IT-Security und Künstliche Intelligenz

Machine Learning liefert heute in vielen Anwendungsfeldern sehr beeindruckende Leistungen und kann substantielle wirtschaftliche Vorteile generieren. Das gilt besonders für die Bereiche des Supervised Learning und des Reinforcement Learning. Sie spielen deshallb für industrielle Anwendungen wie Qualitätskontrolle oder für die Orientierung und Steuerung autonomer Systeme eine besonders große Rolle.

Aber gerade diese Bereiche leiden etwa seit 2013 unter besonders ausgeprägten Sicherheitsproblemen, die in dieser Form und in diesem Ausmaß nur in KI-gestützten Systemen existiert: Es ist möglich mit einer sehr ähnlichen Technik, wie sie in Lernalgorithmen verwendet wird, Rauschen zu erzeugen, mit dem Eingabedaten manipuliert werden. Dies kann so erfolgen, dass die erzeugte Verzerrung durch menschliche Kontrolle nicht erkennbar ist, aber gleichzeitig das System zu krassen Fehlleistungen führt.

 

die das Netz kennt, falsch zu klassifizieren. Man stelle sich vor, ein Verkehrsschildschild "Tempo 30" würde mit einer geeignet präparierten Klarsichtfolie so verändert, dass es für menschliche Fahrer immer noch eindeutig dieselbe Bedeutung hätte, von einem selbstfahrenden Auto aber als "Tempo 80" erkannt würde. Und wenn dieses Auto auf "schnellste Route" programmiert wäre, würde es in der Tempo-30 Zone auf 80 km/h beschleunigen.

 

Noch dramatischer ist die inzwischen wissenschaftlich abgesicherte Erkenntnis, dass solche sogenannten "gegnerischen Beispiele" (adversarial Examples) die Eigenschaft besitzen, zwischen KI-Systemen mit völlig verschiedener algorithmischer Basis transferierbar zu sein. Ein gegnerisches Beispiel, das ein Faltungsnetzwerk täuscht, hat große Chancen auch ein System auf Basis der logistischen Regression, des SVM-Prinzips oder ein mehrschichtiges Perceptrons zu täuschen. Das bedeutet, dass ein Angreifer gar keine ausführliche Information über das verwendete Mustererkennungssystem braucht, sondern nur wissen muss, welche Klassen es unterscheidet, um sein zerstörerisches Beispiel zu konstruieren. 

Dieses Beispiel sollte hier nur zur Illustration dienen. Im Bereich IT-Sicherheit gibt es noch viel komplexere kriminelle Praktiken, die auf demselben Prinzip beruhen und hohes Gefährdungspotential bergen. IDSGAN ist eine solche Technik, die mittels einer Black-Box Methode unter Einsatz eines Generative Adversarial Network (GAN) Schadsoftware erzeugt, die von einem professionellen Intrusion Detection System (IDS) nicht mehr als schädlich erkannt werden kann und so ungehindert in ein Unternehmensnetzwerk eindringen kann. Es ist empfehlenswert, die im Literaturverzeichnis dieser Webseite genannte Publikation der Sicherheits-Arbeitsgruppe der Plattform Industrie 4.0 des Bundeswirtschaftsministeriums zu Thema Künstliche Intelligenz im April 2019 veröffentlicht wurde.

 

Es gibt heute (noch) keine Gegenmaßnahme, die dieses Problem vollständig beseitigen kann. Erfreulicherweise kann man aber mit geeigneten Systemkonfigurationen, die Wirksamkeit solcher Angriffe verringern. Die Industrie-KI GmbH bietet zu diesem Themenkomplex umfassende Beratung an. Diese Dienstleistung ist immer kundenindividuell und beginnt mit einer Risiko- und Schutzbedarfsanalyse, wie sie im professionellen IT-Security Bereich heute üblich ist. Dabei gelten die unter der Rubrik "Kosten" der Seite "Ihr Einstieg" genannten Tagessätze. Die allgemeine Beratung zum Einstieg in Machine Learning enthält immer ein Kapitel zu Sicherheitsaspekten des Machine Learning.    

 

 

 

 

 

Bekannt ist das Beispiel, in dem das Bild

eines Panda aus dem ImageNet Daten-

bestand von einem Neuronalen Netz

treffsicher erkannt wird, dann aber mit

einem Rauschmuster, so verändert wird,

dass dasselbe Neuronale Netz das Bild

nun mit 99,3% Sicherheit (also praktisch

mit absoluter Sicherheit als Gibbon iden-

tifiziert. Für Menschen sind beide Bilder

nicht unterscheidbar, weil sie in ihrer 24-

bit RGB Darstellung als Bilder identisch

sind. Der Unterschied schlägt sich nur in

der 32-bit internen Gleitkomma-Darstel-

lung des Neuronalen Netzes nieder.

Es geht aber um viel mehr als dieses

Beispiel. Es ist möglich ein beliebiges

korrekt erkanntes Bild auf die gleiche Art

als zugehörig zu einer beliebigen Klasse,

 © 2020  Industrie-KI GmbH, alle Rechte vorbehalten