Secure human oversight of AI: Threat modeling in a socio-technical context

Der Artikel führt eine Sicherheitsperspektive auf die menschliche Aufsicht über KI ein, modelliert diese als IT-Anwendung zur systematischen Bedrohungsanalyse und bietet damit Leitlinien sowie Abwehrstrategien, um neue Angriffsvektoren in diesem sozio-technischen Kontext zu identifizieren und zu minimieren.

Das Wesentliche

Das Sicherheits-Problem des „Menschen im Kontrollturm"

Stell dir vor, wir bauen einen riesigen, hochmodernen Zug, der von einer künstlichen Intelligenz (KI) gesteuert wird. Dieser Zug fährt durch kritische Bereiche wie Krankenhäuser oder Stromnetze. Damit nichts schiefgeht, gibt es einen menschlichen Aufsichtsposten (den „Human Oversight"). Dieser Mensch sitzt in einem Kontrollturm, schaut auf die Bildschirme und kann im Notfall den Notbremshebel ziehen oder eingreifen, wenn die KI einen Fehler macht.

Bisher haben alle Forscher und Politiker nur darüber diskutiert: „Ist dieser Mensch gut genug? Versteht er die KI? Hat er genug Macht, um zu bremsen?"

Das neue Papier sagt aber: Wir haben etwas Wichtiges übersehen! Wir haben den Kontrollturm selbst nicht abgesichert. Wenn ein Hacker den Kontrollturm kaputt macht, ist der ganze Zug in Gefahr – egal wie gut der Mensch eigentlich ist.

Hier ist die Idee des Papers in drei einfachen Schritten:

1. Der Kontrollturm ist auch ein Computer (und damit angreifbar)

Der Aufsichtsmensch nutzt Software, Bildschirme und Netzwerke, um die KI zu beobachten. Das Paper nennt das „Human Oversight IT-System".

• Die Metapher: Stell dir vor, der Aufsichtsmensch hat ein Handy, um die KI zu steuern. Wenn jemand dieses Handy hackt, kann er dem Menschen vor dem Bildschirm eine falsche Nachricht schicken („Alles okay, fahr weiter!") oder ihm das Handy klauen.
• Das Problem: Bisher dachten wir, der Mensch sei der sicherste Teil. Aber wenn die Technik, die er benutzt, unsicher ist, wird der Mensch zum schwächsten Glied der Kette. Hacker können jetzt nicht nur die KI angreifen, sondern auch den Menschen, der sie überwacht.

2. Wie Hacker den Kontrollturm angreifen (Die „Waffen")

Die Autoren haben eine Checkliste erstellt, wie Bösewichte diesen neuen Kontrollturm angreifen könnten. Sie nutzen dafür eine bekannte Methode aus der IT-Sicherheit (genannt STRIDE), die sie auf den Menschen angewendet haben:

• Verkleidung (Spoofing): Ein Hacker gibt sich als der Aufsichtsmensch aus. Er loggt sich mit gestohlenen Passwörtern ein und tut so, als wäre er der Chef. Die KI denkt: „Alles klar, der Chef gibt den Befehl."
• Manipulation (Tampering): Ein Hacker schickt dem Aufsichtsmann falsche Daten. Statt zu sehen, dass die KI einen Fehler macht, sieht er auf dem Bildschirm: „Alles perfekt." Er greift also nicht ein, obwohl er es müsste.
• Lügen (Repudiation): Ein Hacker zwingt den Aufsichtsmann (durch Erpressung oder Bestechung), die KI zu sabotieren. Wenn der Hacker später gefragt wird: „Wer hat das getan?", sagt der Mensch: „Ich war das nicht, ich habe nur gehorcht." Oder der Hacker löscht die Protokolle, damit niemand merkt, was passiert ist.
• Spionieren (Information Disclosure): Der Hacker stiehlt die Geheimnisse des Systems. Er sieht, wie der Aufsichtsmann denkt und was er plant.
• Lähmung (Denial of Service): Der Hacker flutet das Netzwerk mit Müll-Daten. Der Aufsichtsmann sieht plötzlich gar nichts mehr auf seinen Bildschirmen. Er kann nicht eingreifen, weil er „blind" ist.
• Aufsteigen (Elevation of Privilege): Ein Hacker nutzt einen Fehler, um mehr Rechte zu bekommen. Plötzlich hat die KI oder der Hacker mehr Macht als der Aufsichtsmann und kann dessen Befehle ignorieren.

3. Wie man den Kontrollturm „härter" macht (Die Lösungen)

Das Paper schlägt vor, wie man diesen neuen „Angriffsvektor" (den Weg für Hacker) absichert. Es ist wie beim Hausbau: Du musst nicht nur die Tür zum Haus (die KI) sichern, sondern auch das Wachhaus (den Aufsichtsmann).

• Ein Alarmsystem (Intrusion Detection): Installiere Kameras und Sensoren im Kontrollturm. Wenn jemand versucht, sich zu verkleiden oder Daten zu stehlen, muss sofort Alarm schlagen.
• Verschlüsselung (Encryption): Sende alle Nachrichten zwischen dem Menschen und der KI in einem verschlossenen, unknackbaren Panzerwagen. Niemand darf sie unterwegs öffnen können.
• Netzwerk-Management: Baue Schutzwälle, damit der Kontrollturm nicht durch zu viele Anfragen (DDoS-Angriffe) lahmgelegt wird.
• Transparenz: Sei offen über die Technik. Wenn alle wissen, wie das System funktioniert, ist es schwerer, versteckte Fallen zu bauen.
• Training für die Wachen: Das ist der wichtigste Punkt! Der Aufsichtsmann muss geschult werden. Er muss lernen, Phishing-Mails zu erkennen, nicht auf Erpressung hereinzufallen und zu wissen, wann er misstrauisch werden muss. Ein gut trainierter Mensch ist die beste Firewall.
• Rote Teams (Red Teaming): Bevor das System live geht, lass eine Gruppe von „guten Hackern" versuchen, das System zu knacken. So findest du die Löcher, bevor die bösen Hacker sie finden.

Das Fazit in einem Satz

Wir bauen riesige KI-Systeme und setzen Menschen als Sicherheitsventil ein. Aber wenn wir die Technik, die diese Menschen benutzen, nicht genauso gut schützen wie die KI selbst, dann ist das Sicherheitsventil nur eine leere Hülle. Sichere KI braucht einen sicheren Menschen – und dafür muss auch der Mensch vor Hackerangriffen geschützt werden.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Secure Human Oversight of AI: Threat Modeling in a Socio-Technical Context" auf Deutsch:

1. Problemstellung

Die menschliche Aufsicht über KI-Systeme (Human Oversight) wird zunehmend als zentrale Sicherheitsmaßnahme in hochriskanten Anwendungsbereichen (z. B. kritische Infrastruktur, Medizin, öffentliche Verwaltung) gefordert und ist ein Kernbestandteil neuer Regulierungen wie des EU-KI-Gesetzes. Bisherige Forschung konzentrierte sich fast ausschließlich auf die Effektivität der Aufsicht (z. B. Erkennung von Fehlern, Eingriffsmöglichkeiten).

Das Paper identifiziert jedoch eine kritische Lücke: Die Sicherheit der menschlichen Aufsicht selbst wurde bisher kaum untersucht. Da die Aufsicht als Teil der Sicherheits- und Verantwortlichkeitsarchitektur von KI-Systemen implementiert wird, stellt sie eine neue Angriffsfläche (Attack Surface) dar. Wenn Angreifer die Aufsicht kompromittieren, können sie die Sicherheit der gesamten KI-Operation untergraben, Risiken verschleiern oder die Aufsicht vollständig umgehen. Das Ziel des Papers ist es, diese Sicherheitslücken systematisch zu modellieren und Abwehrstrategien zu entwickeln.

2. Methodik: Threat Modeling im soziotechnischen Kontext

Die Autoren betrachten menschliche Aufsicht als ein soziotechnisches System und modellieren es für die Zwecke der Sicherheitsanalyse als IT-Anwendung. Sie wenden etablierte Methoden aus der Cybersicherheit an, um die Architektur zu analysieren.

Der Kern der Methodik ist das Threat Modeling in vier Schritten:

1. Eingrenzung des Umfangs (Scope): Erstellung eines Data Flow Diagrams (DFD), das die Datenflüsse, Prozesse und externen Entitäten der Aufsicht darstellt.
2. Identifikation von Bedrohungen: Anwendung des STRIDE-Modells (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) auf die identifizierten Komponenten.
3. Identifikation von Gegenmaßnahmen: Entwicklung von Hardening-Strategien.
4. Bewertung: Sicherstellung, dass keine kritischen Punkte übersehen wurden.

Das modellierte System (DFD):
Das Diagramm umfasst folgende Entitäten und Grenzen:

• Externe Entitäten: Nutzer, Vorgesetzte (Management), Externe Beratungsgremien.
• Prozesse: Das KI-System, das IT-System der menschlichen Aufsicht und die menschlichen Aufsichtskräfte (als aktiver Prozess modelliert).
• Datenflüsse: Eingaben/Ausgaben zwischen Nutzer und KI, Monitoring-Daten von KI zu Aufsichtskräften, Interventionen von Aufsichtskräften zur KI, Berichte an Vorgesetzte und Richtlinien von Beratungsgremien.
• Privilegien-Grenzen: Es werden fünf Privilegienstufen definiert (Beratung, Nutzer, KI, Aufsicht, Vorgesetzte), wobei die Aufsichtskräfte das höchste Interventionsrecht besitzen.

Assets (Schutzgüter):
Neben klassischen IT-Assets (Vertraulichkeit, Integrität, Verfügbarkeit – CIA-Triade) werden spezifische Assets der Aufsicht definiert, die auf den vier Kriterien für effektive Aufsicht basieren:

• Epistemischer Zugang (Verständnis des Systems)
• Kausale Macht (Fähigkeit zur Intervention)
• Selbstkontrolle (Handlungsfreiheit ohne Zwang)
• Passende Absichten (Motivation und Ausrichtung auf die Ziele)

3. Wichtige Ergebnisse und Bedrohungsanalyse (STRIDE)

Die Anwendung des STRIDE-Modells offenbarte spezifische Angriffsvektoren, die die menschliche Aufsicht kompromittieren können:

• Spoofing (Identitätsdiebstahl):
  • Angriff: Social Engineering (Phishing, Vishing) oder Nutzung gestohlener Credentials durch Angreifer oder sogar durch manipulierte KI-Agenten (Scheming), um sich als Aufsichtskräfte auszugeben.
  • Folge: Verlust der Selbstkontrolle und Vertraulichkeit; Angreifer handeln im Namen der Aufsicht.
• Tampering (Manipulation):
  • Angriff: Prompt-Injections (direkt oder indirekt), Manipulation von Trainingsdaten (Poisoning) oder Modellparametern.
  • Folge: Beeinträchtigung der Integrität des KI-Systems und des epistemischen Zugangs der Aufsichtskräfte (sie verstehen das System nicht mehr korrekt).
• Repudiation (Verleugnung von Aktionen):
  • Angriff: Nutzung von KI-Fähigkeiten zum „Scheming" oder Bestechung/Zwang von Aufsichtskräften, um verbotene Operationen durchzuführen und diese in Log-Dateien zu verschleiern.
  • Folge: Verlust der Integrität und Passenden Absichten; Aufsichtskräfte können nicht mehr nachvollziehen, was geschehen ist.
• Information Disclosure (Offenlegung von Informationen):
  • Angriff: Man-in-the-Middle-Angriffe auf Datenflüsse zwischen KI, Aufsichtskräften und IT-System.
  • Folge: Verlust der Vertraulichkeit sensibler Daten (z. B. Benutzerdaten, Entscheidungsprotokolle).
• Denial of Service (DoS):
  • Angriff: Überlastung des IT-Systems der Aufsicht oder der Netzwerke der Aufsichtskräfte.
  • Folge: Verlust der Verfügbarkeit und der Kausalen Macht (Unfähigkeit, rechtzeitig einzugreifen).
• Elevation of Privilege (Privilegienausweitung):
  • Angriff: Jailbreaking der KI oder Ausnutzung von Designfehlern, um der KI Rechte zu geben, die Interventionen der Aufsichtskräfte zu überschreiben.
  • Folge: Verlust der Kausalen Macht der menschlichen Aufsicht.

4. Gegenmaßnahmen und Härtungsstrategien (Hardening)

Das Paper schlägt einen minimalen Satz an Sicherheitsmaßnahmen vor, um die identifizierten Schwachstellen zu adressieren:

1. Intrusion Detection Systems (IDS): Umfassende Überwachung des Netzwerks und der Hosts, um Angriffe frühzeitig zu erkennen.
2. Verschlüsselung: Nutzung moderner kryptografischer Methoden für Daten im Transit und im Ruhezustand, um MITM-Angriffe und Datenlecks zu verhindern.
3. Netzwerkmanagement: Implementierung von Traffic-Analyse und Filtermechanismen zur Abwehr von DoS-Angriffen.
4. Transparenz: Offenlegung von Komponenten, Trainingsdaten und Abhängigkeiten (z. B. durch Software Bill of Materials für KI), um Angriffe und Manipulationen leichter zu erkennen.
5. Schulung des Personals: Training gegen Social Engineering, Erpressung und Bestechung. Dies stärkt die Resilienz der menschlichen Komponente (Selbstkontrolle und Integrität).
6. Red Teaming: Regelmäßige, simulierte Angriffe durch unabhängige Teams, um Schwachstellen proaktiv zu finden.

5. Bedeutung und Fazit

Das Paper leistet einen wesentlichen Beitrag zur KI-Sicherheit, indem es den Fokus von der reinen Effektivität der menschlichen Aufsicht auf deren Cybersicherheit erweitert.

• Paradigmenwechsel: Es etabliert die menschliche Aufsicht nicht nur als Sicherheitsnetz, sondern als potenzielles Einfallstor für Angreifer, das selbst geschützt werden muss.
• Praktische Leitlinie: Durch die Bereitstellung eines DFD und einer STRIDE-basierten Analyse bietet das Paper Forschern und Praktikern ein konkretes Werkzeug, um eigene Aufsichtssysteme zu modellieren und zu härten.
• Regulatorische Relevanz: Angesichts des EU-KI-Gesetzes, das menschliche Aufsicht vorschreibt, ist diese Arbeit essenziell, um sicherzustellen, dass die vorgeschriebenen Maßnahmen nicht selbst zum Sicherheitsrisiko werden.
• Zukunftsausblick: Die Autoren betonen, dass die Bedrohungslandschaft dynamisch ist (z. B. durch fortgeschrittene KI-Agenten) und dass zukünftige Arbeiten quantitative Risikoanalysen und erweiterte Frameworks (wie MITRE ATT&CK) integrieren sollten.

Zusammenfassend argumentieren die Autoren, dass eine effektive KI-Governance ohne eine sichere menschliche Aufsicht nicht möglich ist, da unsichere Aufsichtssysteme die Risiken der KI-Operationen sogar erhöhen können.