Eine gängige Angriffsform ist der Adversarial Angriff. Hierzu werden Beispiele verwendet, die zur Manipulation der Ergebnisse führen. Im Kontext zu künstlichen Neuronalen Netzwerken wird ein verändertes Eingangssignal verwendet, das zu absichtlich herbeigeführten Fehlklassifikationen verleitet. Besonders deutlich wird diese Vorgehensweise bei Angriffen auf Bilderkennungen. Hier führen Manipulationen von Bilddaten zu falsch anmutenden Ergebnissen in der Erkennung von Bildgegenständen durch künstliche Neuronale Netze. Dabei sind die fehlerhaften Klassifikationen kaum bis gar nicht durch den menschlichen Betrachter wahrzunehmen. Diese fehlerhafte Klassifikation wird durch eine für das menschliche Auge nicht wahrnehmbare Manipulation von Pixelwerten im Bild geschaffen, das dabei mit einem Rauschmuster überlagert wird. Andere bekannte Beispiele führen in Systemen des autonomen Fahrens zu einer Fehlinterpretation bei der Verkehrszeichenerkennung.

Was ist Data Poisoning und wie können sich Anwender schützen?
Die Aussagequalität maschineller Lernmodelle wird wesentlich von den Daten beeinflusst, mit denen sie trainiert oder befragt werden. Werden diese nicht systematisch auf ihre Korrektheit überprüft, können Angreifer absichtlich manipulierte Daten einschleusen, um die Aussagen des Modells zu beeinträchtigen. Data Poisoning kann also auf die vom Modell zu analysierenden Daten oder auf Daten für das Training von KI-Modellen angewendet werden. Potenziell gefährdet sind nahezu alle bekannten KI-Methoden, von Deep Learning in Neuronalen Netzen, bis zum Supervized Learning bei auf statistischer Regression basierenden Methoden. Beim Angriff auf Trainingsdatensätze versuchen Angreifer beispielsweise Auszeichnungen („Labels“) gezielt zu verändern oder Werte in Datensätzen zu manipulieren. Angreifer können diese Manipulationen verschleiern, indem nicht alle Trainingsdaten verfälscht, sondern veränderte Datensätze in einer statistischen Verteilung in Trainingsdaten eingestreut werden. Geschickte Angreifer ändern dabei Datensätze über eine längere Zeit. Dadurch kann der Angriff über Monitoring-Systeme und Filter für statistische Abweichungen nur schwer erkannt werden.

Blindes Vertrauen in Daten ist das Einfallstor für Data Poisoning. Zudem kann jedes KI-Modell als „Elternmodell“ für neue dienen. Das heißt, dass ein unbemerkter Angriff auf Lerndaten hierbei weitergegeben wird. Wird das Lernmodell übertragen, werden auch die „vergifteten“ Daten einbezogen. Daher ist es wichtig, Daten für diese Lernmodelle zu schützen. Weltweit gibt es zahlreiche Arbeitsansätze, aus Erfahrungen mit ML-Sicherheitsangriffen zu lernen und wirksame Methoden zur Abwehr zu entwickeln.

Fazit
Es hat sich in der Vergangenheit als sehr schwierig herausgestellt, Data Poisoning Angriffe zu erkennen und sich zuverlässig dagegen zu wehren. Angreifer können sogar mehrere parallel angewendete Verteidigungen wirksam umgehen. Eine der vielversprechendsten Abwehrmaßnahmen gegen gegnerische Angriffe ist das Training mit KI, um die Manipulation zu verhindern.