Cyber Threat Intelligence for Artificial Intelligence Systems

Diese Arbeit untersucht die Notwendigkeit und die Anforderungen einer an KI-Systeme angepassten Cyber Threat Intelligence, indem sie bestehende Lücken aufzeigt, einen Rahmen für KI-spezifische Indikatoren für Kompromisse (IoCs) in der Lieferkette entwickelt und Techniken zur Ähnlichkeitsmessung von KI-Artifakten vorschlägt.

Das Wesentliche

🛡️ KI-Sicherheit: Wie wir die neuen Diebe und Hacker verstehen lernen

Stellen Sie sich vor, die Welt der IT-Sicherheit war bisher wie ein großer, gut bewachter Burgwall. Die Wachen (die Sicherheitssoftware) wussten genau, wie Diebe (Hacker) in die Burg kamen: Sie kletterten über Mauern, schlugen Fenster ein oder fälschten Schlüssel. Das nennt man Cyber Threat Intelligence (CTI) – also das Wissen darüber, wie Diebe arbeiten, damit man sie stoppen kann.

Aber jetzt passiert etwas Neues: Künstliche Intelligenz (KI) ist in die Burg eingezogen. Sie hilft den Wachen, schneller zu sein, aber sie hat auch ein Problem: Die alten Wachen verstehen die neuen Diebe nicht mehr.

Dieses Papier von Natalia Krawczyk und ihrem Team fragt sich: Wie müssen unsere Wachen lernen, die neuen Diebe zu erkennen, die KI-Systeme angreifen?

Hier ist die Geschichte, aufgeteilt in vier einfache Kapitel:

1. Das neue Problem: Die Diebe haben sich verändert 🧠

Früher haben Hacker nur Computerprogramme gehackt. Heute nutzen sie KI, um noch schlauere Angriffe zu erfinden.

• Die alte Welt: Ein Hacker schickt eine E-Mail mit einem Virus.
• Die neue Welt: Ein Hacker nutzt KI, um eine E-Mail zu schreiben, die perfekt wie die Ihres Chefs klingt, oder er verändert ein Stoppschild so leicht, dass eine autonome KI das Auto nicht mehr erkennt.

Das ist wie bei einem Schloss: Früher brauchte man einen physischen Schlüssel. Heute kann ein Dieb den Schlüssel nachbauen, indem er das Schloss genau studiert, oder er nutzt einen Trick, um das Schloss zu täuschen, ohne es zu öffnen. Die alten Sicherheitsregeln funktionieren hier nicht mehr.

2. Der neue Werkzeugkasten: Woher wissen wir, wer die Diebe sind? 🔍

Um diese neuen Diebe zu fangen, brauchen wir ein neues Lexikon der Verbrechen. Das Papier untersucht, welche "Bücher" wir schon haben, um diese neuen Angriffe zu beschreiben:

• Das "Krankenbuch" (Datenbanken für Fehler): Es gibt Listen, die aufschreiben, wo KI-Systeme schwach sind (wie ein Arzt, der Krankheiten notiert). Beispiele sind AVID oder OWASP. Aber das Papier sagt: Diese Listen sind noch nicht vollständig. Es fehlen viele Einträge.
• Das "Polizeibericht-System" (Unfall-Register): Es gibt Datenbanken wie AIID, die echte Fälle sammeln: "Ein KI-System hat einen Autofahrer verletzt" oder "Eine KI hat eine falsche Entscheidung getroffen". Das ist wichtig, weil es zeigt, was wirklich passiert ist, nicht nur, was theoretisch passieren könnte.
• Das "Täterprofil" (Wie arbeiten die Diebe?): Das bekannteste Beispiel ist MITRE ATLAS. Stellen Sie sich das wie ein Spickzettel für Diebe vor. Es beschreibt genau, wie ein Hacker vorgeht: Erst schaut er sich das System an, dann vergiftet er die Trainingsdaten, dann stiehlt er das Modell.

3. Die neuen Beweismittel: Was ist ein "Fingerabdruck" für KI? 🖐️

In der normalen Welt suchen Wachen nach Fingerabdrücken oder DNA (Hashes von Dateien). Aber wie sieht ein Fingerabdruck bei einer KI aus?

Stellen Sie sich eine KI wie einen Koch vor.

• Ein normaler Dieb stiehlt den Kochlöffel (eine Datei).
• Ein KI-Dieb verändert das Rezept (die Trainingsdaten) oder fügt eine geheime Zutat hinzu (einen "Backdoor"-Code), damit der Koch später ein giftiges Gericht serviert, wenn man ihn nach "Pizza" fragt.

Das Papier schlägt vor, neue Beweismittel zu sammeln:

• Verdächtige Rezepte: Ist das Trainingsdatum verändert?
• Geheime Zutaten: Gibt es Muster im Code, die nur für einen bestimmten Hack gedacht sind?
• Der "Geschmackstest": Wenn die KI plötzlich komische Antworten gibt, ist das ein Alarmzeichen.

4. Die neue Detektivarbeit: Wie finden wir den Dieb? 🕵️‍♂️

Das Schwierigste ist: Ein Dieb kann sein "Rezept" leicht verändern. Er ändert ein Wort im Code, und der alte Fingerabdruck passt nicht mehr.

Das Papier schlägt vor, intelligente Suchmethoden zu nutzen:
Stellen Sie sich vor, Sie suchen nach einem bestimmten Auto.

• Alte Methode: Sie suchen nach dem exakten Kennzeichen. Wenn der Dieb das Kennzeichen tauscht, finden Sie ihn nicht.
• Neue Methode (Deep Hashing): Sie suchen nach dem Geräusch des Motors oder dem Stil der Lackierung. Selbst wenn der Dieb die Farbe ändert, klingt der Motor noch ähnlich.

Die Autoren schlagen vor, KI-Modelle nicht nur nach exakten Kopien zu suchen, sondern nach Ähnlichkeiten. Wie ein Detektiv, der sagt: "Dieser Dieb sieht zwar anders aus, aber er läuft genau wie der andere."

Fazit: Was lernen wir daraus? 🎓

Dieses Papier ist wie ein Bauplan für eine neue Sicherheitswache.

1. Alte Regeln reichen nicht: Wir können nicht mehr nur auf die alten Listen schauen.
2. Wir brauchen neue Daten: Wir müssen mehr über echte KI-Unfälle und neue Angriffsmethoden sammeln.
3. Wir brauchen neue Werkzeuge: Wir müssen lernen, nicht nur nach Dateien, sondern nach "Rezepten" und "Verhaltensmustern" zu suchen.

Die große Botschaft: KI ist ein mächtiges Werkzeug, aber sie bringt auch neue, unsichtbare Gefahren mit sich. Um sicher zu sein, müssen wir aufhören, nur auf Computer zu schauen, und anfangen, die "Gedanken" und "Rezepte" der KI zu überwachen. Nur so können wir verhindern, dass die KI eines Tages gegen uns arbeitet.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Cyber Threat Intelligence for Artificial Intelligence Systems" auf Deutsch:

1. Problemstellung

Die Integration von Künstlicher Intelligenz (KI) in kritische Infrastrukturen und Alltagsprodukte hat die Angriffsfläche für Cyberbedrohungen erheblich erweitert. Herkömmliche Cyber-Threat-Intelligence (CTI)-Frameworks, die für traditionelle IT-Systeme (Netzwerke, Server, Software) entwickelt wurden, sind nicht in der Lage, die spezifischen Risiken und Angriffsvektoren von KI-Systemen adäquat zu adressieren.

Die Hauptprobleme sind:

• Neue Angriffsvektoren: KI-Systeme sind anfällig für spezifische Bedrohungen wie Datenvergiftung (Data Poisoning), Adversarial Examples, Model Backdoors, Prompt Injection bei Large Language Models (LLMs) und Modell-Diebstahl.
• Fehlende Standardisierung: Es gibt keine etablierten Standards für die Kategorisierung von KI-Schwachstellen (im Gegensatz zu CVE/CWE im traditionellen Bereich) oder für die Definition von Indikatoren für Kompromittierung (IoCs), die für KI-Assets (z. B. Modellgewichte, Trainingsdaten) gelten.
• Datenqualität und -verfügbarkeit: Bestehende Datenquellen zu KI-Vorfällen sind oft unstrukturiert, lückenhaft oder nicht spezifisch genug für den operativen Einsatz in CTI-Systemen.

2. Methodik

Die Autoren führten eine systematische Literaturübersicht (Systematic Literature Review) durch, um den aktuellen Stand der Technik (State of the Art) zu erfassen. Der Prozess umfasste:

1. Suchstrategie: Identifikation relevanter Schlüsselwörter (z. B. „CTI for AI", „AI incidents", „AI vulnerabilities") in Datenbanken wie Google Scholar und Scopus sowie Analyse zitierten Referenzen.
2. Analyse und Extraktion: Kritische Bewertung von Frameworks, Taxonomien, Incident-Datenbanken und Forschungsarbeiten im Kontext von KI-Sicherheit.
3. Synthese: Strukturierung der Erkenntnisse, um Lücken in der aktuellen CTI-Praxis für KI zu identifizieren und Anforderungen für einen KI-spezifischen CTI-Rahmen zu definieren.

Die Studie beantwortet vier zentrale Forschungsfragen (RQs) bezüglich der Unterschiede zwischen klassischer und KI-CTI, der Datenquellen, des Nutzens für Schutztools und der Methoden zur Ähnlichkeitsmessung.

3. Wichtige Beiträge und Ergebnisse

A. Unterschied zwischen klassischer CTI und KI-CTI (RQ1)

Das Paper hebt hervor, dass KI-CTI über traditionelle IT-Assets hinausgehen muss:

• Assets: Statt nur Netzwerkpaketen oder Binärdateien müssen Trainingsdatensätze, Modellgewichte, Architekturen, APIs und Inferenz-Pipelines überwacht werden.
• Schwachstellen: Neben klassischen Fehlern (Buffer Overflow) müssen KI-spezifische Fehler wie Prompt Injection, Adversarial Attacks und Backdoors in Modellen berücksichtigt werden.
• Angriffsphasen: Der Angriffslebenszyklus von KI umfasst Phasen wie das Sammeln von Informationen über ML-Artefakte (Reconnaissance), Vergiftung während des Trainings, Einfügen von Backdoors und Umgehung während der Inferenz, die in Frameworks wie MITRE ATT&CK nicht vollständig abgebildet sind.

B. Datenquellen für eine KI-CTI-Wissensdatenbank (RQ2)

Die Autoren kategorisieren und bewerten verfügbare Quellen:

• Schwachstellen-orientiert:
  • AVID (AI Vulnerability Database): Bietet eine strukturierte Taxonomie (Security, Ethics, Performance) und Lebenszyklus-Ansicht, deckt aber noch nicht alle Betriebsphasen ab.
  • OWASP AI Security Guide & ENISA/SAIF: Liefern Richtlinien und Best Practices, sind aber keine reinen Vulnerability-Datenbanken.
• Vorfall-orientiert:
  • AI Incident Database (AIID): Eine umfassende, community-getriebene Datenbank mit über 5.000 Berichten. Sie ist eine der zuverlässigsten Quellen für reale Vorfälle.
  • CSET AI Harm Taxonomy & GMF Taxonomy: Strukturieren Vorfälle nach Schaden, betroffenen Sektoren und technischen Ursachen (Ziele, Methoden, Fehler).
• Adversary-orientiert:
  • MITRE ATLAS: Das wichtigste Framework für TTPs (Tactics, Techniques, Procedures) spezifisch für KI-Systeme. Es erweitert MITRE ATT&CK um KI-spezifische Angriffe.
• Spezialisierte Datensätze:
  • Prompt Injection: Es werden verschiedene Datensätze (z. B. Qualifire, Prompt Injection Attack Dataset) bewertet. Die Qualität variiert stark; einige sind für die Forschung empfohlen, andere leiden unter Label-Inkonsistenzen.
  • Malicious Model Files: Es gibt nur wenige dokumentierte Fälle von bösartigen Modellen auf Plattformen wie Hugging Face (z. B. durch ReversingLabs und NSFOCUS identifiziert), die als IoCs dienen können.

C. Nutzen für KI-Schutztools (RQ3)

Eine KI-spezifische CTI-Wissensdatenbank würde Schutztools auf folgende Weise unterstützen:

• Erkennung vor dem Einsatz: Scannen von Modellen und Datensätzen auf bekannte Signaturen (Hashes, bösartige Repositories) vor dem Deployment.
• Kontextuelle Analyse: Vergleich von verdächtigem Verhalten mit historischen Vorfällen (via AIID) und TTPs (via MITRE ATLAS), um Angriffsursachen zu identifizieren.
• Automatisierte Reaktion: Nutzung strukturierter Taxonomien (AVID, CSET) zur automatischen Priorisierung von Bedrohungen und Ableitung von Gegenmaßnahmen.
• Ähnlichkeitserkennung: Erkennung modifizierter oder unbekannter bösartiger Modelle durch Vergleich mit bekannten Mustern.

D. Ähnlichkeitsmessung und Abfrage (RQ4)

Da KI-Assets oft leicht modifiziert werden, reicht exakte Hash-Übereinstimmung nicht aus. Das Paper schlägt folgende Techniken vor:

• Deep Hashing: Transformiert komplexe KI-Assets (Gewichte, Embeddings) in kompakte Binärfingerabdrücke, die semantische Ähnlichkeit bewahren. Ermöglicht schnelle Abfragen via Hamming-Abstand.
• Fuzzy Hashing & Malware-Analyse-Tools: Algorithmen wie TLSH oder LZJD, die aus der Malware-Analyse stammen, können angepasst werden, um Ähnlichkeiten in Dateien und Datensätzen zu berechnen.
• Semantic Consistency Hashing (SCH): Eine neuere Methode, die globale semantische Informationen besser erhält und robust gegenüber Transformationen ist.
• Abfragestrategie: Kombination aus exakten Suchen (Hashes, Repository-Namen) und Ähnlichkeitssuchen, um auch polymorphe oder leicht veränderte KI-Bedrohungen zu finden.

4. Signifikanz und Ausblick

Das Paper liefert einen grundlegenden Baustein für die Entwicklung eines praxistauglichen CTI-Rahmens für KI. Es zeigt auf, dass die aktuelle Landschaft fragmentiert ist und dass bestehende Ressourcen (wie MITRE ATLAS und AIID) zwar vielversprechend sind, aber noch weiter ausgebaut und integriert werden müssen.

Zukünftige Forschungsrichtungen:

• Definition neuer, KI-spezifischer IoCs (z. B. Anomalien in Modellgewichten, vergiftete Trainingsdaten-Muster).
• Entwicklung und Test von Frameworks zur Überwachung und Reaktion auf KI-Bedrohungen in Echtzeit.
• Verbesserung der Datenqualität in öffentlichen Repositorien und Standardisierung der Taxonomien.

Fazit: Die Autoren betonen, dass eine effektive KI-Sicherheit ohne eine spezialisierte CTI-Strategie nicht möglich ist, da traditionelle Methoden die einzigartigen Dynamiken von KI-Angriffen (wie Prompt Injection oder Adversarial Examples) nicht erfassen können. Die vorgeschlagenen Ansätze zur Strukturierung von Wissen und zur Ähnlichkeitsmessung sind entscheidend, um KI-Systeme proaktiv gegen diese neuen Bedrohungen zu schützen.