In den USA hat eine Bundesjury den ehemaligen Google-Ingenieur Linwei Ding schuldig gesprochen, vertrauliche Informationen über die interne KI- und Supercomputer-Infrastruktur von Google entwendet und an mit China verbundene Organisationen weitergegeben zu haben. Der Fall gilt als exemplarisches Beispiel moderner Wirtschaftsspionage im Bereich Künstliche Intelligenz und Hochleistungsrechnen und zeigt, wie gravierend die Risiken durch Insider selbst für globale Technologiekonzerne sind.
Wirtschaftsspionage gegen Googles KI-Infrastruktur: Die Anklage im Überblick
Nach Angaben der US-Staatsanwaltschaft wurde Ding in 14 Anklagepunkten verurteilt: sieben wegen Diebstahls von Geschäftsgeheimnissen und sieben wegen wirtschaftlichen bzw. industriellen Spionageverhaltens. Auf jeden Anklagepunkt wegen Diebstahls von Geschäftsgeheimnissen können bis zu 10 Jahre Haft, auf jeden Spionagevorwurf bis zu 15 Jahre Haft entfallen. Das Strafmaß soll in Kürze verkündet werden.
Ding war seit 2019 bei Google beschäftigt und hatte Zugriff auf sensible technische Details der internen KI-Infrastruktur. Dazu gehörten Informationen über die Architektur von Supercomputern, Rechenclustern, Orchestrierungsplattformen und maßgeschneiderten ML-Lösungen. Solche Daten gelten im globalen Technologiewettbewerb als strategische Schlüsselressource – vergleichbar mit Bauplänen für kritische Industrieanlagen.
Modus Operandi: So umging der Insider die Sicherheitskontrollen
Zwischen Mai 2022 und April 2023 soll Ding laut Ermittlungen über 2.000 Seiten interner Dokumentation heruntergeladen haben. Die Unterlagen enthielten detaillierte Beschreibungen der Rechenarchitektur, Software-Stacks, Lastverteilung sowie zentraler Komponenten, mit denen Google KI-Supercomputer aufbaut und skaliert.
Um Sicherheitskontrollen zu umgehen, nutzte er eine mehrstufige Exfiltrationsstrategie: Inhalte wurden zunächst in Apple Notes auf seinem dienstlichen Mac kopiert, von dort in PDF-Dateien umgewandelt und schließlich in ein privates Google-Cloud-Konto hochgeladen. Dieses Vorgehen tarnt die Datenabflüsse als scheinbar normale Benutzeraktivität und erschwert die Erkennung durch klassische Data-Loss-Prevention-Systeme (DLP), die häufig nur offensichtliche Dateiübertragungen oder bestimmte Dateitypen überwachen.
Verbindungen zu chinesischen Tech-Firmen und staatlich geförderten Programmen
Parallel zu seiner Tätigkeit bei Google war Ding laut Anklage mit mindestens zwei chinesischen Technologieunternehmen verbunden. In einem Unternehmen fungierte er als Chief Technology Officer, ein zweites – Shanghai Zhisuan Technology Co – gründete er 2023 selbst und übernahm die Rolle des CEO. Gegenüber Investoren stellte er in Aussicht, eine KI-Infrastruktur „ähnlich wie Google“ aufzubauen – ein deutlicher Hinweis darauf, dass internes Know-how monetarisiert werden sollte.
Gegenüber Google verschwieg Ding sowohl diese geschäftlichen Aktivitäten als auch wiederholte Reisen nach China. Um seine Abwesenheit zu verschleiern, bat er einen Kollegen, seinen Dienstausweis am Eingang zu scannen, um Anwesenheit vorzutäuschen. Der Schwindel flog auf, als Google Ende 2023 von einer öffentlichen Präsentation Dings vor potenziellen Investoren in China erfuhr.
Im Februar 2025 wurde die Anklage um den Vorwurf des Wirtschaftsspionage erweitert. Ermittler stellten fest, dass Ding sich für ein staatlich gefördertes „Talentprogramm“ in Shanghai beworben hatte, das von der chinesischen Regierung unterstützt wird. In seiner Bewerbung erklärte er, er wolle dazu beitragen, in China eine Recheninfrastruktur „auf internationalem Niveau“ aufzubauen. Konkret sollte er zwei staatlich kontrollierte Organisationen beim Design eines KI-Supercomputers und spezialisierter ML-Chips unterstützen – ein Hinweis, dass die gestohlenen Geschäftsgeheimnisse auch strategisch-militärische Relevanz haben könnten.
Insider-Bedrohungen als strategisches Risiko für Unternehmen
Warum klassische Sicherheitsmodelle versagen
Der Fall macht deutlich, dass die Insider-Bedrohung zu den zentralen Cyberrisiken moderner Organisationen gehört. Im Unterschied zu externen Angreifern nutzen Insider legitime Zugänge, bekannte Systeme und autorisierte Geräte. Ihre Aktivitäten fügen sich oft in „normale“ Nutzungsmuster ein und werden von perimeterorientierten Sicherheitsarchitekturen nur schwer erkannt.
Branchenberichte wie der Verizon Data Breach Investigations Report und Studien des Ponemon Institute weisen seit Jahren darauf hin, dass ein signifikanter Anteil schwerwiegender Datenpannen auf interne Akteure zurückgeht – entweder durch böswilliges Handeln oder grobe Fahrlässigkeit. Besonders kostspielig sind dabei Fälle, in denen geistiges Eigentum und technische Kernkompetenzen betroffen sind, wie etwa Quellcode, Chipdesigns oder die Architektur von KI- und HPC-Plattformen.
Technische und organisatorische Kontrollen
Zur Reduzierung des Insider-Risikos reicht es nicht, nur Firewalls und Endpunktschutz zu stärken. Erforderlich ist ein mehrschichtiger Ansatz:
• Strikte Zugriffskontrolle und „Least Privilege“: Mitarbeiter sollten nur auf die Daten zugreifen können, die sie für ihre aktuelle Aufgabe tatsächlich benötigen. Rollenbasierte Zugriffsmodelle, segmentierte Netzwerke und regelmäßige Rezertifizierungen der Berechtigungen sind essenziell.
• DLP und UEBA: Moderne Data-Loss-Prevention-Lösungen kombiniert mit User and Entity Behavior Analytics (UEBA) können untypische Muster erkennen – etwa massenhaftes Kopieren sensibler Dokumente, ungewöhnliche PDF-Erzeugung, Nutzung privater Cloud-Konten oder Auffälligkeiten außerhalb der Kernarbeitszeiten.
• Governance und Compliance: Klare Richtlinien zu Nebentätigkeiten, Beteiligungen und Auslandsengagements sowie verpflichtende Offenlegungspflichten sind unverzichtbar, insbesondere bei Mitarbeitenden mit Zugang zu kritischer KI- und Chiptechnologie. Verstöße müssen nachvollziehbare rechtliche Konsequenzen haben.
Lehren für den Schutz von KI- und HPC-Infrastrukturen
Unternehmen, die KI-Plattformen, Supercomputer und Hochleistungsrechenzentren betreiben, sollten den Fall Linwei Ding als Anlass für eine schonungslose Bestandsaufnahme ihrer Sicherheitsarchitektur nutzen. Neben klassischen IT-Systemen geraten zunehmend auch MLOps-Plattformen, Modell-Repositories und Orchestrierungs-Stacks in den Fokus von Spionageaktivitäten.
Praktische Maßnahmen umfassen unter anderem: die konsequente Protokollierung aller Zugriffe auf Architektur- und Designunterlagen, Multi-Faktor-Authentifizierung für sensible Repositories, Schutz vertraulicher Dokumente durch Verschlüsselung und Wasserzeichen sowie den Einsatz von Klassifizierungsmechanismen, die KI-bezogene Assets als „Crown Jewels“ kennzeichnen.
Ebenso wichtig ist eine Sicherheitskultur, die Mitarbeiter nicht nur technisch, sondern auch rechtlich und ethisch sensibilisiert. Schulungen zu Wirtschaftsspionage, konkrete Fallbeispiele und niederschwellige Meldestellen für verdächtige Aktivitäten erhöhen die Wahrscheinlichkeit, dass Auffälligkeiten früh erkannt werden. Gerade in geopolitisch angespannten Zeiten ist Transparenz im Unternehmen ein wesentlicher Faktor, um Manipulation und Rekrutierungsversuche aus dem Ausland zu erschweren.
Der Fall Ding zeigt, dass der Schutz von KI-Supercomputern und anderen strategischen Technologien weit über Firewalls und Passwörter hinausgeht. Organisationen, die auf KI und Hochleistungsrechnen setzen, sollten ihre Insider-Risikoprogramme überprüfen, technische Überwachung mit klaren Compliance-Regeln verzahnen und Führungskräfte gezielt in Sicherheitsfragen einbinden. Wer jetzt in robuste Governance, moderne Überwachungstechnologien und eine reife Sicherheitskultur investiert, reduziert nicht nur das Risiko milliardenschwerer Spionagefälle, sondern sichert langfristig seine technologische Wettbewerbsfähigkeit.
