Wie wir KI-Systeme vor Cyberangriffen schützen

Ein Expertenbeitrag von von Detlef Houdeau, Senior Director Business Development in der Abteilung Digital Security Solution bei der Infineon Technologies AG und Mitglied der Plattform Lernende Systeme

Für die IT-Sicherheit ist Künstliche Intelligenz (KI) ein zweischneidiges Schwert. Die Technologie kann der Verteidigung der IT-Infrastruktur vor Cyberattacken dienen. In den Händen der Cyberkriminellen ist sie hingegen ein Werkzeug, um die IT-Systeme effizienter anzugreifen. KI-Systeme sind heute aber weit über die Security-Branche hinaus im Einsatz – sei es in medizintechnischen Geräten, in Autopiloten von Flugzeugen oder in Fabrikrobotern, die vertrauliche Industriedaten verarbeiten. Angesichts dieser vielfältigen sensiblen Anwendungsmöglichkeiten wird deutlich: Eine große Herausforderung ist der Schutz der KI-Systeme selbst vor Manipulation.

Ein technologischer Trend ist in den letzten Jahren in vielen Anwendungsfeldern zu beobachten: die KI-Anwendungen in die Edge zu bringen, also dorthin wo die Daten anfallen, die die Anwendung verarbeitet. Ein Beispiel ist das Smartphone. Der jährliche Bedarf liegt in Deutschland bei deutlich über 20 Millionen Stück. Diese zahlreichen verteilten „kleinen“ Edges können gegen Cyberangriffe schlechter geschützt werden als ein Computer, ein Rechenzentrum oder gar eine Cloud. Edges bieten eine größere Angriffsfläche für Cyberattacken, da ihre Nutzungs- und Nutzerzahl deutlich größer ist. Trotz kontinuierlicher Verbesserungen haben Edges deutlich weniger Rechenleistung als Computer oder Großrechner. Damit verfügen sie auch über weniger Fähigkeiten als Großrechner. So sind zum Beispiel Anomalien im Datenverkehr der Produktions-IT (Operation Technology genannt) schwerer festzustellen, die möglicherweise durch einen Cyberangriff erzeugt wurden.

Nehmen wir das Beispiel eines vortrainierten kardiovaskulären Langzeitimplantats, der Vorstufe eines Herzschrittmachers. Der Patient mit dem Implantat erzeugt ständig neue Trainingsdaten und damit ein personalisiertes Medizinprodukt, das in diesem Fall an keine Cloud angebunden ist. Eine weitere Aufgabe der KI in der sogenannten Medical Edge am oder im Körper besteht in dem intelligenten Analysieren und Filtern von Nutzdaten und dem Löschen von unbrauchbaren Daten bereits in der Edge. Dies hat eine deutlich reduzierte Datenübertragungsmenge zur Folge, die wiederum den Energieverbrauch des Medizinproduktes senkt, seine Nutzungsdauer verlängert und den Schutz der Privatsphäre verbessert. Allerdings bieten die Patientendaten an der Edge Angreifern ein leichteres Ziel als in der Cloud. Der Bedarf an diesen Langzeitimplantaten liegt bei etwa 100.000 Stück pro Jahr allein in Deutschland. Betrachten wir einen Schweißroboter als Industrial Edge in einer Smart Factory. Er besitzt hinter der eingebauten Kamera einen Kleinstcomputer, der die Umgebungsbilder in Echtzeit auswertet. Viele dieser Industriedaten werden als vertraulich eingestuft und müssen gegen Wirtschaftsspionage und -sabotage geschützt werden. Derzeit sind mehr als 220.000 Industrieroboter in Deutschland im Einsatz.

Die Anzahl von Edge Computern steigt schnell. Um jeden einzelnen ausreichend gut abzusichern, bedarf es Hardware-, Software- und System-Entwicklerinnen und -entwickler, die fundamentales KI-Knowhow besitzen. Leider mangelt es an diesen Fachleuten, die KI, Securitybausteine oder die Kombination von Beidem in Systeme designen können. Dies ist aber kein technisches KI-Problem, sondern ein Problem der Aus- und Weiterbildung.

Neben dem Edge-Einsatz führt ein zweiter technologischer Trend zu einem zunehmenden Sicherheitsrisiko: Die KI-Systeme werden immer autonomer. Im sogenannten Internet of Thinking Things (IoTT) verfügen die Endgeräte über immer mehr Rechenleistung, was es ihnen mithilfe von KI-Technologie ermöglicht, immer mehr Entscheidungen in der Edge autonom zu treffen. Automatisierte Sicherheitskontrollen an Flughäfen oder Autopiloten in Schiffen und Flugzeugen zeigen, welch sensible Einsatzmöglichkeiten dadurch entstehen und zum Ziel für Cyberangriffe werden können. Unbemerkte, ungewünschte Datenanalysen und sogar Spionageangriffe werden möglich, ohne dass der Cyberangriff zum Beispiel durch erhöhte Prozessorleistung bemerkt wird.

Fazit: KI-Systeme mit neuronalen Netzen werden heute weiterhin in teils sehr großen Rechenzentren entwickelt; die überwiegende Anwendung des fertigen Netzes findet jedoch zunehmend lokal an der Edge statt, auf Endgeräten, die immer autonomer werden.  Diese Trends erhöhen das Sicherheitsrisiko, das von KI-Systemen ausgeht.  Erklärbare KI (Explainable Artificial Intelligence, XAI), die ihre Entscheidungen nachvollziehbar macht, kann eine unerwünschte Manipulation des KI-Algorithmus offenlegen.  Auch die Abtrennung des KI-Systems in der Anwendung oder im Produkt von anderen Anwendungen schließt ein Einfallstor für Cyberangreifer. Wird eine KI-Anwendung von sehr vielen Menschen genutzt, entsteht aber das mathematische Problem des Single-Point of Failure. Das bedeutet, von einer IT-Security-Schwäche der KI sind viele Produkte und Lösungen gleichzeitig betroffen. Besonders wichtig für den Schutz der KI-Systeme ist deshalb die sogenannte End-Point-Security: Mit den KI-Anwendungen muss auch die IT-Sicherheit in die Edge einziehen.