Federated Learning Security — Du hast kein Byzantine-robust Aggregation, kein Differential Privacy, kein mTLS. Gradient Poisoning, Model Inversion, Free-Rider. Globales Modell korrupt, Daten-Leak, dein CEO hat den CISO gefeuert.
Du hast kein Byzantine-robust Aggregation, kein Differential Privacy und kein mTLS. Gradient Poisoning, Model Inversion, Free-Rider. Globales Modell korrupt, Daten-Leak, dein CEO hat den CISO gefeuert. Hier ist, wie du das verhinderst.
Was ist Federated Learning? Einfach erklärt.
Stell dir Federated Learning wie verteiltes Machine Learning vor: AI-Modelle werden auf mehreren Clients trainiert, ohne Rohdaten zu zentralisieren. Jeder Client trainiert lokal und teilt nur Gradienten — nicht die Daten. Das macht FL inhärent privacy-preserving und GDPR-freundlich. Aber ohne Byzantine-robust Aggregation, Differential Privacy und mTLS ist FL anfällig für Gradient Poisoning, Model Inversion und Free-Rider. Gutes FL bedeutet: Never trust clients blindly, always validate updates.
↓ Springe direkt zur technischen TiefeFL Attack Vectors & Defenses
Böswilliger FL-Client sendet manipulierte Gradient-Updates, die Backdoors einbetten oder globale Modellleistung degradieren.
Defense: Byzantine-robust Aggregation (Krum, FedMedian, Trimmed Mean). Gradient-Norm Clipping. Updates statistisch vor Aggregation validieren.
Angreifer rekonstruiert Trainingsdaten aus geteilten Gradient-Updates, verletzt Datenschutz anderer FL-Teilnehmer.
Defense: Differential Privacy (DP-SGD): Kalibriertes Gauß-Rauschen zu Gradienten vor Sharing. Privacy Budget (ε ≤ 1.0 für starke Privacy).
Client nimmt an FL teil ohne echte Updates zu beitragen — lädt globales Modell ohne nützliche Gradienten zu teilen.
Defense: Contribution Verification: Cosine Similarity von Submitted Updates vs erwarteter Gradient-Richtung. Ban Clients unter Threshold.
Angreifer schließt Mitgliedschaft spezifischer Datenpunkte im Training Set aus Verhalten des globalen Modells.
Defense: Differential Privacy bietet mathematische Membership Inference Resistance. Limit Model Query API Access. Monitor für systematisches Probing.
Man-in-the-Middle abfängt Gradient-Updates im Transit, modifiziert sie oder injiziert bösartige Updates.
Defense: mTLS für alle FL Client-Server Kommunikation. Authentifiziere Clients mit Zertifikaten. Signiere alle Gradient-Updates. Verifiziere Signaturen vor Aggregation.
Self-Hosted FL Setup (Flower Framework)
# Flower (flwr) — production-secure FL server config
import flwr as fl
from flwr.server.strategy import FedTrimmedAvg # Byzantine-robust
strategy = FedTrimmedAvg(
fraction_fit=0.3, # 30% clients per round
min_fit_clients=5, # Minimum 5 clients
min_available_clients=10,
beta=0.1, # Trim top/bottom 10% of updates
# Add differential privacy wrapper:
# strategy = DifferentialPrivacyServerSideAdaptiveClipping(
# strategy, noise_multiplier=1.1, num_sampled_clients=10
# )
)
fl.server.start_server(
server_address="127.0.0.1:8080", # localhost only
config=fl.server.ServerConfig(num_rounds=100),
strategy=strategy,
# mTLS via nginx reverse proxy in front
)
# Client authentication: verify X.509 cert before accepting updates
# Gradient norm clipping: max_norm=1.0 on all client updatesGDPR Compliance Vorteile von FL
Data Minimisation (Art. 5)
Nur Gradient-Updates verlassen Client-Systeme — nie Rohdaten. Mathematischer Beweis, dass Rekonstruktion mit DP rechnerisch unmöglich.
Purpose Limitation (Art. 5)
Daten bleiben in Client-Systemen unter ursprünglichem Zweck. Zentraler Server verarbeitet nie persönliche Daten — nur Model-Updates.
No Third-Country Transfer
Self-hosted FL Server in EU. Keine persönlichen Daten verlassen EU-Jurisdiktion. Keine Schrems-II Concerns, keine SCCs erforderlich.
Residual Risk: Gradient Attacks
Ohne DP können Gradient-Updates Trainingsdaten via Model Inversion noch leaken. DP ist mandatory für echte GDPR-Compliance in FL.
Real-World Scars: Production Incidents
Gradient Poisoning ohne Byzantine-robust Aggregation. Böswilliger Client injiziert Backdoor in globales Modell. Fix: Aktiviere FedTrimmedAvg oder Krum.
Model Inversion ohne Differential Privacy. Angreifer rekonstruiert Trainingsdaten aus Gradienten, Datenschutz-Verstoß. Fix: Aktiviere DP-SGD mit ε ≤ 1.0.
Sofortmaßnahmen: Was heute tun?
mTLS für alle FL Clients aktivieren
Issue X.509 Zertifikate für alle Clients. Erzwinge mTLS für alle Server-Verbindungen.
Byzantine-robust Aggregation aktivieren
Ersetze FedAvg mit FedTrimmedAvg oder Krum. Clip Gradient-Normen vor Aggregation.
Differential Privacy aktivieren
Aktiviere DP-SGD mit ε ≤ 1.0 für alle Gradient-Sharing.
Interaktive FL Security Checkliste
FL Security Score Calculator
Industrie-Durchschnitt: 17/100
Häufige Fragen
Was ist Federated Learning und warum ist es für GDPR relevant?
Federated Learning trainiert AI-Modelle über mehrere Datenquellen ohne Rohdaten zu zentralisieren. Jeder Teilnehmer trainiert lokal und teilt nur Model-Updates (Gradienten) — nicht die zugrundeliegenden Daten. Das macht FL inhärent privacy-preserving und GDPR-freundlich: persönliche Daten verlassen nie die Systeme des Data Controllers.
Was ist Differential Privacy in Federated Learning?
Differential Privacy (DP) fügt mathematisch kalibriertes Rauschen zu Gradient-Updates hinzu, bevor sie geteilt werden, was Rekonstruktion individueller Trainings-Samples rechnerisch unmöglich macht. Das Privacy Budget (ε) kontrolliert den Privacy-Utility Tradeoff: ε < 1.0 bietet starke Privacy, ε > 10.0 bietet schwache Privacy. DP-SGD ist die Standard-Implementierung.
Wie verteidige ich mich gegen Gradient Poisoning in Federated Learning?
Verwende Byzantine-robust Aggregation Algorithmen statt einfachem FedAvg: 1) Krum: wählt das Update, das am ähnlichsten zu seinen k Nachbarn ist. 2) Trimmed Mean: entfernt top/bottom x% der Updates vor Durchschnitt. 3) Median: nimmt den koordinatenweisen Median. Auch: Gradient-Norm Clipping vor Aggregation, Monitor per-Client Update Statistiken über Zeit.
Kann ich Federated Learning auf self-hosted Infrastruktur laufen?
Ja. Frameworks wie Flower (flwr), PySyft und TensorFlow Federated unterstützen vollständig self-hosted Deployments. Der FL-Server und alle Clients laufen auf deiner Infrastruktur. Keine Daten verlassen dein Netzwerk. Kombiniere mit mTLS Client Authentication und Moltbot Monitoring für eine produktionsreife, GDPR-konforme Federated Learning Setup.