KI-Security by Design

Durch künstliche Intelligenz bieten sich der Wirtschaft enorme Potenziale. Auch ganz neue Geschäftsmodelle werden Einzug halten. Aber wie immer in der Informatik besteht auch Missbrauchspotenzial. Am Fraunhofer Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) wird dazu umfassend geforscht. Als Partner der Unternehmen bietet das Institut Hilfestellung bei der Härtung von Lösungen und z.B. im Erkennen und Manipulationen. Nicholas Müller berichtet im Interview quasi von der Schnittstelle zwischen IT-Sicherheit und maschinellem Lernen.

Nicholas Müller, Mitarbeiter am Fraunhofer AISEC

Herr Müller, geben Sie uns doch bitte einen kurzen Einblick in Ihre Arbeit.
Als wissenschaftlicher Mitarbeiter am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC arbeite ich in der Abteilung Cognitive Security Technologies, in der wir uns mit der Schnittstelle IT-Sicherheit und Maschinelles Lernen (Künstliche Intelligenz, KI) beschäftigen. Das heißt, dass ich einerseits Probleme in der IT-Sicherheit mithilfe von KI löse. Beispielsweise kann KI als eine Art »Polizist« eingesetzt werden, um Cyberkriminelle (Hacker, Malware) aufzuspüren und kritische Infrastruktur vor ihnen zu schützen.
Andererseits beschäftige ich mich aber auch mit der Verlässlichkeit und Robustheit von KI. Ich überprüfe hier, ob der Polizist auch tatsächlich »unbestechlich« ist und ob er sich auch in Problemsituationen korrekt verhält. Nehmen wir ein autonomes Auto als Beispiel, welches mithilfe von KI fährt. Wie stellen wir sicher, dass die Fahrzeug-KI nicht so manipuliert werden kann, dass sie in eine Menschenmenge fährt?
Eine solche Manipulation kann bereits durch ein paar farbige Sticker auf einem Verkehrsschild erfolgen [1]. Mit diesen Fragen des sogenannten »Adversarial Machine Learning« beschäftigen wir uns. 

Das heißt, so wie konventionelle Computersysteme gesichert werden müssen, so muss auch KI überprüft und getestet werden?
Ganz genau. Auch die KI selbst kann angegriffen werden und sich dann nicht so verhalten, wie es eigentlich vorgesehen ist. Der Angreifer kann durch spezielle Angriffe das Verhalten der KI steuern, so dass sie sich – ich anthropomorphisiere – gegen ihren Schöpfer stellt.

Dass KI nicht nur zum Guten eingesetzt werden kann, zeigt auch die aktuelle Debatte um »Deepfakes«. Was hat es damit auf sich?
Deepfakes sind durch KI manipulierte digitale Medieninhalte, wie Video- oder Audiodateien. Durch fortgeschrittene Methoden (Stichwort: Generative Adversarial Networks) können beispielsweise Videosequenzen komplett gefälscht werden. Der Fälscher verwendet dabei bereits existierendes Videomaterial des Opfers (etwa eines Politikers), und trainiert ein KI-System, um weiteres Videomaterial künstlich herzustellen. Das KI-System lernt dabei konkret, das Gesicht des Opfers mit dem einer Zielperson auszutauschen. Somit ist das Resultat unter der vollen Kontrolle des Angreifers, denn dieser kann mit einem Statisten das »Hintergrundmaterial« erstellen, und dann das Gesicht des Opfers darauflegen. Auch die Stimme kann auf ähnliche Art passgenau gefälscht werden.
Das Ergebnis sind Videos von Personen, die Dinge tun oder sagen, die nie so gesagt oder getan worden sind. Politiker, die ihre Rivalen gutheißen, sind eines der harmloseren Beispiele [2]. Frauenverachtende oder rassistische Inhalte werden leider ebenso von derartigen KI-Systemen erstellt.

Wir können Videomaterial in Zukunft also nicht mehr uneingeschränkt vertrauen?
Genau. Die Qualität der Fälschungen ist jetzt schon beachtlich, und wird sicher noch besser werden. Dies wird Vertrauen erodieren; Fake-News werden immer glaubwürdiger. Aus diesem Grund forschen wir bereits jetzt an der Erkennung von Deepfakes. Denkbar ist etwa, Videos aus zweifelhafter Quelle durch Prüftools analysieren zu lassen, die in der Lage sind, manipulierte Videos zu erkennen. Diese Erkennung funktioniert unter anderem durch tiefe Neuronale Netze: sie sind in der Lage, kleinste Spuren bzw. Indizien in den Videos zu finden, auszuwerten und dadurch Fakes von echten Videos zu unterscheiden. Des Weiteren forschen wir an Tools, die KI-Systeme generell robuster und verlässlicher machen [3].

Welche Bedrohungen entstehen dadurch für Unternehmen und wie bereiten sie sich auf diese Bedrohungen vor?
Für Unternehmen sind vor allem Adversarial Attacks und die Verteidigung gegen diese relevant. Zur Erinnerung: Adversarial Attacks können in KI-Systemen zu gezielt indiziertem Fehlverhalten im Produktiveinsatz führen: beim Beispiel autonomes Auto wäre das etwa, eine rote Ampel zu überfahren. Wir haben deshalb viele Industriepartner, mit denen wir diese Herausforderungen gemeinsam angehen. Gemeinsam entwickeln wir Prüfverfahren, um Neuronale Netzwerke bezüglich ihres »Sicherheitsniveaus« einschätzen und bewerten zu können.
Mit wieder anderen Partnern evaluieren wir Deepfakes und forschen, auf welche Weise diese erkannt werden können. Aber auch eher klassische Anwendungen von KI – z.B. in der Anomalieerkennung – sind weiterhin gefragt. Außerdem spielt Datenschutz und DSGVO-Compliance eine zunehmend wichtige Rolle. Auch hier forschen wir aktiv, um unsere Industriepartner unterstützen zu können [4]. 

Weitere Informationen unter:
https://www.aisec.fraunhofer.de/

Quellen und weitere Ressourcen

[1] https://arxiv.org/pdf/1707.08945.pdf

[2] https://www.youtube.com/watch?v=gHbF-4anWbE

[3] ]https://arxiv.org/pdf/1912.05283.pdf

[4] https://www.springerprofessional.de/en/on-gdpr-compliance-of-companies-privacy-policies/17127232