Blog

Wie Sie ML-Angriffe erfolgreich abwehren

3 Min. Lesezeit

Lesen Sie hier, welche Massnahmen helfen, die Gefahr von Data-Poisoning-, Adversarial-Input- und Model-Privacy-Angriffen zu minimieren.

In unserem letzten Beitrag zu Machine Learning (ML) haben wir die drei gängigsten Angriffe vorgestellt: Data Poisoning, Adversarial Input und Model Privacy. Wir haben zudem gezeigt, warum die üblichen Sicherheitsmassnahmen nicht immer genügen, um diese Angriffe abzuwehren. «Und was kann ich dagegen tun?», werden Sie sich fragen. Wir verraten es Ihnen in den folgenden Abschnitten.

Die zwei wichtigsten Eckpfeiler

Es gibt zwei wichtige Eckpfeiler, um sich vor ML-Angriffen zu schützen: Der erste ist das Bewusstsein. Sind wir uns eines unbekannten Faktors bewusst, haben wir schon viel gewonnen. Softwareprojekte werden täglich komplexer und ML ist ein besonders spezialisiertes Gebiet. Aus diesem Grund darf nicht vom Security Team, das sich in der Regel bereits um Netzwerke und IAM kümmert, erwartet werden, dass es auch die besonderen Risiken von ML-Systemen unter Kontrolle hat. Für den effizienten Umgang mit ML-Risiken ist es entscheidend, die ML-Entwickler einzubeziehen. Denn als Experten wissen sie, wie das ML-System funktioniert. Wichtig ist zudem, dass alle Beteiligten über das notwendige Wissen verfügen.

Der zweite zentrale Punkt beim Schutz vor ML-Angriffen sind realistische Massnahmen. Gleich zu Beginn des Abenteuers Machine Learning ein «Red Team» zusammenzustellen, ist nicht empfehlenswert. Anstatt selbst einen Gegner zu simulieren, ist es sinnvoller, zunächst mit den relevanten Interessengruppen zusammenzuarbeiten, um etwaige Bedrohungen zu erkennen und gemeinsam an deren Beseitigung zu arbeiten. Das erhöht zudem die Sichtbarkeit des gesamten Teams.

Die folgenden Beispiele zeigen, dass schon einfache Massnahmen effizient sind und die Risiken deutlich mindern können. Die Kombination von Bewusstsein und einfachen, aber griffigen Massnahmen trägt dazu bei, dass das Thema Cybersecurity viel von seinem Schrecken verliert.

Mögliche Massnahmen gegen die drei gängigsten Angriffsszenarien

Schauen wir uns etwas genauer an, welche Massnahmen sich zur Abwehr der im letzten ML-Beitrag vorgestellten Angriffe eignen.

Data Poisoning

Bei Data-Poisoning-Angriffen, bei denen jemand versucht, falsche Daten bereitzustellen, damit das ML-Modell auf fehlerhafte Vorhersagen trainiert wird (Spam-Filter-Beispiel), löst sich das Problem grösstenteils dadurch, dass man den Nutzereingaben nicht blind vertraut. Der Ansatz kann variieren: Man verlässt sich zum Beispiel nur begrenzt auf das Feedback eines Nutzers oder zieht andere Infos bei, um die Vertrauenswürdigkeit des Inputs zu beurteilen. Dabei ist es wichtig, die Nutzung dieser Feedback-Mechanismen zu analysieren, um zu sehen, inwiefern die Daten die eigenen Erwartungen erfüllen, und vielleicht sogar Anomalie-Erkennung anzuwenden, um Veränderungen und eventuell Angriffsversuche zu entdecken.

Ein gesundes Mass an Skepsis sowie elementare Überwachungsgrundsätze und -Tools sind zwei einfache Massnahmen, die schon ausreichen können und keinen Einbezug von Experten erfordern.

Adversarial Inputs

Bei Adversarial-Input-Angriffen, bei denen neue Daten falsch klassifiziert werden sollen, gestaltet sich der Fall kniffliger. Doch auch hier gibt es Möglichkeiten, die Risiken zu mindern. Ein Angreifer benötigt unter Umständen mehrere Versuche, um Adversarial Input zu generieren. Hier helfen schon einfache Massnahmen: Prüfen Sie, wie viele Anfragen ein potenzieller Angreifer an Ihr Modell senden kann, um zu erkennen, wann etwas schiefläuft. Handelt es sich bei Ihrem Modell um eine Open-Source-Version oder ist es vortrainiert, wird es schwieriger, einen Adversarial-Input-Angriff abzuwehren. In diesen Fällen ist es wichtig zu ermitteln, welche Art von Fehlermodi (falsche Klassifizierungen) sich negativ auswirken können, und zu versuchen, diese potenziellen Bedrohungen gezielt zu entschärfen. Es gibt verschiedene Ansätze, um ein Modell robuster zu machen und die Schwierigkeit eines solchen Angriffs zu quantifizieren, z.B. durch Anreichern der Daten und Benchmarks für die Anfälligkeit des Modells.

Model Privacy

Bei Model-Privacy-Angriffen, bei denen Hacker versuchen, Informationen wie Trainingsdaten vom ML-Modell abzugreifen, verhält es sich ähnlich. Eine wichtige Empfehlung lautet hier, Zugangsrichtlinien einzuführen. Auf diese Weise können berechtigte Personen das Modell nutzen, ohne dass es ausgenutzt wird. Eine andere Abwehrmöglichkeit setzt bei der Art an, wie das Modell trainiert wird. Es gibt Ansätze zur Wahrung der Privacy, die helfen können, Ihr Modell und Ihre Daten zu schützen. Sie gehen aber meist zulasten der Genauigkeit.

Wissen + Kultur = stabile Cybersecurity

Da immer mehr Unternehmen ML nutzen, ist es entscheidend, die Nutzer für die Risiken zu sensibilisieren und gezielte Sicherheitsmassnahmen einzuführen, um das Risiko von Angriffen zu minimieren. Diese zweiteilige Artikelserie hat sich mit spezifischen Angriffstypen und Abwehrmöglichkeiten befasst. Es ist indes wichtig, sich bewusst zu sein, dass es für eine stabile Cybersecurity neben dem notwendigen Wissen auch die richtige Kultur braucht: eine Umgebung, in der mögliche Probleme erkannt und angepackt werden.

Die Gefahren mögen sehr vage sein oder gar nach Science Fiction klingen, sind jedoch sehr real. Mit einem gut vorbereiteten Team ist es relativ einfach, die Risiken zu erkennen und wie andere Gefahren zu entschärfen.

Wenn Sie vor solchen Herausforderungen stehen und die beschriebenen Szenarien auf Ihre Situation zutreffen, lassen Sie es uns wissen! Für Infos, die über die Einblicke und die Ideen hinausgehen, die dieser Blog hoffentlich vermittelt, sind wir jederzeit gerne für Sie da.

ML bei Adnovum

Mehr erfahren

Publiziert am 11 Feb 2022

Autor

Picture of Ireneu Pla
Ireneu Pla

Senior Data Engineer

icon