Cybersicherheit in der Automobilindustrie: GenAI-Modelle als Risiko für die Lieferkette

Die zunehmende Integration von Generativer Künstlicher Intelligenz (GenAI) in Fahrzeugsysteme eröffnet zwar neue Funktionen, bringt jedoch erhebliche Sicherheitsrisiken mit sich. Anders als klassische Software handelt es sich bei diesen Modellen um IT-Systeme, die eigenständig lernen, sich weiterentwickeln und autonom agieren. Diese dynamischen Lösungen begleiten Fahrzeuge über deren gesamten Lebenszyklus – und schaffen dadurch neue Angriffspunkte für Cyberkriminelle.

Besonders problematisch: Viele Automobilhersteller (OEMs) sind beim Training und der Bereitstellung solcher Modelle auf Drittanbieter angewiesen. Häufig wird dabei übersehen, dass GenAI nicht wie statische Software lediglich festgelegte Aufgaben abarbeitet, sondern ein dauerhaftes, „lebendiges“ Cybersicherheitsrisiko in die Lieferkette integriert. Experten raten deshalb, die Modelle vor ihrem Einsatz gründlich auf Sicherheit und Nachvollziehbarkeit zu prüfen.

Virulente Cyberrisiken überfordern aktuelle Sicherheitsmodelle

Im Gegensatz zu herkömmlichen Softwarekomponenten, hängt das Verhalten von GenAI-Modellen von den Daten ab, mit denen sie trainiert werden, sowie von der kontinuierlichen Weiterentwicklung ihres Lernprozesses. Dies macht es den OEMs unmöglich, sie mit den bereits bekannten Methoden vollständig zu testen oder zu sperren.

Zudem werden die meisten GenAI-Modelle von externen Partnern mit Daten, Prozessen und Tools trainiert, optimiert und aktualisiert, die die OEMs nie gesehen haben oder nicht kontrollieren können.  Infolgedessen verteilt sich das Cybersicherheitsrisiko auf alle Phasen des Lebenszyklus eines KI-Modells. Die Hauptfolgen für OEMs sind:

• Die Identität des Erstellers des KI-Modells wird nicht offengelegt.
• Die Quelle der Trainingsdaten kann nicht überprüft werden.
• Es ist nicht ersichtlich, ob während der Feinabstimmung sensible Informationen offengelegt wurden.

Das KI-Modell lernt kontinuierlich, entwickelt sich weiter und verändert mit der Zeit sein Verhalten (dies tritt nur bei KI-Systemen mit Speichermechanismen auf).

Abbildung 1: KI = Neue Risiken in der Lieferkette

Vier Sicherheitsrisiken von GenAI-Modellen

Auf der Grundlage seiner Analyse der KI-Einführung in der Automobilindustrie, hat der Automotive Cybersecurity Anbieter VicOne vier Cyberrisiken mit hoher Auswirkung identifiziert, die bei der Integration von GenAI-Modellen in Fahrzeugsysteme häufig übersehen werden:

1. Schwachstellen der KI-Modelle

Beliebtheit ist nicht gleich Sicherheit. Die am häufigsten verwendeten Open-Source-Modelle sind auch die attraktivsten für Cyberkriminelle. Laut dem Enkrypt AI Safety Leaderboard überschreiten die zehn am häufigsten heruntergeladenen Open-Source-Modelle alle die vom National Institute of Standards and Technology (NIST) festgelegte Sicherheitsschwelle und es wurden bereits mehrere reale Angriffe dokumentiert. So hat etwa Google kürzlich Schwachstellen in seiner Machine Learning-Plattform Vertex AI behoben, die es Cyberkriminellen ermöglicht hätten, von Unternehmen trainierte Modelle zu extrahieren oder zu manipulieren.

Abbildung 2: Laut dem Enkrypt AI Safety Leaderboard bergen alle zehn am häufigsten heruntergeladenen Open-Source-Modelle ein gewisses Cybersicherheitsrisiko.

2. Risiko durch verfälschte Trainingsdaten

Bei der Feinabstimmung der KI-Modelle werden häufig sensible Kundendienstdaten, Wartungsprotokolle und Fahrtenbücher verwendet. Einige Unternehmen nutzen auch öffentlich zugängliche Datensätze von KI-Plattformen.

Diese Vorgehensweise birgt jedoch erhebliche Risiken. Im Jahr 2024 entdeckten Sicherheitsforscher 100 bösartige Modelle zur Codeausführung auf der Plattform Hugging Face. Bei Verwendung dieser Modelle könnten Cyberangreifer Systemcodes ausführen, vertrauliche Daten offenlegen oder tiefgreifendere Sicherheitsverletzungen ermöglichen. Dieser Vorfall zeigt, wie öffentliche KI-Modelle zu ernsthaften Bedrohungen für die Lieferkette werden können.

Wenn die für die Feinabstimmung verwendeten Daten nicht ordnungsgemäß bereinigt werden oder bereits kompromittiert sind, werden sie Teil des Langzeitgedächtnisses des KI-Modells und können vertrauliche Informationen offenlegen oder dauerhafte Sicherheitslücken schaffen.  Schon wenige hundert bösartige Dateneingriffe unter Zehntausenden von Trainingsbeispielen können das Verhalten der KI-Modelle negativ beeinflussen.

Abbildung 3: Verfälschte KI-Modelle können von Cyberkriminellen manipuliert werden, um unbeabsichtigtes oder schädliches Verhalten auszulösen.

3. Lückenhafte Modellübernahme & Proxy-Governance

Während traditionelle Softwarekomponenten in der Regel etablierten Prozessen zur Versionskontrolle und Release-Governance folgen, mangelt es bei KI-Modellen und den damit verbundenen Kontextprotokoll-Proxys manchmal an Governance-Praktiken. Dies kann die Transparenz der eingesetzten Modellversionen beeinträchtigen und deren Rückverfolgbarkeit sowie das Risikomanagement erschweren.

Bei KI-Implementierungen sind MCP (Model Context Protocol)-Proxys zwischen Anwendung und KI-Modell geschaltet. Sie übernehmen die Authentifizierung, die Formatierung von Anfragen und die Netzwerkkommunikation. Ohne eine KI-spezifische Software-Stückliste (AI-SBOM) oder eine gleichwertige Nachverfolgung laufen DevOps-Teams Gefahr, unwissentlich veraltete oder nicht vertrauenswürdige Proxy-Versionen einzusetzen. Diese Lücke eröffnet neue Angriffsvektoren.

Solche Versäumnisse bei der Modellkontrolle unterstreichen die dringende Notwendigkeit einer strengen Governance sowie von SBOM-Praktiken und signierten Modellartefakten bei KI-Implementierungen, um Cyberbedrohungen auf Modellebene zu verhindern.

4. Risiken durch Verhaltensmanipulation

Wenn ein KI-Modell oder dessen versteckte System Prompts offengelegt werden, können Cyberangreifer die genaue Reihenfolge der Guardrail-Token („Passphrasen“ des Modells) zurückverfolgen und schädliche Token (Suffixe) erstellen, um dessen Sicherheitsprüfungen zu umgehen. So zeigte etwa der Imprompter-Angriff, wie scheinbar zufälliges Kauderwelsch bösartige Prompts (Anweisungen) verbergen kann, die persönliche Daten exfiltrieren. Dabei verwandelten Sicherheitsforscher eine Erfassungsaufforderung für persönlich identifizierbare Informationen (PII) in ein verschleiertes Suffix aus zufälligen Zeichen, gaben dies dann in Open-Source-Chatbots (LeChat, ChatGLM) ein und erzielten eine Erfolgsquote von fast 80 % beim Diebstahl von Namen, ID-Nummern, Zahlungsdetails, etc.

Würden solche Techniken gegen Sprachassistenten oder Infotainment-Systeme in Fahrzeugen (IVI) angewendet, könnten Cyberangreifer falsche Navigationsbefehle ausgeben, private Sprachinteraktionen heimlich aufzeichnen oder andere unbefugte Aktionen auslösen und so Sicherheit und Privatsphäre gefährden.

Abbildung 4: Dieses Diagramm veranschaulicht, wie Cyberangreifer die Sicherheitsprüfungen umgehen, um unbefugte Aktionen auszuführen.

Strenge Evaluierung für ECUs und KI-Modelle.

Es geht nicht darum, KI zu vermeiden. Es geht darum, KI zu integrieren und sie wie jeden anderen Datenlieferanten zu behandeln – mit angemessener Governance und Risikokontrollen. Wenn ein GenAI-Modell Entscheidungen innerhalb eines Fahrzeugs trifft, verdient es die gleiche Prüfung wie jeder Hardware- oder ECU -Lieferant. OEMs sollten mit der Umsetzung der folgenden Governance-Praktiken beginnen:

• Erstellung einer Software Bill of Material (SBOM) für KI: Dokumentation der Herkunft des KI-Modells, des Trainingsverlauf, der Risikoklassifizierung und der Ergebnisse der Schwachstellenanalyse.
• Durchführung robuster Sicherheitstests: Obligatorische Penetrationstests durch ein Red Team (Cyberangreifer) und eine Risikoprüfung vor der Bereitstellung, um abnormales Verhalten zu erkennen, einschließlich Prompt-Injection-Tests und Bewertungen der Robustheit gegenüber Cyberangriffen.
• Integration der KI-Modelle in die Cybersicherheits-Governance: Behandlung der KI-Modelle als Teil eines umfassenden Cybersicherheits-Risikomanagements – mit Transparenz über eine einzige Benutzeroberfläche.

GenAI ist nicht mehr nur ein Werkzeug. Es ist ein unsichtbares, lebendiges und sich weiterentwickelndes System, das tief in den Kern von KI-fähigen, softwaredefinierten Fahrzeugen eingebettet ist. Obwohl es sich um eine intelligente und innovative Komponente handelt, müssen konsequente Kontrollen und Überwachungen durchgeführt werden, um die Sicherheit vor drohenden Cyberrisiken zu gewährleisten.

Erfahren Sie mehr zum Thema „KI in der Automobilindustrie: Neudefinition des Cybersicherheitsrahmens“ im YouTube Vortrag von VicOne CEO Max Cheng.

Autorin: Ling Cheng, Marketing Director bei VicOne

Lesen Sie auch

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky