Berichte

Der Zustand der AI-Sicherheit im Jahr 2025: Schlüsselerkenntnisse aus dem Cisco-Bericht

mm
Published
Updated

Da immer mehr Unternehmen AI einsetzen, ist das Verständnis der damit verbundenen Sicherheitsrisiken wichtiger denn je. AI verändert Branchen und Arbeitsabläufe, aber sie birgt auch neue Sicherheitsherausforderungen, die Unternehmen angehen müssen. Der Schutz von AI-Systemen ist entscheidend, um Vertrauen aufrechtzuerhalten, die Privatsphäre zu schützen und einen reibungslosen Geschäftsbetrieb zu gewährleisten. Dieser Artikel fasst die wichtigsten Erkenntnisse aus dem jüngsten Bericht von Cisco zum Thema “Zustand der AI-Sicherheit im Jahr 2025” zusammen. Er bietet einen Überblick über den aktuellen Stand der AI-Sicherheit und was Unternehmen für die Zukunft berücksichtigen sollten.

Ein wachsendes Sicherheitsrisiko für AI

Wenn uns das Jahr 2024 eines gelehrt hat, dann, dass die Einführung von AI schneller voranschreitet, als viele Unternehmen sie sichern können. Laut dem Cisco-Bericht nutzen etwa 72% der Unternehmen AI in ihren Geschäftsprozessen, doch nur 13% fühlen sich vollständig bereit, ihr Potenzial sicher zu nutzen. Diese Lücke zwischen Einführung und Bereitschaft wird hauptsächlich durch Sicherheitsbedenken verursacht, die nach wie vor das größte Hindernis für eine breitere Nutzung von AI in Unternehmen darstellen. Was diese Situation noch besorgniserregender macht, ist, dass AI neue Arten von Bedrohungen mit sich bringt, die herkömmliche Cybersicherheitsmaßnahmen nicht vollständig abdecken können. Im Gegensatz zu herkömmlicher Cybersicherheit, die oft feste Systeme schützt, bringt AI dynamische und adaptive Bedrohungen mit sich, die schwerer vorherzusagen sind. Der Bericht hebt mehrere aufkommende Bedrohungen hervor, auf die Unternehmen achten sollten:

  • Infrastrukturangriffe: Die Infrastruktur von AI ist zu einem bevorzugten Ziel für Angreifer geworden. Ein bemerkenswertes Beispiel ist die Kompromittierung des NVIDIA-Container-Toolkits, die es Angreifern ermöglichte, auf Dateisysteme zuzugreifen, schädlichen Code auszuführen und Privilegien zu eskalieren. Ebenso wurde Ray, ein Open-Source-AI-Framework für die GPU-Verwaltung, in einem der ersten realen AI-Framework-Angriffe kompromittiert. Diese Fälle zeigen, wie Schwachstellen in der AI-Infrastruktur viele Benutzer und Systeme beeinträchtigen können.
  • Lieferkettenrisiken: AI-Lieferketten-Schwachstellen stellen ein weiteres erhebliches Problem dar. Rund 60% der Unternehmen setzen auf Open-Source-AI-Komponenten oder -Ökosysteme. Dies birgt Risiken, da Angreifer diese weit verbreiteten Tools kompromittieren können. Der Bericht erwähnt eine Technik namens “Sleepy Pickle“, die es Angreifern ermöglicht, AI-Modelle sogar nach ihrer Verteilung zu manipulieren. Dies macht die Erkennung extrem schwierig.
  • AI-spezifische Angriffe: Neue Angriffstechniken entwickeln sich rasch. Methoden wie Prompt-Injection, Jailbreaking und Training-Daten-Extraktion ermöglichen es Angreifern, Sicherheitskontrollen zu umgehen und auf sensible Informationen in den Trainingsdaten zuzugreifen.

Angriffsvektoren, die AI-Systeme zielen

Der Bericht hebt die Entstehung von Angriffsvektoren hervor, die böswillige Akteure nutzen, um Schwachstellen in AI-Systemen auszunutzen. Diese Angriffe können in verschiedenen Phasen des AI-Lebenszyklus von der Datenerfassung und Modelltraining bis zur Bereitstellung und Inferenz auftreten. Das Ziel ist oft, die AI so zu manipulieren, dass sie unerwartete Verhaltensweisen zeigt, private Daten preisgibt oder schädliche Aktionen ausführt.

In den letzten Jahren sind diese Angriffsmethoden fortgeschrittener und schwerer zu erkennen geworden. Der Bericht hebt mehrere Arten von Angriffsvektoren hervor:

  • Jailbreaking: Diese Technik beinhaltet das Erstellen von adversarialen Prompts, die die Sicherheitsmaßnahmen eines Modells umgehen. Trotz Verbesserungen in den AI-Verteidigungen zeigt die Forschung von Cisco, dass sogar einfache Jailbreaks gegen fortgeschrittene Modelle wie DeepSeek R1 wirksam bleiben.
  • Indirekte Prompt-Injection: Im Gegensatz zu direkten Angriffen beinhaltet dieser Angriffsvektor die Manipulation von Eingabedaten oder des Kontexts, den das AI-Modell indirekt nutzt. Angreifer können kompromittierte Quellenmaterialien wie schädliche PDFs oder Webseiten bereitstellen, was dazu führt, dass die AI unerwartete oder schädliche Ausgaben erzeugt. Diese Angriffe sind besonders gefährlich, da sie keinen direkten Zugriff auf das AI-System erfordern, was es Angreifern ermöglicht, viele herkömmliche Verteidigungen zu umgehen.
  • Training-Daten-Extraktion und -Vergiftung: Die Forscher von Cisco demonstrierten, dass Chatbots dazu gebracht werden können, Teile ihrer Trainingsdaten preiszugeben. Dies wirft ernsthafte Bedenken hinsichtlich der Datenschutz-, geistigen Eigentums- und Compliance-Risiken auf. Angreifer können auch Trainingsdaten vergiften, indem sie schädliche Eingaben injizieren. Besorgniserregend ist, dass Vergiftung von nur 0,01% von großen Datensätzen wie LAION-400M oder COYO-700M ausreicht, um das Modellverhalten zu beeinflussen, und dies kann mit einem kleinen Budget (rund 60 USD) durchgeführt werden, was diese Angriffe für viele böswillige Akteure zugänglich macht.

Der Bericht hebt ernsthafte Bedenken hinsichtlich des aktuellen Zustands dieser Angriffe hervor, da Forscher eine 100%ige Erfolgsrate gegen fortgeschrittene Modelle wie DeepSeek R1 und Llama 2 erzielen konnten. Dies offenbart kritische Sicherheitslücken und potenzielle Risiken im Zusammenhang mit deren Einsatz. Darüber hinaus identifiziert der Bericht die Entstehung neuer Bedrohungen wie Sprach-basierte Jailbreak-Angriffe, die speziell darauf abzielen, multimodale AI-Modelle anzugreifen.

Erkenntnisse aus der AI-Sicherheitsforschung von Cisco

Das Forschungsteam von Cisco hat verschiedene Aspekte der AI-Sicherheit ausgewertet und mehrere wichtige Erkenntnisse gewonnen:

  • Algorithmisches Jailbreaking: Die Forscher zeigten, dass sogar die besten AI-Modelle automatisch getäuscht werden können. Mit einer Methode namens Tree of Attacks with Pruning (TAP) konnten die Forscher die Schutzmechanismen von GPT-4 und Llama 2 umgehen.
  • Risiken bei der Feinabstimmung: Viele Unternehmen feinabstimmen Grundmodelle, um sie für spezifische Domänen besser anzupassen. Die Forscher fanden jedoch heraus, dass die Feinabstimmung die internen Sicherheitsmechanismen schwächen kann. Feinabgestimmte Versionen waren über drei Mal anfälliger für Jailbreaking und 22 Mal wahrscheinlicher, schädliche Inhalte zu produzieren als die ursprünglichen Modelle.
  • Training-Daten-Extraktion: Die Forscher von Cisco nutzten eine einfache Dekompositions-Methode, um Chatbots dazu zu bringen, Fragmente von Nachrichtenartikeln zu reproduzieren, was es ihnen ermöglicht, die Quellen des Materials zu rekonstruieren. Dies birgt Risiken für die Offenlegung sensibler oder proprietärer Daten.
  • Daten-Vergiftung: Das Team von Cisco demonstrierte, wie einfach und kostengünstig es ist, große Web-Datensätze zu vergiften. Für etwa 60 USD konnten die Forscher 0,01% von Datensätzen wie LAION-400M oder COYO-700M vergiften. Darüber hinaus hoben sie hervor, dass dieser Grad an Vergiftung ausreicht, um deutliche Veränderungen im Modellverhalten zu verursachen.

Die Rolle von AI bei Cyberkriminalität

AI ist nicht nur ein Ziel – sie wird auch zu einem Werkzeug für Cyberkriminelle. Der Bericht weist darauf hin, dass die Automatisierung und die AI-getriebene Social-Engineering-Technik Angriffe effektiver und schwerer zu erkennen gemacht haben. Von Phishing-Betrügereien bis hin zur Sprachklonierung hilft AI Kriminellen, überzeugende und personalisierte Angriffe zu erstellen. Der Bericht identifiziert auch den Aufstieg schädlicher AI-Tools wie “DarkGPT“, die speziell zur Unterstützung von Cyberkriminalität entwickelt wurden, indem sie Phishing-E-Mails generieren oder Schwachstellen ausnutzen. Was diese Tools besonders besorgniserregend macht, ist ihre Zugänglichkeit. Selbst wenig erfahrene Kriminelle können jetzt hochgradig personalisierte Angriffe erstellen, die herkömmliche Verteidigungen umgehen.

Best Practices für die Sicherung von AI

Angesichts der volatilen Natur der AI-Sicherheit empfiehlt Cisco mehrere praktische Schritte für Unternehmen:

  1. Risiken über den gesamten AI-Lebenszyklus hinweg managen: Es ist entscheidend, Risiken in jeder Phase des AI-Lebenszyklus von der Datenerfassung und Modelltraining bis zur Bereitstellung und Überwachung zu identifizieren und zu reduzieren. Dazu gehören auch die Sicherung von Drittanbieterkomponenten, die Anwendung starker Schutzmechanismen und die strenge Kontrolle von Zugriffspunkten.
  2. Etablierte Cybersicherheitspraktiken anwenden: Obwohl AI einzigartig ist, sind herkömmliche Cybersicherheitsbest-Praktiken immer noch unerlässlich. Techniken wie Zugriffskontrolle, Berechtigungsmanagement und Datenverlustverhinderung können eine wichtige Rolle spielen.
  3. Sich auf gefährdete Bereiche konzentrieren: Unternehmen sollten sich auf Bereiche konzentrieren, die am wahrscheinlichsten angegriffen werden, wie Lieferketten und Drittanbieter-AI-Anwendungen. Durch das Verständnis, wo die Schwachstellen liegen, können Unternehmen gezieltere Verteidigungen implementieren.
  4. Mitarbeiter schulen und ausbilden: Da AI-Tools weit verbreitet werden, ist es wichtig, Benutzer über den verantwortungsvollen Einsatz von AI und Risikobewusstsein zu schulen. Ein gut informiertes Personal hilft, unbeabsichtigte Datenexposition und Missbrauch zu reduzieren.

Ausblick

Die Einführung von AI wird weiter anhalten, und mit ihr werden die Sicherheitsrisiken evolvieren. Regierungen und Unternehmen weltweit erkennen diese Herausforderungen und beginnen, Richtlinien und Vorschriften zu entwickeln, um die AI-Sicherheit zu leiten. Wie der Bericht von Cisco hervorhebt, wird das Gleichgewicht zwischen AI-Sicherheit und Fortschritt die nächste Ära der AI-Entwicklung und -Implementierung definieren. Unternehmen, die Sicherheit neben Innovation priorisieren, werden am besten gerüstet sein, um die Herausforderungen zu meistern und die entstehenden Chancen zu nutzen.

mm

Dr. Tehseen Zia ist ein fest angestellter Associate Professor an der COMSATS University Islamabad, der einen PhD in KI von der Vienna University of Technology, Österreich, besitzt. Er spezialisiert sich auf künstliche Intelligenz, Machine Learning, Data Science und Computer Vision und hat mit Veröffentlichungen in renommierten wissenschaftlichen Zeitschriften wesentliche Beiträge geleistet. Dr. Tehseen hat auch verschiedene industrielle Projekte als Principal Investigator geleitet und als KI-Berater fungiert.