Interview mit Prof. Dr. Ahmad-Reza Sadeghi, Leiter System Security Lab an der TU Darmstadt und Mitglied der Plattform Lernende Systeme.
THE DECODER: Herr Sadeghi, KI-Systeme und speziell Deep Learning haben in den letzten Jahren enorme Fortschritte erzielt. Stellt das neue Herausforderungen an die IT-Security?
Prof. Dr. Ahmad-Reza Sadeghi: Ja. Algorithmen oder KI-basierte Systeme sind fragil aus der Sicht der Sicherheit, da sie sehr datenabhängig sind. Man kann sie leicht und insbesondere verdeckt manipulieren. Je fortgeschrittener die Systeme werden, desto fortschrittlicher sind auch die Angriffe.
Kürzlich haben Sie eine Arbeit der Plattform Lernende Systeme zum Thema verteiltes maschinelles Lernen vorgestellt. Hier werden vornehmlich die Trainingsdaten und deren Verarbeitung dezentralisiert. Verbessert das die Sicherheit von KI-Systemen?
Verteiltes maschinelles Lernen verbessert unter anderem die Privatsphäre, etwa im medizinischen Kontext. Krankenhäuser teilen keine medizinischen Daten untereinander, können aber über verteiltes maschinelles Lernen mit ihren Daten dennoch die gleichen Systeme trainieren und so zusammenarbeiten.
Aber wenn Daten und KI-Modelle über mehr Systeme verteilt werden, existieren auch mehr Angriffspunkte?
Absolut. Einzelne Rechner könnten unter Kontrolle gebracht werden, per Software oder weil etwa Personen in einer Institution mit den Angreifern kollaborieren. Wenn das geschieht, kann das Gesamtmodell manipuliert werden. Dann spricht man von sogenanntem Data und/oder Model Poisoning.
Neue Wege für KI-Sicherheit
Haben Sie den Eindruck, dass Thema Sicherheit und etwa Privacy by Design in den Köpfen der Entwickler:innen schon ausreichend verankert sind?
Es ist ein Thema, aber die Herausforderung ist, dass man durch Sicherheitsmaßnahmen die Performance der Modelle nicht einschränken will. Hinzu kommt, dass gängige IT-Sicherheitssysteme nicht ohne Weiteres auf KI-Systeme übertragen werden können.
Man muss neue Wege gehen, um KI-Algorithmen zu sichern. Ich habe mich in meiner Forschung auch stark mit angewandter Kryptografie beschäftigt, also dem Rechnen mit verschlüsselten Daten. Die rein kryptografischen Lösungen sind noch nicht skalierbar, gerade bei riesigen KI-Modellen mit teils Milliarden Parametern. Also werden derzeit auch algorithmische Verbesserungen sowie Hardware-basierte Lösungen für KI-Sicherheit erforscht. Ein weiteres interessantes Feld ist der Einsatz von KI für sicherheitskritische Systeme, also Algorithmen, die vor Angriffen schützen.
Birgt unsichere KI größere Sicherheitsrisiken als herkömmliche unsichere Software?
Das denke ich, ja, weil Manipulation noch verdeckter stattfinden kann. Ich denke da beispielsweise an die Finanzmärkte oder den medizinischen Bereich. Das größte Risiko ist unser Anwendungsverhalten: Wenn KI-Systeme eines Tages wirklich weite Teile unseres Alltags automatisieren und Entscheidungen für uns treffen, ist auch unsere Abhängigkeit von diesen Systemen viel größer. Also können auch potenzielle Angreifer viel größeren Schaden anrichten.
Cybersecurity im KI-Zeitalter ist mehr als unsichere Rechner
Müssen wir das Feld Sicherheit im KI-Kontext größer denken?
Viel größer, ja. Wir müssen gesellschaftliche Aspekte stärker einbeziehen und eine ideologisch-philosophische Sicht einnehmen. Was ist die effektivste KI in dieser Zeit? Das sind die Empfehlungsalgorithmen von Facebook, Twitter, Google. Das sind die Echo-Kammern, die unsere Gesellschaften verändern.
Ich sorge mich nicht vor Terminatoren, sondern vor den schleichenden Auswirkungen sozialer Medien auf demokratische Länder. Es gibt Schätzungen, dass die Hälfte der US-Amerikaner nicht mehr an ihr Wahlsystem glauben. Wahl ist ohnehin Betrug. Soziale Medien spielen dabei eine Rolle. Wer kann besser experimentieren als Facebook, Twitter und Google? Die verwenden die besten Algorithmen, die es gibt, um zu klassifizieren. Und sie haben Zugriff auf Milliarden von Datensätzen.
Das klingt wie ein Appell gerade an den Nachwuchs, bewusste Entscheidungen zu treffen, welche Auswirkungen die eigene Arbeit auf die Gesellschaft hat?
Ja, das finde ich essenziell. Große Tech-Konzerne machen sehr attraktive Angebote. Aber es gibt Faktoren neben Geld und Status, die man bei seiner beruflichen Zukunft berücksichtigen muss. Wir benötigen überall gute Leute und es existieren viele positive Anwendungsszenarien für Künstliche Intelligenz, gerade im Bereich der Sicherheit.
Hier gibt es einen weiteren wichtigen Aspekt: Deutschland und Europa müssen sich im KI-Wettrennen besser positionieren. Wir müssen Nischen finden, in denen wir stark sind verglichen mit den großen US-Tech-Konzernen, und diese Nischen müssen von der Wirtschaftspolitik gefördert werden.
