Seite 4: Schutzmaßnahmen gesucht

Inhaltsverzeichnis

Wenn ein Hersteller einmal ein autonomes Fahrzeug baut und auf den Markt bringt, dann wird dessen KI voraussichtlich in Hardware kodiert sein, vermutet Geiger. Um das Fahrzeug als Gesamtsystem zu analysieren und eine Attacke auf dessen Steuerungssystem zu entwickeln, müsste ein Angreifer den Wagen in einer Verkehrssituation beobachten, also ihn beispielsweise vor eine Ampel stellen und ausprobieren, bei welchen Abwandlungen die Ampel noch richtig erkannt wird und wann nicht mehr. Derlei Angriffe gelten als extrem aufwendig.

Ein einfacherer Weg wäre ähnlich der Arbeit der Tübinger Forscher eine Transferattacke. Man erzeugt eine generalisierbare Attacke auf einen marktgängigen Algorithmus und hofft damit auch ein konkretes Fahrzeugsystem zu irritieren. Eine grundsätzliche Sicherheit gegen solche Angriffe besteht derzeit nicht.

Es gibt aber Ansätze, autonome Fahrzeugsysteme abzusichern. Redundanz ist ein Zauberwort: Erkennt ein System ein Straßenschild, so kann es diese Information mit hinterlegten Straßenkarten abgleichen. Tempo 100 statt eines erwarteten Stoppschilds? Das wäre ein Widerspruch, auf den der Bordcomputer reagieren kann. Und ob die Fahrbahn frei ist, überprüfen im besten Fall zugleich das Kamerasystem, ein Radar und ein Lidar. Auch heutige Fahrassistenzsysteme wie etwa ein Notbremsassistent setzen bereits auf verschiedene Sensorsysteme.

Eine weitere Schutzfunktion wäre die Erweiterung der KI um mehr Wissen, was in der realen Welt möglich ist und was nicht. Beispielsweise ließen sich genau die Algorithmen am stärksten stören, die den optischen Fluss einzig anhand zweidimensionaler Bilder bestimmen. Schon Algorithmen in Spatial-Pyramid-Architektur, die ihre Berechnungen auf mehrere Bildauflösungen stützen, reagierten robuster. Eine These ist daher, dass Algorithmen weniger störanfällig reagieren, je stärker sie die Welt modellieren.

Dass die Pyramid-Spatial-Architekturen der Weisheit letzter Schluss sind, erwartet Geiger jedoch nicht. Es sei durchaus möglich, dass auch für sie noch eine funktionierende Störmusterattacke gefunden werde. Bisher seien die praktischen Erfolge mit KI-Systemen der Theorie sehr schnell vorausgelaufen. Meldungen von schnellen und guten Klassifikationsergebnissen überstürzen sich und autonomes Fahren scheint schon bald möglich, wenn nur das 5G-Netz ausgebaut wird. „Aber diese Erfolge bedeuten eben nicht, dass man die Entscheidungswege in neuronalen Netzen verstanden hat“, warnt Geiger.

Das Sicherste wäre es, wenn Bilderkenner und Optical-Flow-KIs die Welt in Zukunft ähnlich sehen würden wie der Mensch. Auch dann wären sie noch zu täuschen, etwa durch einen Tempo-100-Aufkleber auf einem Stoppschild – aber das wäre dann nicht so heimtückisch wie die aktuellen Angriffskonzepte und Menschen könnten einen solchen Täuschungsversuch leicht erkennen.

Dieser Artikel stammt aus c't 17/2020.

(agr)