Memory Tagging und der Kampf um sichere Arbeitsspeicher

Seit jeher zählt der Arbeitsspeicher zu den am häufigsten ausgenutzten Schwachstellen in der IT-Infrastruktur. Allerdings gewinnen neue Schutzmechanismen wie Memory Tagging zunehmend an Bedeutung, während sich Sicherheitsherausforderungen wie fortgeschrittene Cyberbedrohungen immer weiter ausbreiten. 

Vor allem angesichts der Millioneninvestitionen, die europäische Länder wie Deutschland in Sachen KI-Rechenzentren planen, gewinnen Konzepte wie diese immer mehr an Bedeutung. Gleichzeitig treibt diese Entwicklung den Bedarf und Aufbau einer sicheren und leistungsfähigen Daten- und Recheninfrastruktur an. Mehr denn je müssen die Betreiber von Rechenzentren in Europa den Schutz ihrer Infrastruktur sicherstellen, damit KI-Systeme vertrauenswürdig und zuverlässig laufen.

Jeff Wittich, Chief Product Officer bei Ampere Computing, gibt Antworten auf Fragen, warum Memory Tagging eine wichtige Sicherheitsmaßnahme für die moderne IT darstellt und mit Blick auf KI für ein zukunftssicheres Europa entscheidend ist.

Europa investiert derzeit massiv in KI und neue Rechenzentren. Welche Sicherheitsherausforderungen und -chancen ergeben sich Ihrer Meinung nach daraus – besonders mit Blick auf Datenschutz und digitale Souveränität?

Jeff Wittich: Mit dem KI-Ausbau ergeben sich für Europa sowohl einzigartige Chancen als auch Herausforderungen – vor allem in Sachen Sicherheit. Viel zu häufig konzentriert sich die Diskussion auf Anwendungen oder Netzwerke. Die Rolle, die Chips in diesem Kontext spielen, wird nicht selten übersehen. Dabei bilden sie das Fundament, auf dem alle Workloads laufen und Daten verarbeitet werden. Wenn Sicherheitsfunktionen bereits auf Chip-Ebene integriert sind, entsteht ein System, das von Grund auf widerstandsfähiger ist. Europa kann so neue Rechenzentrumsinfrastrukturen aufbauen, in denen Sicherheit an erster Stelle steht. Diese sind nicht nur leistungsfähig, sondern auch vertrauenswürdig und resilient.

Sie betonen immer wieder, dass der Speicher als Schwachstelle häufig übersehen wird. Warum spielt Speichersicherheit eine so große Rolle?

Jeff Wittich: Speicherfehler wie Buffer Overflows oder fehlerhafte Zeiger gehören schon lange zu den häufigsten Ursachen für Sicherheitslücken und Ausfälle. Denn Fehler wie diese können Daten unbemerkt beschädigen oder Angreifern Tür und Tor öffnen. In KI-Rechenzentren, wo sensible Daten und Modelle verarbeitet werden, sind die Risiken sogar noch größer. Wenn wir die Vertrauenswürdigkeit und Sicherheit dieser Systeme garantieren wollen, müssen wir das Problem an der Wurzel packen – und zwar auf Hardware-Ebene.

Wie adressiert Memory Tagging dieses Problem? Wie funktioniert es genau?

Jeff Wittich: Jede Speicheradresse erhält ein Tag, also eine Kennzeichnung. Jeder Zeiger, der auf diesen Speicher zugreift, verfügt über ein passendes Tag. Vor jedem Zugang prüft die CPU, ob die Kennzeichnungen übereinstimmen. Tun sie das nicht, blockiert der Prozessor den Zugriff sofort. Damit entsteht eine hardwarebasierte Sicherheitsbarriere, die Missbrauch verhindert und Fehler erkennt, bevor sie Schaden anrichten können.

Wenn es so effektiv ist, warum wird Memory Tagging bisher kaum in Rechenzentren eingesetzt?

Jeff Wittich: Das Konzept des Memory Taggings ist nicht neu. Das Problem lag bisher immer in der Umsetzung – also in der Einführung in die Hardware-Umgebung der Rechenzentren. Frühere Ansätze verursachten zu viel Leistungs- oder Kapazitätsverlust, was zu spürbar langsameren Systemen, reduzierter Speichernutzung und höheren Kosten führte. Für KI-Workloads mit hoher Durchsatzrate und niedriger Latenz waren diese Kompromisse einfach nicht tragbar. Deshalb war Memory Tagging bislang vor allem ein Debugging-Tool und keine Option für den produktiven Einsatz.

Bei Ampere haben wir diese Herausforderung und das Potenzial für robuste Speichersicherheit in Cloud- und KI-Rechenzentren bereits früh erkannt. Deshalb sind unsere Prozessoren darauf ausgelegt, Memory Tagging so zu implementieren, dass es keine Leistungseinbußen und keinen Speicherverlust verursacht. Damit ist die Technologie erstmals wirklich produktionsreif.

Speicherschwachstellen sind für alle Systeme ein großes Risiko. Bestehen besondere oder sogar größere Risiken für KI-Systeme und wie kann Memory Tagging hier helfen?

Jeff Wittich: Speicherschwachstellen betreffen alle Arten von Verarbeitungsprozessen. Aufgrund ihrer spezifischen Eigenschaften verschärft KI bekannte Sicherheitsrisiken deutlich.

Erstens: KI-Inferenz verarbeitet oft enorme Mengen an hochsensiblen Echtzeitdaten wie personenbezogene Informationen, die in Empfehlungssysteme fließen, vertrauliche Unternehmensstrategien für Decision-Support-Anwendungen oder kritische Sensordaten für autonome Fahrzeuge. Kommt es während der Inferenz zu einem Speicherfehler, kann es zu beschädigten Daten oder massiven Datenlecks kommen. Denn die Daten verbleiben nicht still im Speicher, sondern werden aktiv verarbeitet, was sie besonders anfällig macht.

Zweitens: Während der Ausführung ist die Integrität der Modelle essenziell. All das antrainierte Wissen, über das ein Modell verfügt – einschließlich sämtlicher Parameter und Biases –, wird für die Inferenz in den Speicher geladen. Selbst der kleinste Speicherfehler oder ein darauf abzielender Angriff könnte diese Modellkomponenten verändern. Dies kann wiederum zu weiteren Biases, falschen Ergebnissen oder sogar dazu führen, dass ein Angreifer die Echtzeitentscheidungen einer KI manipuliert. Infolgedessen können Anwendungen aus kritischen Bereichen wie der medizinischen Diagnostik oder Betrugserkennung potenziell gefährliche Ergebnisse liefern. Fehler und Schwachstellen wie diese in einem komplexen KI-Modell zu erkennen, ist ohne hardwarebasierte Unterstützung kaum machbar.

Drittens: Viele KI-Inferenz-Workloads laufen in Multi-Tenant-Cloud-Umgebungen. Eine Speicherschwachstelle in einem Tenant kann Nutzer, die dieselbe Hardware nutzen, unter Umständen gefährden, wodurch ein systemisches Risiko für mehrere Clients oder Anwendungen entsteht. Memory Tagging bietet einen besonders wichtigen Schutz gegen diese spezifischen Datenrisiken und wahrt gleichzeitig sowohl die Integrität der Modelle als auch die Trennung der Tenants. Dafür müssen Zugriffsrechte auch auf Hardware-Ebene strikt durchgesetzt werden. Vor allem geht es darum, das „Gehirn“ der KI und ihren Wissensstand zu schützen, während sie in Echtzeit Entscheidungen trifft.

Zurück zu Europas KI-Ambitionen: Welchen konkreten Mehrwert bietet produktionsreifes Memory Tagging europäischen Rechenzentren?

Jeff Wittich: Im Kern geht es um mehr Sicherheit und größeres Vertrauen. Memory Tagging erkennt Speicherzugriffe und -fehler in Echtzeit. Auf diese Weise lassen sich systemgefährdende Exploits, stille Datenkorruption und Ausfälle verhindern. Gleichzeitig laufen sensible KI-Workloads sicher, zuverlässig und ohne Unterbrechungen. Für Europa, wo Datenschutz und digitale Souveränität eine hohe Priorität haben, ist diese Sicherheit ein entscheidender Schritt hin zu einer wirklich vertrauenswürdigen KI-Infrastruktur.

Wie wird produktionsreifes Memory Tagging Ihrer Meinung nach die Zukunft der KI-Sicherheit formen?

Jeff Wittich: In Zukunft wird hardwarebasierte Speichersicherheit kein Nice-to-have mehr sein, sondern ein absoluter Standard. Je stärker KI unseren Alltag und unsere Arbeit prägt, desto wichtiger ist es – im Sinne des öffentlichen Vertrauens – ihre Integrität auf Chip-Ebene zu gewährleisten. Ampere wird diesen Weg konsequent weitergehen und beweisen, dass hohe Performance und robuste Sicherheit kein Widerspruch sein müssen.