Machine Learning (ML) und künstliche Intelligenz (KI) sind seit einigen Jahren zu einem wichtigen Bestandteil von Cybersecurity-Lösungen geworden. Vor allem sogenannte Deep-Learning-Ansätze erzielten in den vergangenen Jahren enorme Fortschritte und erlauben den Einsatz von ML-Technik in vielen neuen Anwendungsgebieten. Trotzdem ist es wichtig, sich vor Augen zu führen, dass ML allein kein Allheilmittel für alle Herausforderungen der Sicherheitsbranche ist.
Der Autor: Dr. Sven Krasser ist Senior Vice President und Chief Scientist bei CrowdStrike
(Bild: CrowdStrike)
ML ist zwar eine zentrale Technik, jedoch ist es wichtig, dass Entscheidungsträger und Experten auch die Grenzen und Risiken von ML kennen. Dieses Wissen ist essentiell, um entscheiden zu können, welche ML-Lösungen robust und nach dem neuesten Stand der Forschung konzipiert worden sind und so den bestmöglichen Schutz bieten, ohne selbst das Angriffsrisiko aufgrund der genutzten ML-Technik zu erhöhen. Denn mit dem zunehmenden Einsatz von KI und ML in der Branche vergrößert sich zugleich auch die Angriffsfläche für Cyberangreifer.
Eine erhebliche Bedrohung für aktuelle KI-Systeme stellen die Fortschritte im Bereich Adversarial Machine Learning (AML) dar, eine noch recht junge Disziplin. AML fokussiert sich auf das Auffinden und Ausnutzen von Sicherheitslücken im Bereich Machine Learning mithilfe von verschiedenen Schädigungsmechanismen. Die Fähigkeit, gegnerische ML-spezifische Angriffe zu erkennen, ist für Verteidiger also von entscheidender Bedeutung, denn nur so können stetig bessere und robustere KI-Modelle entwickelt werden, die letztendlich zum wirkungsvollen Schutz beitragen.
Angriffsszenarien auf ML-Modelle
Machine-Learning-Lösungen nutzen Algorithmen sowie eine Reihe von statistischen Methoden, um vorhandene Datenbestände zu analysieren und Muster zu erkennen. Die zugrundeliegenden Konzepte erlauben neuartige Arten von Angriffen auf Datenverarbeitungssysteme. Nach dem Vorbild des MITRE ATT&CK-Frameworks enumeriert und klassifiziert das MITRE ATLAS-Framework solche Angriffsmethoden auf ML-Systeme.
Eine dieser Methoden zielt darauf ab, die Daten, die zum Trainieren von KI-Modellen verwendet werden, zu manipulieren. Damit KI-Modelle Muster erkennen, werden sie mittels einer Datenbasis entsprechend trainiert. Diese Datenbasis, die als Trainingsbasis dient, wird auch „Ground Truth“ oder Grundwahrheit genannt. Sie definiert, wie das KI-Modell auf bestimmte Eingaben reagieren soll.
Bei Data-Poisoning-Angriffen versuchen die Angreifer gezielt diese Grundwahrheit, also die Trainingsdaten, zu „vergiften“. Dafür speisen sie Daten ein, die dazu führen, dass der Algorithmus falsch trainiert wird. Das hat wiederum Einfluss auf die Aussagequalität des dahinterliegenden KI-Modells. Denn die Manipulation der Trainingsphase des KI-Modells führt dazu, dass Daten fehlerhaft klassifiziert werden. So können Angreifer zum Beispiel Dateien, die ursprünglich als Malware klassifiziert wurden, als legitime Dateien tarnen.
Solche Veränderungen können auf verschiedene Weise erzielt werden, z. B. durch Manipulation durch den Angreifer im Rahmen einer traditionellen Sicherheitsverletzung. Häufiger ist die Manipulation von öffentlichen Datenbeständen, die zum Trainieren von datenhungrigen KI-Algorithmen benötigt werden, von größerer Bedeutung. In Fällen, in denen KI von Benutzereingaben lernt, können arglistige Nutzer das KI-System korrumpieren. So geschehen z. B. mit dem Twitter-Bot Tay, dessen KI von seinen Konversationen mit anderen Twitter-Nutzern lernen sollte und damit durch gezielte Manipulation nach wenigen Stunden menschenverachtende Nachrichten auf der Social Media-Platform absetzte.
Evasion-Attacks nehmen auch Einfluss auf das maschinelle Lernsystem, beeinflussen jedoch nicht direkt den Trainingsprozess, sondern versuchen, das Vorhersagesystem des Modells zu täuschen. Die Angreifer nutzen dabei sogenannte Adversarial Examples, also spezielle Eingabedaten, die das Ziel haben, das ML-System zu verwirren, um eine fehlerhafte Klassifizierung zu erreichen. Ein typisches Beispiel für diese Art der Attacke ist die Änderung einiger Pixel in einem Bild vor dem Hochladen, sodass das Bilderkennungssystem das Ergebnis nicht oder anders klassifiziert. Solche Veränderungen sind häufig für den Menschen nicht sichtbar oder nicht direkt als Angriff erkennbar.
In einem Fall in der Security-Branche haben Sicherheitsforscher manuell eine Schadsoftwaredatei so verändert, dass die KI-basierte Erkennung eines Antivirus-Anbieters sie als legitim bewertet. Die Forscher haben dazu Zeichenketten von legitimer Software extrahiert und diese dann zu der Schadsoftware hinzugefügt. Das KI-Modell dieses Anbieters hat dann diesen legitimen Zeichenketten mehr Gewicht gegeben als den Schadroutinen in der Datei.
KI-Modelle, Wissen ist Macht
Entscheidend für den Erfolg einer Attacke ist auch das Vorwissen über das ML-Zielsystem. Je mehr Angreifer über das verwendete KI-Modell und seinen Aufbau wissen, desto einfacher ist es für sie, einen Angriff zu starten und eine entsprechende Methode auszuwählen. Im Falle der o. g. Schadsoftwareveränderung hatten die Angreifer Zugriff auf das Modell und die Software. Man spricht dann von einer White-Box-Attacke. Die Angreifer konnten die Algorithmen analysieren und so die richtigen Zeichenketten finden, die es erlaubten, das System zu täuschen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Am anderen Ende des Spektrums sind Black-Box-Attacken, bei denen der Angreifer keine oder nur wenige Kenntnisse über das KI-Modell hat. Gibt das Modell eine statistische Sicherheit mit der Klassifizierung aus, z. B. die Wahrscheinlichkeit, dass eine Datei Schadsoftware ist, dann kann der Angreifer gradientenbasierte Methoden nutzen, um seinen Input so zu modifizieren, dass der ML-Algorithmus diesen als „False Negative“ klassifiziert und dementsprechend keinen Alarm auslöst. Dazu prüft er nach jeder Modifikation, wie sich die Wahrscheinlichkeit verändert. So tastet er sich dann automatisiert an das Ergebnis heran wie in einem „heiß und kalt“ Spiel.
Schutztechniken für Machine-Learning-Modelle
Um ML-System zu schützen, können Verteidiger Methoden benutzen, die Angriffe verhindern, erschweren oder erkennbar machen können. Um sich z. B. gegen den Zeichenkettenangriff zu schützen, können monotone Klassifizierungsmodelle eingesetzt werden. Solche monotonen KI-Modelle fokussieren sich nur auf Merkmale, die auf Malware hinweisen, sodass es für ein monotones Modell egal ist, wie viele „gutartige“ Merkmale eingebaut werden. Ein solches Modell würde weiterhin das Muster „Malware“ erkennen und Alarm schlagen.
Gradientenbasierte Angriffe können dadurch erschwert werden, dass KI-Modelle nur sogenannte Hard Labels ausgeben, also keine Wahrscheinlichkeiten und nur eine Kategorie (z. B. „Schadsoftware“) als Endergebnis.
Ein Angreifer könnte nun allerdings selbst ein Modell trainieren, das auf dem Hard Label Output des Opfermodells als Grundwahrheit basiert. Mithilfe dieses Transfermodells kann er dann den Gradienten des Opfermodells approximieren. Für den Verteidiger ist das Ziel nicht, die Gesamtheit der Angriffe zu vereiteln, sondern die Kosten der Gegner für die Suche nach brauchbaren ML-Angriffsmöglichkeiten so zu erhöhen, dass sie letztendlich unattraktiv wird.
Zum einen können Verteidiger auf eine breitere Palette von Datenquellen zugreifen, z. B. mithilfe von Extended Detection and Response (XDR). Zum anderen ist es wichtig, nicht ausschließlich auf KI zu vertrauen, sondern auch auf andere leistungsfähige Ansätze wie Indicators of Attack zu setzen. Letztendlich brauchen Security-Anbieter vor allem eins: Expertenwissen. Denn die Fähigkeit, gegnerische ML-Angriffe zu erkennen und sein KI-Modell dementsprechend anzupassen, ist für die Verteidigung von entscheidender Bedeutung. Nur dadurch können ML-Monokulturen verhindert und eine erfolgreiche Verteidigung aufgebaut werden.
:quality(80)/p7i.vogel.de/wcms/df/b0/dfb069f4822deb450a9e2901086e764a/0129063525v2.jpeg "Solange mit künstlicher Intelligenz nicht zuverlässig Erlöse erwirtschaftet werden, ist es in den Augen mancher Analysten gefährlich, massiv in Fertigungskapazitäten für AI-Chips zu investieren. (Bild: AMD)")
:quality(80)/p7i.vogel.de/wcms/4c/74/4c74fc8b159433dda8f875c353283eef/0129069237v1.jpeg "Thoughtworks präsentiert mit AI/works eine agentenbasierte Plattform zur Analyse und Modernisierung von Altsystemen in hybriden IT-Umgebungen. (Bild: Thoughtworks)")
:quality(80)/p7i.vogel.de/wcms/0d/7d/0d7d4d387b2df6692d3d0f729d4680d9/0128775027v1.jpeg "Der Autor: Stefan Bär ist CTO und Business Unit Leiter bei Nagarro und verfügt über mehr als 20 Jahre Erfahrung in Software-Engineering, Enterprise-IT und Innovationsmanagement. (Bild: Nagarro)")
:quality(80)/p7i.vogel.de/wcms/ab/71/ab71eadf052742a3133b1bf01a5b4094/0128381066v1.jpeg "Der Autor: Benedikt Bonnmann ist Mitglied des Vorstands der Adesso SE und Experte für Data & Analytics sowie KI (Bild: Adesso SE)")
:quality(80)/p7i.vogel.de/wcms/69/77/6977dceebf7e9d4af0f69fc975ec7890/0129070771v1.jpeg "MongoDB integriert Embedding- und Reranking-Modelle von Voyage AI direkt in die Datenbank, um semantische Abfragen und Retrieval-Workloads ohne externe Vektorspeicher zu ermöglichen. (Bild: Voyage AI)")
:quality(80)/p7i.vogel.de/wcms/44/17/4417973fa69edeb509aebb9aba0579b7/0128919402v1.jpeg "Box Extract wandelt unstrukturierte Unternehmensdokumente per KI in strukturierte Metadaten um und automatisiert Workflows, Suche und Analysen in Unternehmen. (Bild: Box)")
:quality(80)/p7i.vogel.de/wcms/85/2f/852ff89e3ef46f49350791602e5420ed/0128485353v1.jpeg "Couchbase stellt AI Services vor. Einheitliche KI-Datenplattform integriert operative Daten, Vektoren und Modelle und ermögliche sichere und leistungsfähige KI-Anwendungen im großen Maßstab. (Bild: Couchbase)")
:quality(80)/p7i.vogel.de/wcms/21/00/21000a287989508668d9df02312fb708/0127948285v1.jpeg "Der Autor: Dan Adams ist Executive Vice President und General Manager von Enrich bei Precisely (Bild: Precisely)")
:quality(80)/p7i.vogel.de/wcms/eb/93/eb93a51ff7c427f71171f547d011bfb8/0127827710v1.jpeg "Wie Observability technische Daten in geschäftliche Entscheidungen übersetzt und so Management und IT auf dieselbe Landkarte bringt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/73/f8/73f823d4efa52d189464ba7f14e67353/0128362051v1.jpeg "Qlik stattet sein Iceberg-Lakehouse mit Streaming-Ingestion, Echtzeit-Transformationen und Zero-Copy-Mirroring aus. Neue Optionen für hybride Datenarchitekturen. (Bild: Qlik)")
:quality(80)/p7i.vogel.de/wcms/d4/90/d49096fad857f07b788198c34b35e010/0128339234v1.jpeg "Prophet ist ein wertvolles Werkzeug zur Datenanalyse mithilfe von Python und R. (Bild: T. Joos)")
:quality(80)/p7i.vogel.de/wcms/95/a9/95a926949a211ff3f81e7e99876c5065/0128215860v1.jpeg "Audius verspricht KI-gestützte Wettbewerbsanalysen und Benchmarks auf Knopfdruck. (Bild: Audius)")
:quality(80)/p7i.vogel.de/wcms/e1/53/e1539f6251b6e5502bd1856048c4267e/0128161589v2.jpeg "Nikolas Fleschhut, Director und Mitglied der Geschäftsführung bei der HRtbeat GmbH meint: „Employer Branding sollte 2025 für den Mittelstand keine Option mehr sein, sondern ein Muss!“ (Bild: www.bkfotofilm.de – marconomy)")
:quality(80)/p7i.vogel.de/wcms/c9/1a/c91ad9dfc806cc7df9fe7074ca5e64dd/0127064676v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/39/09/390978331ebdf2bcf9510be67adae57d/0126741038v1.jpeg "Der Autor: Jan van Hueth ist Senior-Projektleiter KI im Körber-Einkauf (Bild: Körber AG)")
:quality(80)/p7i.vogel.de/wcms/58/df/58df8fb80642acb12018283c32bc55ad/0129070800v1.jpeg "Prof. Alexander König im Gespräch mit der Bayerischen Gesundheitsministerin Judith Gerlach. Vorne: Der neue Garmi. (Bild: MAX MERGET)")
:quality(80)/p7i.vogel.de/wcms/8d/62/8d62d570c33157ea78ff9697c0f8e141/0129062190v1.jpeg "Ein Roboter greift einen Stecker und passt seine Bewegung situativ an: Rho-alpha dient Microsoft Research als Forschungsplattform, um zu zeigen, wie Simulation und synthetische Trainingsdaten das Lernen physischer KI skalierbar machen sollen. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/41/aa/41aa0e5b61dfb015100a7372018ce585/0128444593v1.jpeg "Die Studie von Revalize zeigt: KI-Widerstand, Fachkräftemangel, geopolitische Risiken und der digitale Produktpass prägen die Fertigung 2026. Unternehmen bündeln Systeme und setzen stärker auf Daten. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/de/a8defd2a773ed58c7a375bb9b1765f75/0128366231v1.jpeg "Ein KI-Agent vor der Werkshalle: Der Sprung vom Prototyp zur produktiven KI scheitert oft an realen Betriebsanforderungen – von Integration über Robustheit bis Wartbarkeit. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/6c/e76c7dca09c6ba87e568703e9226b51d/0128959729v1.jpeg "Der Autor: Mathias Widler ist Vice President Central & Eastern Europe bei Netskope (Bild: Netskope)")
:quality(80)/p7i.vogel.de/wcms/78/43/7843aa74049df153fbe3a48504b78e13/0128881472v1.jpeg "Künstliche Intelligenz birgt für Unternehmen operative, rechtliche und Reputationsrisiken, während ihre Integration oft vor Herausforderungen in der Governance steht. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ed/03/ed03b3f1a51ed083929721c823be9a72/0128967846v1.jpeg "Evasion-Angriffe zielen darauf ab, das vorher eingesetzte Sicherheits- oder Verhaltensprofil eines LLM zu umgehen, indem Eingaben so manipuliert werden, dass das Modell Sicherheitsregeln ignoriert oder sein Verhalten ändert. (Bild: © OKA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/b4/4bb4a38dd71121f624a7a465dabcf4cc/0128735549v1.jpeg "Der Autor: Trevor Dearing ist Director of Critical Infrastructure Solutions bei Illumio (Bild: Illumio)")
:quality(80)/p7i.vogel.de/wcms/7b/88/7b88c3b2a1abe09513fb25943b91f852/0129106836v1.jpeg "In einer speziellen Testumgebung von EWERK können Kommunen ihre KI-Projekte datenschutzkonform testen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9f/ba/9fba1120e021f71cd7609844067b8cf8/0129116615v1.jpeg "Sage Copilot gibt Warnhinweise zu verspätet versendeten Aufträgen im Kontext des aktuell vom Benutzer geöffneten Kunden. (Bild: Sage)")
:quality(80)/p7i.vogel.de/wcms/68/f8/68f8b9869e1288dfa2eeff3a1dc6a7eb/0127838110v1.jpeg "Nicht jedes Modell muss groß sein, um große Wirkung zu erzielen: Small Language Models (SLMs) arbeiten mit deutlich weniger Parametern als ihre großskaligen Gegenstücke, liefern aber in klar umrissenen Aufgabenfeldern vergleichbare Ergebnisse. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/74/05/74053661b14a2f12ec5e98ebd1469197/0127788138v1.jpeg "Ein neuronales Netz als Sprachdenker: Large Language Models verarbeiten Milliarden von Wörtern, um Sprache zu verstehen, zu strukturieren und neu zu erzeugen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0f/36/0f36632bd2160924da97db0211b6e1c0/0127421038v1.jpeg "Agentic AI kombiniert Wahrnehmung, Planung und Aktion: Wie autonome KI-Agenten arbeiten, welche Architektur sie nutzen und wo sie eingesetzt werden. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/eb/bc/ebbcbb417d292f3d20cb3bf87706705c/0125514392v1.jpeg "Big Data beschreibt die Verarbeitung und Analyse riesiger, vielfältiger Datenmengen mithilfe moderner Technologien wie Lakehouse, generativer KI und Data Mesh, um geschäftlichen Mehrwert zu schaffen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/82/9a/829ab32db929fbae572a7c8290463a08/0121295821v1.jpeg "Die Gewinner der BigData-Insider Readers' Choice Awards 2024 (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/48/29/4829b98ab651ba9160c517c0e1388ee2/0121130893v3.jpeg "BigData-Insider verleiht heute die IT-Awards 2024 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/66/72/6672da9970fc4/board-logo-2024.jpeg "board-logo-2024 (Board)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/c6/67c6df851ba69/qunis-profilbild.png "qunis-profilbild (QUNIS)")
:quality(80)/p7i.vogel.de/wcms/65/4b/654bc4a230c32f4bc2200b1574199fd9/0125641702v1.jpeg "Der Autor: Markus Obser ist Gründer und Geschäftsführer der handz.on GmbH (Bild: handz.on GmbH)")
:quality(80)/p7i.vogel.de/wcms/a5/2e/a52e071d501396d2407115d04a62968c/0116267165v1.jpeg "0116267165v1 (Bild: © aga7ta - stock.adobe.com)")