Triple KI – Data Science durchgängig gedacht! Claudia Dukino und Damian Kutzias promovieren zu der Frage, wie datenbasierte Projekte erfolgreich zu anwendbaren KI-Lösungen umgesetzt werden können. In einer gemeinsamen Blogreihe bündelt das KI-Tandem seine Kompetenzen und Forschungsergebnisse und veranschaulicht, wie die Verzahnung von Prozessen, Tätigkeiten und Technologien von der Ideengenerierung bis hin zur Inbetriebnahme neuer Lösungen in Unternehmen Mehrwerte schaffen kann.
»Hilfe, ich wurde gehackt!«, »Mein System wurde von einem Virus befallen!« oder »Jemand hat meine Daten abgegriffen und entschlüsselt!«. Wer kennt diese Fälle nicht zumindest aus dem näheren Umfeld oder den Nachrichten? Kriminelle Vorkommnisse wie die Geiselnahme von Daten zur Erpressung sind leider keine Seltenheit im digitalen Zeitalter. Doch wie verhält es sich mit künstlicher Intelligenz (KI), wenn es um Schutz und Sicherheit geht?
Die klassischen Herausforderungen der Sicherheit wie eingangs dargestellt sind auch im Umfeld von KI zu finden, um diese soll es in diesem Beitrag aber nicht gehen. Viel mehr widmen wir uns der Frage, welche Besonderheiten KI in diesem Umfeld mit sich bringt. Dabei ist es wie so oft: Die neue Technologie bringt auch neue Gefahren und Angriffsflächen mit sich. Die Funktionsweise der oft wenig transparenten Datenverarbeitung bildet dafür die Grundlage: KI-Systeme erhalten Daten als Eingabe, verarbeiten diese in einem mit Daten trainierten Modell und erzeugen dann eine Ausgabe als Ergebnis. Wie genau diese Verarbeitung stattfindet und wieso das Ergebnis letztendlich so ist, wie es aus dem Modell herauskommt, lässt sich für Menschen dabei oft nicht nachvollziehen. Unangenehm wird es, wenn die Ergebnisse falsch sind oder zu unerwünschten Folgen führen. Das kann die einfache Ursache haben, dass das Modell für den Anwendungsfall ungeeignet ist, gegebenenfalls aber auch gezielt durch Manipulation der Eingabedaten herbeigeführt werden. Dabei kann Wissen über das Modell und seine Funktionsweise genutzt werden, um unauffällige Änderungen an den Daten vorzunehmen, die für Menschen eventuell nicht einmal wahrnehmbar oder auffällig sind: Ein leichtes Rauschen in einer Audioaufnahme erinnert eher an eine schlechte Aufnahme als ein Angriffsszenario und minimale Änderungen der Farbwerte eines Bildes fallen oft gar nicht auf. Der Effekt kann hingegen gravierend sein, denn KI-Systeme können durch solche Manipulation in die Irre geführt werden: Bildinhalte werden (gezielt) völlig falsch interpretiert oder Bedeutungen gesprochener Sätze entfremdet, um nur zwei Beispiele zu nennen.
Kleine Ausreißer mit großer Wirkung
Die Fähigkeit von KI-Modellen, mit solchen Gefahren umzugehen, kann man auch als Robustheit oder Modellsicherheit bezeichnen. Wenn damit zu rechnen ist, dass eine KI und ihr Anwendungsfall relevante Angriffsziele sind oder die Daten sich aus der Umgebung heraus deutlich verändern, sollte darauf geachtet werden, die Robustheit gezielt zu erhöhen. Das kann bereits beim Erstellen des KI-Modells passieren: Beispielsweise kann durch gezieltes Hinzufügen von Rauschen bei den Trainingsdaten die Robustheit gegen Ausreißer in den Daten gesteigert werden. Auch außerhalb des Modells gibt es Möglichkeiten wie das Anwenden einfacher Rauschfilter, wie sie aus der Tonübertragung lange bekannt sind, bevor die Daten dem KI-Modell zugeführt werden. Viele der bekannten Angriffsszenarien werden durch solche Methoden bereits stark abgeschwächt oder ausgehebelt.
Ist KI wegen dieser neuen Angriffsflächen und Risiken nun also als problematisch einzustufen? Die Beantwortung der Frage ist sicherlich stark vom Anwendungsfall abhängig und auch von dem eventuellen Aufwand zur Steigerung der Robustheit. Tendenziell kann sie aber in den meisten Fällen mit »Nein« beantwortet werden. In vielen Anwendungsfällen sind die Auswirkungen beispielsweise überhaupt nicht sicherheitskritisch oder eventuelle Angriffe einfach nicht interessant. Auch ist oft nicht nur tiefes Wissen über das Modell, sondern auch Zugriff auf das konkrete Modell selbst nötig, um einen Angriff durchzuführen. In abgeschlossenen Systemen hält sich zudem das Risiko für zufällige, starke Abweichungen der Daten in der Regel in Grenzen. Und wie bereits genauer erklärt kann häufig mit einfachen Maßnahmen wie der Anwendung von Rauschfiltern vieles abgewendet werden. Dennoch sollte man das Thema nicht unter den Tisch kehren, im Voraus die Eventualitäten abwägen und einfache Maßnahmen ergreifen. Es ist wie so oft: Man hat sich lieber einmal zu viel als zu wenig um die Sicherheit gekümmert!
Dieser Beitrag ist Teil einer Blog-Reihe, in der wir (Claudia Dukino und Damian Kutzias aus dem Bereich Digital Business) uns in den kommenden Monaten mit den Herausforderungen datenbasierter Projekte beschäftigen und dazu Mensch, Technik und Organisation im Einklang betrachten werden.
Leselinks:
- Parallelbeitrag von Claudia Dukino: Triple KI: Zu Risiken und Nebenwirkungen für den Menschen
- Schulung »Strukturierte Durchführung von KI-Projekten« am 16. März 2022
- Künstliche Intelligenz am Fraunhofer IAO
Kategorien: Digitalisierung, Künstliche Intelligenz, Mensch-Technik-Interaktion
Tags: Blogreihe Data Science, Cybersicherheit, Digital Business Innovation, HCI, KI - Künstliche Intelligenz, Mensch-Technik-Interaktion