Entwicklung, Produktion und Vertrieb der Automobilindustrie werden mit Hilfe künstlicher Intelligenz in Lichtgeschwindigkeit optimiert, die Anzahl der relevanten Use Cases steigt in ähnlichem Tempo. Laut dem Tech-Riesen IBM kann künstliche Intelligenz Anomalien in digitalen Umgebungen identifizieren, Risikoanalysen durchführen sowie die Sicherheit im Bereich der Benutzerfreundlichkeit optimieren. Doch KI ist eine Medaille mit zwei Seiten: Denn parallel zu ihrem Potenzial scheinen auch die Risiken, die durch sie entstehen, größer zu werden.
„KI kann nahezu perfekt klingende Phishing-Mails formulieren oder sogar Code für Schadsoftware programmieren“, wissen die Experten vom Branchenverband der deutschen Informations- und Telekommunikationsbranche und stufen die Innovation als deutliche Herausforderung für die Cybersecurity ein. Laut Bundesamt für Sicherheit in der Informationstechnologie (BSI) befänden sich sowohl Angriffe auf KI-Systeme als auch Angriffe durch KI-Systeme momentan im Fokus intensiver Forschung. Steht der Automobilindustrie etwa ein enormes Wettrüsten in Prävention für Stellvertreterkriege zwischen KI-Anwendungen bevor?
Diese Angriffspunkte für Cyberangriffe bieten moderne Fahrzeuge
Autonome Fahrzeuge, dauerhafte Konnektivität und immer komplexere Software treiben die Automobilindustrie voran – sorgen jedoch gleichzeitig für immer mehr potenzielle Angriffsfläche für Cyberattacken. Einer Untersuchung des ADACs zufolge zählen besonders die USB- und Diagnose-Schnittstelle sowie das Bluetooth-Modul zu den möglichen Einfallstoren für kriminelle Eingriffe. Ebenso ganz vorn mit dabei: Das Keyless-Schlüsselsystem. In über 600 Fällen habe der ADAC bereits zeigen können, dass die Hersteller hier unsichere Technik verwenden. Zudem könnten Hacker von überall aus versuchen, sich über die immer häufiger standardmäßig verbaute SIM-Karte Zugriff auf die Fahrzeugsysteme zu verschaffen.
Auch der amerikanische Cybersicherheitsexperte Sam Curry, Vice President für das IT-Sicherheitsunternehmen Zscaler konnte im vergangenen Jahr eigenen Berichten zufolge alarmierende Sicherheitslücken in den Backend- und Business-IT-Systemen bekannter Automobilhersteller wie BMW, Porsche und Mercedes aufgedeckt. Diese Lücken betrafen neben Privatfahrzeugen auch Einsatzfahrzeuge wie Polizeiautos und Krankenwagen. Neben der Möglichkeit, Lichter, Hupe, Autotüren und Motor zu steuern, sei es Curry sogar gelungen Fahrzeugdaten zu kopieren, Einstellungen zurückzusetzen und in einigen Fällen sogar auf die internen Netzwerke der Hersteller zuzugreifen.
So vereinfacht KI den Einstieg in die Cyberkriminalität
Mit Hilfe von KI-Tools und entsprechend ausgestatteten Sprachmodellen kann praktisch jeder - auch ohne Software- oder IT-Kenntnisse - in Bereichen der Cyberkriminalität aktiv werden. ChatGPT ist zwar so programmiert, dass keine illegalen oder unethischen Antworten verfasst werden, Medienberichten zufolge könnten diese Einschränkungen jedoch durch sogenannte Jailbreaks umgangen werden. Dabei soll es sich um bestimmte Prompts handeln, mit denen die KI dennoch dazu gebracht werden kann, Texte zu produzieren, die sie eigentlich nicht produzieren sollte.
Zudem existieren beispielsweise im Darknet vergleichbare unmoderierte Chatbots wie FraudGPT, die für kriminelle Zwecke trainiert werden. Diese Anwendungen ermöglichen das Verfassen von Phishing-E-Mails, die Entwicklung von Cracking-Tools und Malware oder die Erstellung feindlicher Trainingsdaten zur Sabotage des maschinellen Lernens.
Aus Sicht des Fraunhofer AISEC (Angewandte und Integrierte Sicherheit) ist ChatGPT daher eine ernstzunehmende Bedrohung für die Cybersicherheit. „ChatGPT hat das Potential, die Welt der Cyberattacken für eine noch breitere Nutzerschaft zugänglich zu machen, eine Vielzahl zugeschnittener Angriffe dediziert erzeugen zu lassen und dazu auch noch die nicht versierten Hacker:innen darin zu beraten, dies dann auch erfolgreich durchzuführen“, so die Experten und Expertinnen vom AISEC.
Studie: Künstliche Intelligenz verstärkt Cyberkriminalität
Auch eine Studie von Sopra Steria zeigt, dass die Angst vor dem Einsatz von KI durch Cyberkriminelle steigt. Drei Viertel der Unternehmen und Behörden sehen sich durch den böswilligen Einsatz von KI stärker gefährdet. In den nächsten zwölf Monaten planen daher 81 Prozent der Organisationen, ihre Cybersicherheit zu verbessern. Besonders alarmierend ist, dass 71 Prozent der Fach- und Führungskräfte glauben, dass Cyberkriminelle KI besser nutzen als Unternehmen zur Abwehr. Dennoch bleibt das größte Risiko der Mensch und nicht die künstliche Intelligenz: 43 Prozent sehen unangemessene Reaktionen auf Phishing-Angriffe als größte Schwachstelle.
KI ermöglicht proaktive Schutzmaßnahmen gegen Cyberattacken
Auf der anderen Seite kann KI ebenfalls eingesetzt werden, um entlang der automobilen Wertschöpfungskette große Mengen von Daten zu analysieren, ungewöhnliche Aktivitäten oder Muster zu identifizieren, die auf Cyberangriffe hinweisen können und somit potenzielle Risiken frühzeitig erkennen, wie die Branchenkenner des VDA gegenüber automotiveIT zu Protokoll geben.
„KI kann auch dazu beitragen, potenzielle Schwachstellen oder Sicherheitslücken in Echtzeit oder bereits in der Entwicklung zu erkennen und zu beheben, bevor sie ausgenutzt werden können“, so ein Sprecher des VDA. „Insgesamt ermöglicht der Einsatz von KI in der Cybersecurity der Automobilindustrie eine proaktive und adaptive Verteidigung gegen eine zunehmend komplexe Bedrohungslandschaft. Das erhöht letztendlich die Sicherheit von Fahrzeugen sowie Insassen.“ Auf lange Sicht sei die künstliche Intelligenz sogar in der Lage, durch kontinuierliches Training und entsprechende Anpassungen mit der rasanten Entwicklung neuer Cyberangriffe Schritt zu halten und die Fahrzeugsicherheit langfristig zu gewährleisten.
Neue Regularien sollen KI-Einsatz sicherer machen
Damit KI im Auto nicht zur Security-Schwachstelle wird, fordert das BSI zunächst neue, anerkannte Kriterien, um die Voraussetzungen für einen sicheren Einsatz der KI-Verfahren zu überprüfen. Geeignete Konzepte und Methoden seien bisher nicht verfügbar oder nicht ausgereift. Gemeinsam mit Automobilzulieferer ZF entwickelt die Behörde im Rahmen des Projektes AIMobilityAudit deshalb etwa geeignete Prüfmethoden und Werkzeuge zur zur Absicherung von KI-Systemen in Fahrzeugen.
„Die Idee kam vom BSI, dass wir gesagt haben, es gibt diese neue Schlüsseltechnologie, ohne die automatisiertes Fahren nicht möglich ist. Wir wollen, dass sie vertrauenswürdig genutzt werden kann, dass sie einerseits von der Cybersicherheit her von uns akzeptiert wird, aber dass eben auch die Verbraucher dieses System akzeptieren“, erklärt Arndt von Twickel, Leiter des BSI-Referats Cyber-Sicherheit für intelligente Transportsysteme und Industrie 4.0.
Auch die europäische Wirtschaftskommission (UNECE) strebt für den Einsatz von KI und anderen Technologien im Fahrzeug klar definierte Regeln an, um Softwarezuverlässigkeit und Cybersicherheit gewährleisten zu können. In diesem Bestreben hat die UNECE 2019 die Arbeitsgruppe für automatisierte/autonome und vernetzte Fahrzeuge (GRVA) eingerichtet. „Angesichts der Natur des maschinellen Lernens und des Deep Learning hat GRVA beispielsweise untersucht, wie die Industrie solche KI-Technologien einsetzt und für welche Anwendungsfälle“, heißt es seitens der Wirtschaftskommission. „Sie hat einschlägige Definitionen für ihre Arbeit im Automobilsektor erarbeitet und prüft die Notwendigkeit, KI-spezifische Bestimmungen in Form von Empfehlungen oder Leitlinien zu entwickeln, die sich mit den spezifischen Risiken dieser Technologie befassen.“
Erst kürzlich haben GRVA und UNECE die veröffentlicht, die ab Sommer 2024 gilt. Infolgedessen kündigten mehrere Autohersteller an, Teile ihrer Modellpaletten zu streichen, um sich das kostspielige Aufrüsten der Fahrzeuge zu sparen.
KI wird noch nicht als Cybersicherheitsmaßnahme mitgedacht
Schlussendlich scheint es, als stünden die kritischen Bedenken hinsichtlich der Auswirkung von Künstlicher Intelligenz auf die Cybersecurity aktuell noch etwas mehr im Vordergrund als die sich durch KI ergebenden Chancen. Jedoch hapert es laut Bitkom auch bisher stark an der Umsetzung neuer technologischer Möglichkeiten: Nur 14 Prozent der Unternehmen haben sich bereits mit dem KI-Einsatz zur Verbesserung der Cybersicherheit beschäftigt. Weitere 24 Prozent haben das zwar noch nicht getan, halten dies aber künftig für möglich. Die Mehrheit von 59 Prozent hat sich damit weder beschäftigt noch kommt dies für sie in Zukunft in Frage.
„KI ist eine Basistechnologie, die sowohl großen Nutzen stiften als auch Schaden anrichten kann. Regulierung und Verbote werden insbesondere international und teilweise mit staatlicher Unterstützung agierende Cyberkriminelle nicht vom KI-Einsatz abhalten. Umso wichtiger ist es, die Möglichkeit von KI bei der Cyberabwehr bereits heute zu nutzen und die Entwicklungen mit Tempo voranzutreiben“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.