Sicherheitslücken von KI in autonomen Fahrzeugen

Die KI-Systeme eines autonomen Fahrzeugs sind ununterbrochen damit beschäftigt, Verkehrsschilder und Fahrbahnmarkierungen zu erkennen, Fahrzeuge zu erfassen, ihre Geschwindigkeit abzuschätzen und den weiteren Weg zu planen. Neben unbeabsichtigten Bedrohungen, wie etwa plötzlichen Fehlfunktionen, sind diese Systeme anfällig für vorsätzliche Angriffe, die gezielt in das KI-System eingreifen und sich gegen sicherheitskritische Funktionen richten.

Beispiele für solche Angriffe sind das Bemalen des Straßenbelags, um die Navigation fehlzuleiten, oder Aufkleber auf einem Stoppschild, um die Erkennung zu verhindern. Solche Veränderungen können dazu führen, dass das KI-System Objekte falsch einordnet und sich das autonome Fahrzeug in der Folge gefahrenträchtig verhält.

Der Bericht gibt verschiedene Empfehlungen, welche die KI-Sicherheit in autonomen Fahrzeugen verbessern sollen. Eine davon ist, dass über den gesamten Lebenszyklus von KI-Komponenten hinweg regelmäßig Sicherheitsbewertungen durchgeführt werden. Diese systematische Überprüfung von KI-Modellen und -Daten ist unerlässlich, um sicherzustellen, dass sich das Fahrzeug in unerwarteten Situationen oder bei bösartigen Angriffen dennoch korrekt verhält.
Eine weitere Empfehlung ist, kontinuierliche, von Threat Intelligence unterstützte Risikobewertungen durchzuführen, um potenzielle KI-Risiken zu identifizieren sowie aufkommende Bedrohungen im Zusammenhang mit der Integration von KI in das autonome Fahren zu erkennen. Geeignete KI-Sicherheitsrichtlinien und eine KI-Sicherheitskultur sollten die gesamte Automotive-Lieferkette bestimmen.
Die Automotive-Industrie sollte bei der Entwicklung und dem Einsatz von KI-Funktionalitäten einen Security-by-Design-Ansatz verfolgen, bei dem Cybersicherheit von Anfang an zum zentralen Element des digitalen Designs wird. (…)“

Dazu ein Kommentar von Gunnar Braun, Technical Account Manager bei Synopsys:
„Der ENISA-Bericht beleuchtet einen interessanten Aspekt der Sicherheit von autonomen Fahrzeugen (AF). Bisher drehte sich die Diskussion zur Sicherheit von AF meistens um das Thema „sich Zugriff auf das Fahrzeug zu verschaffen“. Ganz im klassischen Sinne der IT-Sicherheit, zum Beispiel durch das Abfangen von (Remote-)Kommunikation. Bei den im Bericht beschriebenen Angriffsvektoren geht es aber darum, das „Gehirn“ des autonomen Fahrzeugs absichtlich zu täuschen. Und diese Art von Angriffen betrifft eine große Bandbreite von Bedrohungen mit potenziell schwerwiegenden Folgen für die Sicherheit.

Computer zu täuschen ist nicht schwierig, und genauso leicht kann man Menschen täuschen.
Man muss nur wissen, welche Sensoren vorhanden sind (Kameras, LiDAR, Augen, Ohren) und wie diese Sensoren einen Input verarbeiten. Ein perfektes Beispiel sind optische Täuschungen. Erinnern Sie sich an Stereogramme? Sie “hacken” quasi den Prozess, wie das Gehirn den Input von Ihrem linken und rechten Auge überlagert, um ein 3D-Bild zu erzeugen. Auf Computerebene lassen sich biometrische Authentifizierungssysteme austricksen, indem man ihnen beispielsweise ein Bild anstelle einer lebendigen Person präsentiert. Im militärischen Bereich werden Leuchtraketen (engl. Flare) verwendet, um wärmesuchenden Raketen auf ein falsches Ziel zu lenken.

Es ist schier unmöglich, gegen jeden dieser Angriffe resistent zu sein. Aber man kann Verteidigungsmaßnahmen entwickeln oder die Angriffe entschärfen, wenn man A) die Bedrohungen und B) die Sicherheitslücken des Systems kennt und versteht. Wie der Bericht erläutert, sind beispielsweise Störsignale eine erhebliche Schwachstelle eines Computer-Vision-Systems. Während winzige Störsignale im Bild vom Menschen gar nicht erkannt werden, führen sie bei ML-Modellen jedoch zu Fehlklassifizierungen mit hohen Erkennungswahrscheinlichkeiten. Wenn Sie allerdings sowohl die Bedrohung als auch die Schwachstelle kennen, lässt sich das Problem angehen.

Das wahrscheinlich wichtigste Tool, um autonome Fahrzeuge zu sichern, ist die kontinuierliche Entwicklung und Aktualisierung der zugrunde liegenden Bedrohungsmodelle. Nur wenn man die Angriffsvektoren kennt, kann man das System auch dagegen absichern. Aber wie eigentlich?

Wenn wir hier wieder den Vergleich mit unseren menschlichen Sinnen und der verarbeitenden Instanz des Gehirns heranziehen, könnte eine Antwort lauten: bessere Sensoren und mehr Sensoren. Unsere biologischen Sensoren sind ziemlich hoch entwickelt, und wir verarbeiten und korrelieren den Input von mehreren Sensoren für ein und dasselbe Ereignis.

Das Problem im Automotive-Bereich ist allerdings, dass die Automobilhersteller aufgrund der Kostensensibilität versuchen, bei den Komponenten zu sparen. Angesichts des Absatzvolumens zählt jeder Cent. Das Konzept ist: billige Sensoren verwenden und den Verlust an Sensorgenauigkeit durch intelligentere Software kompensieren. Dieser Balanceakt macht die Sicherheit im Automotive-Sektor so besonders schwierig.“



Categories: Digital Services, Neue Antriebe

Tags: , , ,

Translate »