Cyber-Risiken 2021: Sabotage durch Angriffe auf künstliche Intelligenz

Solche Attacken sind für Unternehmen schwer nachzuvollziehen und eröffnen staatlich organisierten wie auch kriminellen Angreifern neue Möglichkeiten der Sabotage. Unternehmen sollten deshalb bei der Implementierung von KI-Anwendungen von Anfang an auf eine lückenlose Absicherung der Technologie- und Datenlieferketten achten.

Cyber-Risiken: Künstliche Intelligenz wird zu neuem Angriffsziel

Künstliche Intelligenz bietet für Unternehmen attraktive und vielversprechende Zukunftsperspektiven. Damit rückt KI aber auch zunehmend in den Fokus von Cyberkriminellen und staatlich organisierten Cyberangriffen. Bereits heute kennen wir erfolgversprechende Angriffsszenarien auf KI: So können Angreifer Datensätze mit falschen Informationen „verunreinigen“, die dann für das Training der Maschine-Learning-Algorithmen verwendet werden, um KI zu falschen Aussagen zu lenken.

Ebenso ist es Angreifern möglich, Daten gezielt zu löschen oder statistische Gewichtungen in Datensätzen zu verändern, um KI auf eine gewünschte Aussage zu zwingen (sogenannter Bias-Effekt in KI).  KI „erbt“ durch die manipulierten und damit falschen Trainingsdaten „Vorurteile“ und neigt damit zu vom Angreifer erwünschten Ergebnissen.

Cyber-Risiken für medizinische Diagnoseverfahren

Diese Vorgehensweisen eignen sich unter anderem dazu, KI-basierte medizinische Diagnoseverfahren zu sabotieren. So könnten Angreifer beispielsweise darauf abzielen, die Diagnostik von Lungenkarzinomen mittels Bilderkennung von bildgebenden Verfahren zu verändern. Denn werden die Trainingsdaten von KI manipuliert, tendiert das falsch trainierte KI-System zu falschen Diagnosen. Ein solches manipuliertes System trifft statisch erhöhte Fehlentscheidungen – sowohl „false positive“ als auch „false negative“: Bösartige Gewebeveränderungen werden dann entweder nicht als solche erkannt, oder das Programm übermittelt die Diagnose Lungenkrebs, obwohl faktisch keine Veränderungen vorhanden sind.

Die falschen Diagnosen bedeuten schwere gesundheitliche Folgen für den Patienten und können Gerätehersteller, Krankenkassen oder Anwender in wirtschaftlicher Hinsicht empfindlich schädigen. Für KI-Systeme gilt damit das Gleiche wie für den menschlichen Radiologen: Eine Diagnose muss mindestens von zwei unabhängig trainierten KI-Systemen getroffen werden. Doch was, wenn beide Systeme mit manipulierten Daten trainiert wurden?

Erpressung durch Manipulation betrieblicher Daten

Die Gefahr ist potentiell hoch, dass die Manipulation von Daten zukünftig auch vermehrt im Rahmen von „Data Ransom“ zum Einsatz kommt. Angreifer dringen dazu in Datenbanken ein und verändern Datensätze. Big Data macht diesen Angriff möglich. Für die Information, welche Daten wie manipuliert wurden, kann dann ein Schutzgeld erpresst werden. Die Erpressung könnte zum Beispiel technische Daten aus dem Betrieb betreffen, die zur Qualitätskontrolle von Produkten oder zur vorbeugenden Wartung verwendet werden.

Eine Manipulation hätte erhebliche Qualitätseinbußen oder Stillstandzeiten in der Produktion zur Folge, mit potentiell enorm negativen wirtschaftlichen Konsequenzen für den Anlagenhersteller oder den produzierenden Betrieb. Dazu kommt der immense Druck für die Erpressungsopfer. Für kriminelle Banden ergeben sich gute Aussichten, um Lösegeld zu erpressen – durch Daten getriebene Geschäftsmodelle und Prozesse könnten gewissermaßen durch Kriminelle „bewirtschaftet“ werden.

Cyber-Risiken: Attacken an jedem Punkt der Lieferkette

An welcher Stelle verschaffen sich die Angreifer Zugriff auf die Daten? Im Prinzip kann die Manipulation an jedem nicht gesicherten Punkt der Lieferkette stattfinden, wie durch eine Manipulation des Sensors. Der Eingriff könnte dabei direkt am Sensor geschehen oder indem der Sensor durch externe Faktoren gestört wird. So haben Wissenschaftler kürzlich demonstriert, dass die Mikrofone digitaler Assistenten, die mit Sprachbefehlen arbeiten, zum Beispiel in autonomen Fahrzeugen, aus einer Entfernung von bis zu 110 Metern mit einem Laser manipuliert werden können.

Damit besteht theoretisch die Möglichkeit, die KI in einem „smarten“ Auto zu trainieren, fremden Personen die Türe zu öffnen und Rechte auf das Bordsystem zu gewähren. Ebenso lassen sich Daten während der Übertragung durch einen klassischen Man-in-the Middle-Angriff verändern. Dabei greifen die Kriminellen die Daten ab, manipulieren sie und leiten sie dann ans Ziel weiter. Eine weitere Möglichkeit erfordert einen Einbruch auf das Datenbanksystem, bei dem der Angreifer die dort gespeicherten Daten gezielt verändert.

Gängige Maßnahmen bieten nur Basis-Schutz

Wie lassen sich Angriffe auf KI beziehungsweise maschinelles Lernen verhindern? Um Cyber-Risiken zu mindern und Attacken abzuwehren, sollte man im Sinne einer Basis-Sicherung zunächst Sensoren und sonstige Datenquellen vor physikalischem Zugriff schützen und die Software auf Sensorseite regelmäßig aktualisieren, um Sicherheitslücken zu schließen. Unsichere Hardware-Komponenten müssen ausgetauscht werden.

Daten von Sensoren dürfen nur zugelassen werden, wenn sie eindeutig identifiziert werden können – was ein Zero-Trust-Prinzip auf Ebene der Sensoren bedeutet. In einem weiteren Schritt müssen die Wege der Datenübertragung durch eine Ende-zu-Ende-Verschlüsselung gesichert werden. Schließlich sollte man auf Ebene der Server/Datenbanksysteme einen IT-Basisgrundschutz einführen und unberechtigte Zugriffe über Intrusion-Detektion erkennen können.

Der Goldstandard der Datensicherung erfordert zusätzliche Maßnahmen. So muss die Vertrauenswürdigkeit der Daten von der Datenquelle bis zur Verwendung beim Training von Maschinellem Lernen nachvollziehbar sein. Denkbar ist dies durch die Verwendung von digitalen Zertifikaten über die gesamte Lieferkette, bei denen die Integrität von Datensätzen über Zertifikate validiert werden kann. Dabei kommen neue verteilte kryptografische Methoden und Datenspeicher zum Einsatz, wie beispielsweise Blockchain (Distributed Ledger), um Daten unveränderlich dauerhaft zu speichern und über Consensus-Prinzipien zu schützen.

Best Practice: Sichere Datenübertragung in 5G-Netzwerk

Ein Beispiel aus der Praxis zeigt, wie sich eine solche Lösung realisieren lässt. Das Start-up tsenso hat einen Fresh-Index entwickelt, der – stark vereinfacht ausgedrückt – mit Hilfe von Temperatur-Sensoren die Frische leicht verderblicher Lebensmittel vom Hersteller bis in den Kühlschrank des Endkunden ermittelt. Aus den übermittelten Daten berechnet das System ein dynamisches Haltbarkeitsdatum, das sich per App auslesen lässt.

Die Lieferkette der Daten sichert tsenso mit Hilfe der asvin-Technologie ab. asvin hat eine sichere, robuste Lösung entwickelt, um Sicherheitslücken von IoT-Geräten über Updates zu schließen und langfristig funktionsfähig zu halten. Eine bereitgestellte Software-Plattform und die dezentrale Infra-struktur verteilen Updates und Patches für IoT-Endgeräte. Der Vorgang wird dokumentiert und sichert die Auslieferung der Updates so vor Manipulationen.

Für tsenso realisiert asvin das Device Management, Device Monitoring und die Over-The-Air-Updates der Sensoren in einem 5G-Netzwerk. Das System benutzt Smart Contracts (Etherium Blockchain). In einem aktuellen Forschungsprojekt wird dieses System nun zur Absicherung der Datenlieferkette erweitert und erprobt. Daten werden dann mit einem nachvollziehbaren „Vertrauenszertifikat“ von der Datenquelle (Sensor) bis zur Verarbeitung in der Cloud verknüpft und unveränderlich über ein Blockchain-System nachvollziehbar gesichert. (sg)

Lesen Sie auch: IT-Security-Trends 2021: KI-gestütztes Social Engineering im Fokus

Über den Autor: Mikro Ross ist CEO der asvin GmbH und international anerkannter Experte, Publizist und Forscher im Bereich Cybersecurity und Internet der Dinge. Er ist Mitglied in der Expertengruppe für Sicherheit im IoT der europäischen Cybersicherheitsbehörde ENISA und berät als Experte die EU-Kommission.