Künstliche Intelligenz (KI) – und damit die Sicherheit von und mit KI – ist keine Zukunftsmusik mehr. Sie ist unsere Gegenwart. Und sie ist längst fester Bestandteil unserer täglichen Arbeit für mehr IT-Sicherheit. Gleichzeitig bringt sie eine neue Qualität von Risiken mit sich, die wir in der Security-Branche sehr ernst nehmen müssen.
Von Bach zur künstlichen Intelligenz: eine Zeitreise
Mein erster Berührungspunkt mit KI liegt weit zurück. 1979 las ein Freund von mir in jeder freien Minute in einem dicken, weißen Buch: „Gödel, Escher, Bach“. Als Musiker interessierte mich zunächst nur der Bezug zu Johann Sebastian Bach. Bei meinen Versuchen mit „Das Wohltemperierte Klavier“ und seinen Fugen hat es leider nicht sehr geholfen. Aber dafür lernte ich KI kennen.
Der Autor Douglas R. Hofstadter beschreibt in dem Buch, wie komplexes, intelligentes Verhalten aus erstaunlich einfachen Systemen entstehen kann. Die Idee: auf sich selbst verweisende Schleifenstrukturen, die Bedeutungsebenen schaffen – ob in logischen Beweisen, Zeichnungen oder musikalischen Kompositionen.
Bachs Fugen enthalten immer wieder Melodien, die sich selbst enthalten und die dabei in Variationen gleichzeitig gespielt werden. Dadurch entsteht eine neue musikalische Ebene, in der die einzelne Melodie immer wieder scheinbar verschwindet, aber eigentlich immer da ist. Also ein wenig so wie es für uns auch bei großen Sprachmodellen und generativer KI ist: Das Einzelne verschwindet in einem neuen großen Ganzen.
Wenn komplexe Strukturen auf höherer Ebene Bedeutung erzeugen und wir das dann auch mit digitalen Werkzeugen abbilden können, nennen wir das Ganze künstliche Intelligenz. Bei Hofstadter sind es regelbasierte Systeme. Unsere aktuellen KI-Systeme tun dies in Form von neuronalen Netzen, die durch das Zusammenwirken von Milliarden Parametern scheinbar „intelligente“ Leistungen hervorbringen. Ähnlich wie bei Vogelschwärmen, in Ameisenkolonien oder an der Börse entsteht emergentes Verhalten: Wir nutzen Systeme, die wir selbst nicht mehr vollständig durchschauen, deren Ergebnisse uns aber plausibel und nützlich genug erscheinen, um sie einzusetzen.
Der Balanceakt zwischen Nützlichkeit und Kontrolle
Nach einer jahrzehntelangen Anlaufzeit ist der Einsatz künstlicher Intelligenz in den letzten Jahren sehr schnell sehr selbstverständlich geworden. Ob wir ihre tatsächliche Leistungsfähigkeit bereits weitgehend ausgeschöpft haben oder noch ganz am Anfang einer exponentiellen Kurve stehen, ist offen. Wir sind auf dem kritischen Pfad von einfachen Dialogfunktionen zu teilautonomen oder sogar autonomen Systemen. Hier begegnet technische Effizienz (z. B. Reaktionszeit oder Verlusttoleranz) in einem natürlichen Spannungsverhältnis den menschlichen Qualitäten wie Urteilsvermögen, Verantwortlichkeit und Fähigkeit zu begründbaren Entscheidungen. Und weil wir KI-Systeme immer mächtiger machen, stellt sich immer dringender die Frage: Wie sicher, wie angreifbar und wie vertrauenswürdig sind diese wirklich?
Vertrauen
Ebenso wie bei unseren Partnerinnen und Partnern, im Kreis von Kolleginnen und Kollegen und bei Menschen allgemein können wir auch bei der KI ihre internen Prozesse nicht gut nachvollziehen. Das macht KI nicht nur schwer prüfbar, sondern auch besonders anfällig für gezielte Manipulation, sei es durch adversariale Angriffe oder subtile Eingabeverzerrungen. Aber KI nicht zu nutzen ist natürlich auch keine Lösung. Es hilft alles nichts: Wir müssen damit klarkommen. Wir können nur vertrauenswürdige Werkzeuge und Prozesse etablieren, die uns gut genug schützen.
Es liegt dabei in der Natur der Sache, dass wir uns mit statistischen Wahrscheinlichkeiten anstelle von beweisbaren Wahrheiten, die wir nachvollziehen können, begnügen müssen. In der Praxis geht das meistens gut, aber halt nicht immer. Wo Vertrauen nicht durch Verstehen, sondern durch Gewöhnung entsteht, fehlt im Ernstfall die Grundlage für Kontrolle. Es kann dann zu Missverständnissen darüber kommen, was eine KI leisten kann und was nicht. Es entstehen dann ganz ernstgemeinte Vorschläge, in Ermangelung von verfügbarem Fachpersonal Atomkraftwerke einfach durch KI steuern zu lassen. Das machen wir dann doch lieber nicht.
Der mögliche technische Schutz von KI-Systemen ist vermutlich ausgereifter als der Schutz vor solchen Ideen. Wie sieht es denn überhaupt beim technischen Schutz von KI-Systemen aus? Ein paar Antworten dazu:
- KI-Systeme sind auch nur Soft- und Hardware. Die klassische IT-Sicherheitsarchitektur bleibt relevant – auch für KI. Das ist einerseits etwas schrecklich, andererseits können wir wenigstens gut auf Sicherheit prüfen.
- Es gibt erste KI-spezifische Schutzmechanismen, die zumindest einfache Angriffe wie Prompt Injection etwas entschärfen können. Content-Filtering und Moderationssysteme können vor toxischen oder unerwünschten Ausgaben schützen.
- Mithilfe einer Kombination aus statistischen und regelbasierten Prüfungen lassen sich KI-Systeme überwachen.
- Durch kleinere Modelle wie Small Language Models (SLMs) können wir die Angriffsfläche verringern. Große Modelle wie ChatGPT, Claude oder Gemini sind zwar mächtig, aber besonders schwer kontrollierbar und prüfbar. Und sie sind sehr groß, praktisch nicht transportabel, extrem energiehungrig und sehr teuer im Unterhalt. Dafür gibt es immer bessere und schlauere Lösungen.
Je spezifischer ich eine Aufgabe eingrenzen kann, desto weniger brauche ich ein Allzweck-LLM – und desto besser kann ein SLM eingesetzt werden: SLMs lassen sich besser überblicken, transparenter betreiben, lokal härten und effizienter absichern. Das sind keine Allheilmittel, aber wichtige Bausteine für einen verantwortungsvollen KI-Einsatz. Man könnte fragen: Warum kann sich diese KI, wenn sie schon so viel kann, nicht einfach selbst schützen? Warum bauen wir keine Sicherheits-KI für die KI?
Warum sich KI nicht einfach selbst absichern kann
Schon 1937 hat Alan Turing „On Computable Numbers“ veröffentlicht, eine mathematische Beschreibung dessen, was er eine universelle Maschine nannte, eine Abstraktion, die im Prinzip jedes mathematische Problem lösen kann, das ihr in symbolischer Form vorgelegt wird. Das Entscheidungsproblem zeigte jedoch schon ganz am Anfang die Grenzen des maschinellen Denkens auf. Turing bewies, dass es keine allgemeine Methode gibt, um das Verhalten beliebiger Programme vollständig vorherzusagen. Das gilt auch, oder sogar ganz besonders, für die KI von heute.
In jedem hinreichend mächtigen formalen System gibt es wahre Aussagen, die nicht beweisbar sind. Damit sind wir bei Gödel und seinem Unvollständigkeitssatz. KI kann und wird immer mächtiger werden, auch wenn sie nie vollständig vorhersagbar oder verstehbar sein wird. Natürlich hält uns das nicht davon ab, KI-Systeme zu nutzen.
Eine Superintelligenz jedoch wird es in absehbarer Zeit nicht geben. Wir können keine garantiert fehlerfreie KI bauen, und KI kann das auch nicht. Sie ist interessant und bisweilen faszinierend, aber sie ist weder ein Allheilmittel noch ein Mysterium. Unsere Aufgabe ist es daher nicht, Risiken auszuschließen, sondern sie zu erkennen, zu begrenzen und verantwortungsvoll zu tragen. Pragmatismus ist gefragt: Wir müssen die Chancen nutzen und gleichzeitig die Risiken managen.
Optimistische Stimmen sagen: Das kriegen wir hin.
Pessimistische Stimmen sagen: Das gibt eine Katastrophe.
Pragmatistische Stimmen sagen: Wir müssen da durch.
