peshkova - stock.adobe.com
KI-Modell-Diebstahl: Risiko und Schadensbegrenzung
Firmen investieren Ressourcen in die Entwicklung und das Training eigener KI-Modelle. Und auf dieses oft unzureichend geschützte geistige Eigentum haben es Kriminelle abgesehen.
Künstliche Intelligenz kann in vielen Bereichen für erhebliche Veränderungen sorgen und ihr Potenzial treibt massive Investitionen an. Und diese müssen genauso gut geschützt werden, wie in anderen Bereichen auch. Allerdings steht Sicherheit beim Thema KI häufig nicht von Anfang an ganz oben auf der Prioritätenliste.
Unternehmen sind jedoch nicht die einzigen, die in der KI ihre nächste Einnahmequelle sehen. Wenn große Investitionen stattfinden, sind auch meist Naturen mit weniger redlichen Absichten nicht fern. Selbst während Unternehmen sich mit der Entwicklung eigener KI-Systeme beeilen, finden Bedrohungsakteure bereits Wege, sie und die von ihnen verarbeiteten sensiblen Daten zu stehlen. Untersuchungen deuten darauf hin, dass es auf der defensiven Seite an entsprechender Vorbereitung mangelt. Eine Umfrage des KI-Sicherheitsanbieter Hidden Layer aus dem Jahr 2024 unter 150 IT-Fachleuten ergab, dass zwar 97 Prozent der Befragten angaben, dass ihr Unternehmen sich mit KI-Sicherheit beschäftigt, aber nur 20 Prozent konkret dem Thema Modelldiebstahl (AI Model Theft) Priorität einräumen.
Was ist KI-Modelldiebstahl?
Ein KI-Modell ist eine Computersoftware, die auf einen Datensatz trainiert wurde, um Beziehungen und Muster zwischen neuen Eingaben zu erkennen und diese Informationen zu bewerten, um Schlussfolgerungen zu ziehen oder Maßnahmen zu ergreifen. Als grundlegende Elemente von KI-Systemen verwenden KI-Modelle Algorithmen, um Entscheidungen zu treffen und Aufgaben ohne menschliche Anweisung in Gang zu setzen.
Da die Erstellung und das Training proprietärer KI-Modelle teuer und zeitaufwendig sind, besteht eine der größten Bedrohungen für Unternehmen im Diebstahl der Modelle selbst. Der Diebstahl von KI-Modellen ist der unerlaubte Zugriff, die Vervielfältigung oder das Reverse-Engineering dieser Programme. Wenn Bedrohungsakteure die Parameter und die Architektur eines Modells erfassen können, können sie sowohl eine Kopie des Originalmodells für ihre eigene Verwendung erstellen als auch wertvolle Daten extrahieren, die zum Trainieren des Modells verwendet wurden.
Die möglichen Folgen des Diebstahls von KI-Modellen sind erheblich. Betrachten Sie die folgenden Szenarien:
- Verlust von geistigem Eigentum. Proprietäre KI-Modelle und die von ihnen verarbeiteten Informationen sind äußerst wertvolles geistiges Eigentum. Der Verlust eines KI-Modells durch Diebstahl könnte die Wettbewerbsposition eines Unternehmens beeinträchtigen und seine langfristigen Umsatzaussichten gefährden.
- Verlust vertraulicher Daten. Cyberkriminelle könnten sich Zugang zu sensiblen oder vertraulichen Daten verschaffen, die zum Trainieren eines gestohlenen Modells verwendet wurden, und diese Informationen wiederum nutzen, um in andere Vermögenswerte des Unternehmens einzudringen. Datendiebstahl kann zu finanziellen Verlusten, geschädigtem Kundenvertrauen und Bußgeldern führen.
- Erstellung schädlicher Inhalte. Böswillige Akteure könnten ein gestohlenes KI-Modell verwenden, um bösartige Inhalte wie Deepfakes, Malware und Phishing zu erstellen.
- Schädigung des Rufs. Ein Unternehmen, das es versäumt, seine KI-Systeme und sensiblen Daten zu schützen, riskiert einen ernsten und lang anhaltenden Imageschaden.
Angriffsarten des KI-Modelldiebstahls
Die Begriffe KI-Modell-Diebstahl und Modellextraktion sind austauschbar. Bei der Modellextraktion verwenden böswillige Hacker abfragebasierte Angriffe, um ein KI-System systematisch mit Prompts abzufragen, die darauf abzielen, Informationen über die Architektur und die Parameter des Modells herauszufinden. Bei Erfolg können Angriffe zur Modellextraktion ein Schattenmodell erstellen, indem sie das Original per Reverse-Engineering angehen. Ein Modellumkehrangriff (Model Inversion Atack) ist eine verwandte Art des abfragebasierten Angriffs, der speziell darauf abzielt, die Daten zu erhalten, die ein Unternehmen zum Trainieren seines proprietären KI-Modells verwendet hat.
Eine zweite Art des Diebstahls von KI-Modellen, das so genannte Modell-Republishing, besteht darin, dass böswillige Hacker ohne Genehmigung eine direkte Kopie eines öffentlich veröffentlichten oder gestohlenen KI-Modells erstellen. Sie könnten es umtrainieren - in einigen Fällen so, dass es sich böswillig verhält -, um es besser an ihre Bedürfnisse anzupassen.
In ihrem Bestreben, ein KI-Modell zu stehlen, könnten Cyberkriminelle Techniken wie Seitenkanalangriffe einsetzen, die die Systemaktivität, einschließlich Ausführungszeit, Stromverbrauch und Schallwellen, verfolgen, um den Funktionsweise eines KI-Systems besser zu verstehen.
Schließlich können klassische Cyberbedrohungen - wie böswillige Insider und die Ausnutzung von Fehlkonfigurationen oder ungepatchter Software - KI-Modelle indirekt für Bedrohungsakteure angreifbar machen.
Dem Diebstahl von KI-Modellen entgegenwirken
Um den Diebstahl von KI-Modellen zu verhindern und abzuschwächen, empfiehlt OWASP unter anderem Implementierung von Sicherheitsmechanismen:
- Zugriffskontrolle. Führen Sie strenge Zugriffskontrollmaßnahmen ein, zum Beispiel Multifaktor-Authentifizierung (MFA).
- Backups. Sichern Sie das Modell, einschließlich seines Codes und seiner Trainingsdaten, für den Fall, dass es gestohlen wird.
- Verschlüsselung. Verschlüsseln Sie den Code des KI-Modells, die Trainingsdaten und vertrauliche Informationen.
- Rechtlicher Schutz. Wenn es bei dem betreffenden Modell die Möglichkeit gibt, gilt es etwaige Schutzrechte abzuklären, um in Zweifel beim Rechtsweg eine Grundlage zu haben.
- Modellverschleierung. Verschlüsseln Sie den Code des Modells, um es böswilligen Hackern zu erschweren, ihn mit abfragebasierten Angriffen zurückzuentwickeln.
- Überwachung. Überwachen und prüfen Sie die Aktivitäten des Modells, um mögliche Einbruchsversuche zu erkennen, bevor es zu einem vollwertigen Diebstahl kommt.
- Wasserzeichen. Markieren Sie den Code des KI-Modells und die Trainingsdaten mit Wasserzeichen, um die Wahrscheinlichkeit zu erhöhen, Diebe aufzuspüren.
