Modelle des Maschinellen Lernens sind bösartigen Angriffen von außen ausgesetzt, die Ergebnisse und Einschätzungen drastisch verfälschen – zum Schaden von Menschen in sicherheitskritischen Situationen. Abwehrstrategien gibt es bereits. Aber wir sieht es aus, wenn Quantencomputing mit ins Spiel kommt? Das Fraunhofer IKS hat mit Partnern erste Ansätze zur Gefahrenabwehr unter die Lupe genommen.
25. Juni 2025
© iStock/Rike
In einer immer stärker digitalisierten Welt nehmen die Bedenken hinsichtlich der Cybersicherheit zu. Und das Aufkommen von Systemen der Künstlichen Intelligenz (KI) bringt zusätzliche Herausforderungen mit sich, die über die typischen Sicherheitsbedenken hinausgehen. Während die Sicherheitsaspekte des klassischen Maschinellen Lernens (ML) ausgiebig untersucht wurden, verändern neue Technologien wie Quantencomputing (QC), die in der KI Einzug halten, die Sicherheitslandschaft der Algorithmen. Ein frühzeitiges Verständnis der potenziellen Bedrohungen und inhärenten Schutzmechanismen, die mit dieser Technologie verbunden sind, bringt uns der Entwicklung sicherer intelligenter Systeme von morgen näher.
Im Zusammenhang mit ML kann ein Cyberangriff verschiedene Ziele haben. Zum einen kann der Angreifer auf das Verhalten eines Modells abzielen, indem er die Eingabe auf verschiedene Weise manipuliert. Wenn die Eingabe gezielt so verändert wird, dass das Modell wie beabsichtigt eine falsche Vorhersage trifft, spricht man von einem gegnerischen (Umgehungs-)Angriff. Diese Art von Angriff nutzt die Schwachstellen im Entscheidungsprozess des Modells aus, was bei kritischen Anwendungen wie dem autonomen Fahren oder der medizinischen Diagnose regelmäßig zu schwerwiegenden Folgen führt. Wenn die Eingaben während der Entscheidungsfindung und insbesondere während des Trainings verfälscht werden, kann dies zu einer Verschlechterung der allgemeinen Leistung des Modells führen, was als Data-Poisoning-Angriff bezeichnet wird. Solche Angriffe können die Zuverlässigkeit von Systemen des Maschinellen Lernens erheblich beeinträchtigen und in Szenarien, in denen die Datenintegrität von entscheidender Bedeutung ist, besonders schädlich sein.
Ein weiterer möglicher Angriff zielt auf sensible oder geschützte Informationen des Modells oder seines Trainingsdatensatzes ab. In einer kürzlich erschienenen Veröffentlichung [1] haben Forschende von Google DeepMind beispielsweise die Möglichkeit aufgezeigt, Teilinformationen über den Trainingsdatensatz von ChatGPT zu extrahieren, was ein erhebliches Sicherheitsrisiko darstellt. Diese Art von Angriff gibt Anlass zur Sorge um die Vertraulichkeit der Daten, die beim Training von KI-Modellen verwendet werden, und unterstreicht die Notwendigkeit robuster Sicherheitsmaßnahmen zum Schutz sensibler Informationen.
Um diese Bedrohungen abzuschwächen, wurde in der Literatur eine Vielzahl von Möglichkeiten zum Schutz von ML-Modellen vorgeschlagen und in der Industrie weitgehend umgesetzt. Zu den Strategien gehört die Modifizierung des Trainingsdatensatzes, um die Robustheit gegen feindliche Angriffe (adversarial attacks) durch Techniken wie feindliches Training (adversarial training) zu verbessern, bei dem das Modell während des Trainingsprozesses feindlichen Beispieldaten ausgesetzt wird. Außerdem kann die Einführung von Rauschen in die Berechnungen dazu beitragen, den Datenschutz zu gewährleisten, eine Methode, die als differentieller Datenschutz bekannt ist. Darüber bieten formale Verifikationsmethoden Garantien für das Verhalten des Modells unter verschiedenen Bedingungen. Dieses Thema wurde bereits in einem früheren Beitrag [2] ausführlich erörtert, in dem die Bedeutung laufender Forschung und Entwicklung für die Absicherung von Systemen des Maschinellen Lernens gegen sich entwickelnde Cyber-Bedrohungen betont wurde.
Maschinellem Lernen wird ein erhebliches Potenzial für die frühzeitige Nutzung von Quantencomputing im industriellen Umfeld zugeschrieben. Die Integration von Quantencomputing (QC) und Maschinellem Lernen (ML) könnte verschiedene Branchen revolutionieren, indem sie eine schnellere Datenverarbeitung, effizientere Algorithmen und die Möglichkeit zur Lösung von Problemen bietet, die für klassische Computer derzeit unlösbar sind. Ein solides Verständnis der Sicherheitsaspekte, die sich an der Schnittstelle von QC und ML ergeben, muss jedoch erst noch entwickelt werden.
Im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und in Zusammenarbeit mit Adesso und Quantagonia hat sich das Fraunhofer-Institut für Kognitive Systeme IKS das ehrgeizige Ziel gesetzt, einen umfassenden Überblick über den Stand der Technik in Bezug auf potenzielle Schwachstellen und Abwehrstrategien von Quantum Machine Learning (QML) zu erstellen. Diese Arbeit umfasste einen ausführlichen Bericht »Security Aspects of Quantum Machine Learning (SecQML)« sowie ein wissenschaftliches Übersichtspapier [3], das auf der Konferenz IEEE Quantum Week 2024 in Montreal vorgestellt wurde.
Die Ergebnisse dieser Arbeit zeichnen ein überzeugendes Bild. Angriffsvektoren, die zuvor im klassischen ML untersucht wurden, haben im Kontext des Quantencomputers unterschiedliche Erfolge gezeigt. Unsere Experimente bestätigten frühere Erkenntnisse, dass feindliche Angriffe über den klassischen Fall hinaus wirksam bleiben. Klassische Verteidigungsstrategien, wie z. B. adversarial training, haben gezeigt, dass sie in der Lage sind, diese Angriffe bis zu einem gewissen Grad abzuwehren. Aufgrund der Skalierungseigenschaften des Quanten-Hilbert-Raums, in dem wir die QC-Berechnungen durchführen, ist jedoch davon auszugehen, dass das Quanten-ML-Modell mit zunehmender Größe immer anfälliger für Angriffe durch Angreifer wird. Die Forschung untersucht derzeit, wie sich diese Herausforderung entschärfen lässt.
Natürlich gibt es nicht nur schlechte Nachrichten. Es hat sich gezeigt, dass einige Eigenschaften von Quantencomputern die Widerstandsfähigkeit des Modells gegen klassische Angriffe erhöhen. So deuten verschiedene Studien darauf hin, dass die Kontrolle des Rauschens eines Quantengeräts während des Trainings zu einem höheren Maß an differentieller Privatsphäre führen und in einigen Fällen die Widerstandsfähigkeit gegenüber Angriffen erhöhen kann.
Neben der Untersuchung, welche Schwachstellen aus dem klassischen ML-Bereich fortbestehen, ist es von entscheidender Bedeutung, die neuen Schwachstellen und Angriffe zu analysieren, die durch den Einsatz von Quantencomputern entstehen, was der Schwerpunkt unserer im oben genannten Bericht veröffentlichten Experimente war. Mehrere Schlüsselbereiche haben wir identifiziert:
Die Zukunft der ML-Sicherheit hängt von einem tiefgreifenden Verständnis der Schwachstellen und der Wirksamkeit der Verteidigungsmethoden ab. QC bietet ein erhebliches Potenzial zur Verbesserung unserer KI-Fähigkeiten in naher Zukunft und kann sogar die Robustheit von ML-Modellen gegen klassische Angriffe stärken. Allerdings bringt sie auch bisher unbekannte Schwachstellen mit sich. Mit diesem Projekt haben das Fraunhofer IKS und seine Partner einen wesentlichen Beitrag zum eigenen Verständnis einer neuen Sicherheitslandschaft geleistet und den Aufbau sicherer und zuverlässiger Systeme einen Schritt näher gebracht.
[1] M. Nasr, N. Carlini, J. Hayase, M. Jagielski, A. F. Cooper, D. Ippolito, C. A. Choquette-Choo, E. Wallace, F. Tramèr and K. Lee, "Scalable Extraction of Training Data from (Production) Language Models," arXiv:2311.17035, 2023.
[2] N. Franco, "Formal Verification of Neural Networks with Quantum Computers," 12 2024. [Online]. Available: https://safe-intelligence.frau....
[3] N. Franco, A. Sakhnenko, L. Stolpmann, D. Thuerck, F. Petsch, A. Rüll and J. M. Lorenz, "Predominant Aspects on Security for Quantum Machine Learning," IEEE International Conference on Quantum Computing and Engineering (QCE), 2024.
Der genannte Bericht entstand im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und in Zusammenarbeit mit Adesso und Quantagonia.
