Sicherung der Daten



Während der Phase der Datenerfassung und -verarbeitung müssen Sie nicht nur Unmengen von Daten für ein KI-Modell sammeln, sondern auch vielen verschiedenen Personen, darunter Data Scientists, Ingenieuren, Entwicklern und anderen, Zugriff gewähren. Es besteht ein inhärentes Risiko, wenn all diese Daten an einem Ort zentralisiert werden und verschiedenen Stakeholdern, von denen die meisten keine Erfahrung im Bereich der Sicherheit haben, Zugriff darauf gewährt wird.

Denken Sie nur daran, dass geistiges Eigentum, das für das Unternehmen von grundlegender Bedeutung ist, durch eine falsche Handhabung der Trainingsdaten offengelegt wird und so eine potenzielle existenzielle Bedrohung für das Unternehmen darstellen kann. Die Nutzung großer Datenmengen für ein KI-Modell bedeutet, dass Unternehmen die unterschiedlichen Risiken im Zusammenhang mit personenbezogenen Daten, Datenschutzbedenken und anderen sensiblen Informationen bewerten und dann die entsprechenden Sicherheitskontrollen für diese Daten einrichten müssen.

Schutzmaßnahmen und Abwehrmaßnahmen gegen die wahrscheinlichsten Angriffe

Das Hauptziel in der Datenerfassungsphase sind die zugrunde liegenden Datensätze, wobei die Datenexfiltration als die wahrscheinlichste Technik gilt, die Angreifer zur Erbeutung von wertvollen und verwertbaren Informationen anwenden werden. Da Angreifer den Weg des geringsten Widerstands suchen, sind zugrunde liegende Datensätze wie ein Leuchtfeuer, das eine hohe Ausbeute verspricht.

Unternehmen dürfen die Bedeutung von Sicherheitsgrundlagen nicht übersehen – sie sollten vielmehr priorisiert werden. Bei richtiger Anwendung können diese Grundlagen einen erheblichen Einfluss auf die Sicherheitslage eines Unternehmens haben. Dazu gehört die Konzentration auf Datenerkennung und -klassifizierung, Verschlüsselung im Ruhezustand und bei der Übertragung sowie Schlüsselverwaltung, die von Datensicherheitsplattformen wie IBM® Security Guardium bereitgestellt wird. Dies bedeutet auch, dass man sich auf die Grundlagen des Identity und Access Management (IAM) konzentriert, die durch Lösungen wie IBM® Security Verify durchgesetzt werden und die sicherstellen, dass keine einzelne Entität uneingeschränkten Zugriff auf das KI-Modell hat. Schließlich müssen Unternehmen das Sicherheitsbewusstsein bei Data Scientists und Forschern schärfen und sicherstellen, dass die Sicherheitsteams eng mit diesen Teams zusammenarbeiten, um angemessene Schutzmaßnahmen zu gewährleisten.

Sicherung des Modells

Bei der Modellentwicklung werden Anwendungen auf eine neue Art und Weise erstellt. Dabei werden häufig neue, ausnutzbare Schwachstellen geschaffen, die Angreifern als Einstiegspunkte in die Umgebung und damit in Ihre KI-Modelle dienen können. Da Unternehmen in der Vergangenheit mit der Verwaltung einer wachsenden Zahl bekannter Schwachstellen in ihren Umgebungen zu kämpfen hatten, wird sich dieses Risiko auch auf die KI übertragen.

Die Entwicklung von KI-Anwendungen beginnt oft damit, dass Data-Science-Teams vortrainierte Open-Source-Modelle für maschinelles Lernen (ML) aus Modell-Repositories im Internet, die oft keine umfassenden Sicherheitskontrollen bieten, für ihre Zwecke umfunktionieren. Der Nutzen, den sie Organisationen bieten, wie z. B. die drastische Reduzierung des Zeit- und Arbeitsaufwands für die Einführung generativer KI, überwiegt jedoch oft dieses Risiko, das letztlich auf das Unternehmen verlagert wird. Die allgemeine Sicherheitslücke bei ML-Modellen in Verbindung mit den zunehmend sensiblen Daten, denen ML-Modelle ausgesetzt sind, bedeutet, dass Angriffe auf diese Modelle ein hohes Schadenspotenzial haben.

Schutzmaßnahmen und Abwehrmaßnahmen gegen die wahrscheinlichsten Angriffe

Die primären Angriffstechniken bei der Modellentwicklung sind Angriffe auf die Lieferkette, da man sich stark auf vorab trainierte Open Source ML-Modelle aus online verfügbaren Modell-Repositories verlässt, um die Entwicklungsarbeit zu beschleunigen. Angreifer haben denselben Zugriff auf diese Repositories und können eine Backdoor oder Malware in ihnen platzieren. Sobald sie in das Repository hochgeladen wurden, können sie für jeden, der das infizierte Modell herunterlädt, zu einem Einstiegspunkt werden. Wenn diese Modelle infiziert sind, kann es unglaublich schwierig sein, dies zu erkennen. Unternehmen müssen sehr vorsichtig sein, wo sie Modelle verwenden und wie vertrauenswürdig die Quelle ist.

Angriffe auf die Programmierschnittstelle (API) sind ein weiteres Problem. Unternehmen, die nicht über die Ressourcen oder das Fachwissen verfügen, um ihre eigenen großen Sprachmodelle (Large Language Models, LLM) zu erstellen, verlassen sich auf APIs, um die Funktionen vorgefertigter, vorab trainierter Modelle zu nutzen. Angreifer erkennen, dass dies ein wichtiges Nutzungsmodell für LLMs sein wird, und versuchen, die API-Schnittstellen anzugreifen, um die über die APIs transportierten Daten abzugreifen und für ihre Zwecke zu nutzen.

Angreifer können auch versuchen, LLM-Agenten oder Plug-ins mit übermäßigen Berechtigungen für den Zugriff auf offene Funktionen oder nachgeschaltete Systeme auszunutzen, die privilegierte Aktionen in Geschäftsabläufen ausführen können. Wenn es einem Angreifer gelingt, die Privilegien von KI-Agenten zu kompromittieren, kann dies verheerende Folgen haben.

Vor diesem Hintergrund sollten folgende Punkte im Fokus der Unternehmen stehen:

Kontinuierliche Suche nach Schwachstellen, Malware und Beschädigungen in der gesamten KI/ML-Pipeline

Ermittlung und Absicherung von API- und Plug-in-Integrationen mit Drittanbieter-Modellen

Konfiguration von Durchsetzungsrichtlinien, Kontrollen und RBAC für ML-Modelle, Artefakte und Datensätze, sodass weder Personen noch Geräte Zugriff auf alle Daten oder alle Modellfunktionen haben

Sicherung der Nutzung

Während der Inferenz und der Live-Nutzung können Angreifer Eingabeaufforderungen manipulieren, um Schutzmaßnahmen zu umgehen und Modelle zu Fehlverhalten zu verleiten, indem sie unzulässige Antworten auf schädliche Eingabeaufforderungen generieren, die voreingenommene, falsche und andere toxische Informationen enthalten. Dies kann zu einem Reputationsschaden für das Unternehmen führen. Angreifer könnten auch die Manipulation des Modells anstreben und Eingabe-/Ausgabepaare analysieren, um ein Ersatzmodell zu trainieren, welches das Verhalten des Zielmodells nachahmt. Auf diese Weise würden sie dessen Fähigkeiten „stehlen“, was dem jeweiligen Unternehmen wiederum seinen Wettbewerbsvorteil kosten würde.

Schutzmaßnahmen und Abwehrmaßnahmen gegen die wahrscheinlichsten Angriffe

In dieser Phase der KI-Pipeline sind mehrere Arten von Angriffen besorgniserregend. Erstens: Prompt Injections – dabei verwenden Angreifer böswillige Prompts, um Jailbreaks bei Modellen zu verursachen und sich unbefugten Zugriff zu verschaffen, vertrauliche Daten zu stehlen oder die Ergebnisse zu verzerren. Ein weiteres Problem ist der Denial-of-Service für das Modell, bei dem Angreifer das LLM mit Eingaben überlasten, die die Servicequalität beeinträchtigen und hohe Ressourcenkosten verursachen. Unternehmen sollten sich auch auf Modelldiebstahl vorbereiten und sich dagegen schützen. Hierbei erstellen Angreifer Eingaben, um Modellausgaben zu sammeln und ein Ersatzmodell zu trainieren, welches das Verhalten des Zielmodells nachahmt.

Zu unseren Best Practices gehören die Überwachung auf böswillige Eingaben wie Prompt Injections und Ausgaben, die sensible Daten oder unangemessene Inhalte enthalten, sowie die Implementierung neuer Abwehrmaßnahmen, die KI-spezifische Angriffe wie Datenvergiftung, Modellumgehung und Modellextraktion erkennen und darauf reagieren können. Unter dem Namen „Machine Learning Detection and Response“ (MLDR) sind neue KI-spezifische Lösungen auf den Markt gekommen. Die von diesen Lösungen generierten Warnmeldungen können in Security-Operations-Lösungen wie IBM® Security QRadar integriert werden, sodass SOC-Teams (Security Operations Center) schnell reaktive Playbooks einleiten können, die den Zugriff verweigern, kompromittierte Modelle unter Quarantäne stellen oder die Verbindung trennen.

Sicherung der Infrastruktur

Eine der ersten Verteidigungslinien ist eine sichere Infrastruktur. Unternehmen sollten vorhandenes Fachwissen nutzen, um die Sicherheits-, Datenschutz- und Compliance-Standards in verteilten Umgebungen, in denen KI-Systeme gehostet werden, zu optimieren. Es ist unerlässlich, dass sie die Netzwerksicherheit, die Zugangskontrolle, die Datenverschlüsselung sowie die Erkennung und Verhinderung von Eindringlingen in KI-Umgebungen verstärken. Sie sollten auch die Investition in neue Sicherheitsmaßnahmen in Betracht ziehen, die speziell für den Schutz von KI entwickelt wurden.

Etablierung von Governance

IBM bietet nicht nur Sicherheit für KI, sondern auch operative Governance für KI. IBM ist branchenführend in der KI-Governance, um vertrauenswürdige KI-Modelle zu erreichen. Wenn Unternehmen operative Geschäftsprozesse an KI auslagern, müssen sie sicherstellen, dass das KI-System nicht abweicht und wie erwartet funktioniert. Dies macht operative Leitplanken zu einem zentralen Bestandteil einer effektiven KI-Strategie. Ein Modell, das in der Praxis von dem abweicht, wofür es entwickelt wurde, kann das gleiche Risiko bergen wie ein Angreifer, der Ihre Infrastruktur kompromittiert hat.