Ob autonome Fahrzeuge oder smarte Chatbots – Cyberangreifer können künstlich intelligente Softwaremodelle austricksen. „Hacker können neuronale Netze manipulieren und in die Irre führen“, sagt Nurullah Demir, Experte für Cybersicherheit und KI. Wie sich Algorithmen sabotieren und schützen lassen.
Von Nils Klute, IT-Fachredakteur und Projektmanager IoT beim eco – Verband der Internetwirtschaft e. V.
Künstlicher Intelligenz (KI) gehört die Zukunft. Prozesse lassen sich optimieren, unterstützen und automatisieren. So soll sich in der deutschen Industrie ein Gesamtpotenzial von rund 488 Milliarden Euro in 2025 freisetzen lassen, zeigt eine Studie des eco Verbands aus dem Jahr 2019. Große Chancen, die aber auch mit Risiken verbunden sind: Acht von zehn Deutschen (85 Prozent) sorgen sich laut einer aktuellen Umfrage des Verbands der Technischen Überwachungs-Vereine um die Sicherheit von Produkten, Anwendungen und Diensten, die auf KI basieren.
KI-Algorithmen täuschen und schrittweise umtrainieren
Warum die Bedenken gerechtfertigt sind, zeigt beispielsweise eine Untersuchung der Universität Michigan aus dem Jahr 2017. Forschern war es gelungen, Bilderkennungsalgorithmen, wie sie etwa autonome Fahrzeuge nutzen, optisch zu täuschen. Bei den sogenannten Adversarial Attacks trainieren Angreifer KI-Systeme gezielt um. Die Folge: Statt Stoppschild erkennt die KI am Ende ein Verkehrszeichen zur Geschwindigkeitsregelung. „Hacker können neuronale Netze manipulieren und in die Irre führen“, sagt Nurullah Demir, Experte für Cybersicherheit und KI am Institut für Internet-Sicherheit, kurz if(is).
Wie die KI-Invasoren dabei vorgehen: „Die Angriffe lassen sich in White- oder Black-Box-Attacken unterscheiden“, sagt Demir. Bei einem White-Box-Angriff haben die Hacker Zugriff auf alle Daten, die eine KI verarbeitet, kennen das neuronale Netz, seine Struktur und seine Schwachpunkte. Demir: „Viele KI-Softwaremodelle sind Open Source. Jeder kann sie einsehen.“ Dieses Wissen können Angreifer ausnutzen. Beispiel Erkennung von Verkehrszeichen: Die Forscher manipulieren die Input-Bilddaten, beobachten, wie sich die Effekte auswirken und trainieren eine KI in kleinen Schritten um. „Was für den Fahrer am Ende aussieht wie ein Stoppschild mit harmlosen Aufklebern, missinterpretiert der fehlgeleitete Algorithmus als grüne Ampel oder Fußgänger“, sagt Demir. Aber: „Auch dann, wenn Invasoren keinen Zugriff auf die KI-Algorithmen haben, sind Angriffe möglich.“ Bei den sogenannten Black-Box-Attacken werten die Hacker etwa die Ergebnisse eines KI-Systems aus (Optimierte Brute-Force-Methode). Dazu führen sie hunderttausende Abfragen durch, um ein generisches Beispiel zu finden, mit dem sich der Algorithmus manipulieren lässt, wie auch die Forschung von IBM-Research zeigt.
Motive und Ziele von KI-Angreifern
Angriffe wie diese setzen hohen technischen Aufwand und Sachverstand voraus. Mögliche Invasoren legen es daher auf besonders lukrative Ziele an. „Was die Kriminellen verfolgen, lässt sich, wie die Attacken selbst, aber nicht verallgemeinern“, sagt Demir. So lassen sich nicht nur autonome Fahrzeuge sabotieren, sondern etwa auch Sprachassistenten: Experimente zeigen, dass KI auf Abwegen Musik für Sprache hält und Befehle ausführt.
Wie sich KI-Systeme schützen lassen: „Hundertprozentige Sicherheit gibt es nicht“, sagt Demir. „So nutzen die Angreifer die Schwächen aus, die KI-Systeme gewissermaßen von Natur aus haben.“ So sind neuronale Netze beispielsweise intransparent. Niemand versteht genau, was in ihnen vorgeht. Aus dem Grund sind Algorithmen nicht in der Lage, Entscheidungen zu begründen. Zudem entwickeln sich die Modelle selbstlernend, -organisierend und -optimierend kontinuierlich weiter – fertige Softwareversionen, wie sie bei Computerprogrammen geläufig sind, gibt es nicht.
KI schützen und absichern, Datenquellen validieren und prüfen
„Eine der besten Schutzmöglichkeiten setzt daher bei den Daten selbst an, die eine KI verarbeitet“, sagt Demir. „Anwender sollten Quellen und Daten prüfen, um sicherzustellen, dass sie niemand manipuliert hat.“ Wenn etwa Unternehmen Daten miteinander teilen, sollten Nutzer den Ursprung sorgfältig validieren. So stellen Firmen sicher, dass ihre KI nur Daten verarbeitet, die sie auch verarbeiten soll. „Um die Resilienz der Algorithmen zu steigern, können Anwender potentielle Angriffe in den eigenen Datensatz integrieren und mittrainieren“, sagt Demir. So ist es möglich, einen Algorithmus mit bekannten gegnerischen Beispielen (sogenannten Adversarial Examples) zu füttern und zu schützen. Auch Differential Privacy bietet sich an, um den Informationsaustausch abzusichern: Mit dem mathematischen Verfahren lassen sich Daten gezielt verrauschen, ohne dass sie ihre statistische Aussagekraft verlieren.
Fest steht: „Angriffe auf KI sind in der Wissenschaft ein junges und aktuelles Thema“, sagt Demir. „Attacken sind schwer zu beobachten und mögliche Schäden kaum abzusehen.“ Für Anwender kommt es nicht nur darauf an, die Gefahr zu kennen: „Sie müssen die Sache auch anpacken und ihre Systeme absichern.“
Das if(is) wurde 2005 an der Westfälischen Hochschule, Gelsenkirchen von Prof. Norbert Pohlmann gegründet, um Innovationen im Bereich der anwendungsorientierten Internet-Sicherheitsforschung zu schaffen. Seit dem Start von Service-Meister unterstützt das Institut die Arbeit im KI-Projekt als Konsortialpartner.
Dieser Artikel hat Ihnen gefallen? Dann abonnieren Sie unseren Newsletter und erhalten Sie regelmäßige Updates zu ähnlichen Themen und zum Projekt Service-Meister und diskutieren Sie mit uns zu diesem und ähnlichen spannenden Themen in unserer LinkedIn Gruppe.