Angst vor Datenlecks haben zu müssen.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des vorliegenden Forschungsartikels auf Deutsch:

Technische Zusammenfassung: Burn-After-Use für die Verhinderung von Datenlecks in einer Secure Multi-Tenant-Architektur für Enterprise-LLMs

1. Problemstellung
Mit der zunehmenden Einführung von Large Language Models (LLMs) in Unternehmen entstehen neue Sicherheits- und Datenschutzrisiken, insbesondere in geteilten Inferenzumgebungen. Herkömmliche Sicherheitsmaßnahmen wie Zugriffskontrolllisten (ACLs), Verschlüsselung und Netzwerktrennung konzentrieren sich primär auf externe Bedrohungen. Sie adressieren jedoch nicht ausreichend das Problem der kontextuellen Persistenz (contextual persistence).

• Hauptproblem: Sensible Informationen aus einer Abteilung können unbeabsichtigt in die Antworten einer anderen Abteilung "durchsickern" (Cross-Tenant-Leakage), sei es durch geteilte KV-Caches, persistente Konversationshistorien oder Retrieval-Grenzüberschreitungen.
• Risiko: Selbst bei API-Nutzung oder internen Modellen können Daten in Caches, Logs oder temporären Speichern verbleiben und für nachfolgende Sitzungen oder andere Benutzer rekonstruierbar sein.

2. Methodik
Die Autoren schlagen eine hybride Architektur vor, die zwei zentrale Mechanismen kombiniert: Secure Multi-Tenant Architecture (SMTA) und Burn-After-Use (BAU).

• Secure Multi-Tenant Architecture (SMTA):

  • Isolation: LLM-Instanzen, Vektorspeicher und Richtlinien-Enforcement-Einheiten werden strikt nach Abteilungen (Tenants) isoliert. Jeder Tenant läuft in einem eigenen logischen Container oder einer VM ohne geteilte Speicherbereiche für Konversationsverläufe oder Embeddings.
  • Bereitstellung: Die Modelle werden privat (On-Premise oder in einem segmentierten Private Cloud) gehostet, um externe Datenabhängigkeiten zu eliminieren.
  • Authentifizierung: Statt klassischer Passwörter wird eine mnemonische Authentifizierung (12-Wort-Phrase, BIP-39 Standard) verwendet. Dies erzeugt eine dezentrale, kryptografische Entropie (132 Bit), die keine zentralen Credential-Repositories benötigt und Replay-Angriffe erschwert.
  • Zugriffskontrolle: Kombination aus Role-Based Access Control (RBAC) und Attribute-Based Access Control (ABAC) für feingranulare Berechtigungen.

• Burn-After-Use (BAU) Mechanismus:

  • Prinzip: Ephemere (flüchtige) Sitzungskontexte. Alle sensiblen Daten (Dokumente, Eingaben, abgeleitete Embeddings) werden automatisch und unwiderruflich zerstört, sobald die Sitzung endet, ein Timeout eintritt oder der Benutzer die Sitzung beendet.
  • Implementierung:
    • Client-Seite: Dokumente werden lokal in flüchtigen Speicher (RAM) geparsed. Nach der Sitzung werden Puffer und Zustände gelöscht.
    • Server-Seite: Der Inferenzserver arbeitet zustandslos (stateless). Keine Speicherung von Historie, Metadaten oder Tokens über die aktive Sitzung hinaus.
    • Öffentliche Systeme: Nutzung zeitbasierter Schlüsselableitung (Time-Dependent Key Derivation), bei der Entschlüsselungsschlüssel nach Ablauf einer Gültigkeitsdauer ($T_{valid}$) ungültig werden, selbst wenn der Chiffretext noch gespeichert ist.

3. Wichtige Beiträge

• Architekturdesign: Entwicklung einer SMTA, die semantische Isolation auf Modellebene, Vektorebene und Policy-Ebene erzwingt, im Gegensatz zu reinen Netzwerksegmentierungen.
• Neuer Sicherheitsbegriff: Einführung des "Burn-After-Use"-Konzepts für LLMs, das die Datenminimierung (Data Minimization) durch automatische Zerstörung von Kontexten operationalisiert.
• Authentifizierungsinnovation: Ersetzung zentraler Passwortdatenbanken durch mnemonische Phrasen zur Vermeidung von Single Points of Failure bei der Identitätsverwaltung.
• Empirische Bewertung: Durchführung realistischer, reproduzierbarer Angriffs- und Persistenztests, um die Wirksamkeit der Architektur quantitativ zu belegen.

4. Ergebnisse
Die Evaluierung basierte auf 127 Testiterationen mit Modellen wie gpt-oss-120b, DeepSeek-V3.2-Exp und Mistral-7B-Instruct-v0.2.

• SMTA-Leistung (Cross-Tenant-Leakage):

  • In 55 Infrastruktur-Level-Angriffstests (einschließlich Credential-Kompromittierung und Exposure durch Logging-Pipelines) wurde eine Abwehrerfolgsrate von 92 % erreicht.
  • Prompt-basierte Angriffe, die versuchen, Daten zwischen Abteilungen (z. B. HR zu Finance) zu extrahieren, wurden erfolgreich blockiert.
  • Restrisiken wurden in fehlerkonfigurierten Zugangsdaten oder Observability-Pipelines identifiziert.

• BAU-Leistung (Session Persistence):

  • In 72 Testiterationen zur Überprüfung der Datenvernichtung nach der Sitzung wurde eine durchschnittliche Erfolgsrate von 76,75 % erzielt.
  • Metriken: Es wurden vier empirische Metriken verwendet:
    • LRPR (Local Residual Persistence Rate): Verbleibende Daten auf dem Client.
    • RRPR (Remote Residual Persistence Rate): Verbleibende Daten auf dem Server.
    • IFER (Image Frame Exposure Rate): Exposition von Bilddaten.
    • BTPR (Burn Timer Persistence Rate): Persistenz trotz Zeitablauf.
  • Die Ergebnisse zeigen, dass BAU starken Schutz gegen Lecks nach der Sitzung auf Client-, Server-, Anwendungs-, Infrastruktur- und Cache-Ebene bietet. Die "Burn Failure Rate" (BFR) lag bei ca. 23,25 %, was hauptsächlich auf Implementierungsfehler (z. B. unvollständiges Cache-Löschen) und nicht auf Modell-Memorierung zurückzuführen ist.

5. Bedeutung und Fazit
Die Studie demonstriert, dass die Kombination aus strikter Multi-Tenant-Isolation (SMTA) und ephemeren Sitzungssemantiken (BAU) eine fundierte Basis für den sicheren Einsatz von LLMs in Unternehmen schafft.

• Compliance: Die Architektur bietet quantifizierbare Garantien für Vertraulichkeit, Nicht-Persistenz und konformes Verhalten, was für die Einhaltung von Datenschutzvorschriften (wie NIST AI RMF) entscheidend ist.
• Praxisrelevanz: Sie adressiert die Lücke zwischen theoretischer Zugriffskontrolle und der realen Gefahr von Datenlecks durch persistente Kontexte in KI-Systemen.
• Zukunftsausblick: Als Limitationen werden die hohen Hardware-Kosten für vollständige Isolation und die Abhängigkeit von korrekten Cache-Löschfunktionen genannt. Zukünftige Forschung soll kryptografische Isolationsschichten (z. B. Homomorphic Encryption, Secure Enclaves) und die Integration mit Retrieval-Augmented Generation (RAG) unter BAU-Bedingungen untersuchen.

Zusammenfassend bietet der vorgeschlagene Ansatz einen Weg, die Effizienz von LLMs in der Unternehmenswelt zu nutzen, ohne dabei die Vertraulichkeit sensibler Daten zu gefährden.