TÜV SÜD unterstützt Unternehmen mit Penetrationstests für KI-Systeme. Während die Aufrechterhaltung der Netzwerksicherheit mit der Bekämpfung von Phishing, Ransomware-Attacken oder DNS Hijacking für CISOs längst Alltag sind, werden die Angriffe über KI-Systeme immer häufiger. Das Vorgehen der Cyberkriminellen erfolgt dabei beispielsweise über Prompt Injection oder Model Inversion. Auch sie zielen auf die sensible Daten und Geschäftsgeheimnisse der Unternehmen. KI-Penetrationstests gewährleisten die Integrität, Fairness und Robustheit von KI-Systemen.
KI-Penetrationstests sind spezialisierte Assessments, die Lücken in KI- und Machine Learning-Systemen aufdecken sollen. Dabei werden die Robustheit des Modells, die Sicherheit der Daten-Pipeline und die Anfälligkeit für Bedrohungen wie gegnerische Angriffe, Modellinversion oder Data Poisoning bewertet. Das Ziel besteht darin, die Vertraulichkeit, Integrität und Zuverlässigkeit von KI-gestützten Anwendungen unter realistischen Angriffsszenarien sicherzustellen.
Anwendungsszenarien
Es gibt unterschiedliche Anwendungsszenarien für KI-Penetrationstests: Sie können helfen LLM-Sicherheitslücken in Web-Anwendungen frühzeitig in der Entwicklungsphase zu erkennen, das Risiko für Datenlecks, Missbrauch oder Manipulation von LLMs in Applikationen zu bewerten oder prädiktive und benutzerdefinierte LLMs umfassend hinsichtlich Daten, Training und Algorithmen zu überprüfen.
In 5 Stufen zu robusteren KI-Systemen
Erfahrene KI-Experten von TÜV SÜD unterstützen Unternehmen in fünf Schritten bei der Verbesserung ihrer KI-Systeme. In einem Kick-Off Meeting werden Ziele definiert und Abläufe besprochen. Dann werden relevante Informationen zusammengetragen. Im dritten Schritt folgt das eigentliche Pentesting. Im Gegensatz zum klassischen Pentesting von Netzwerken oder Servern, erfordert KI-Pentesting Kenntnisse in den Bereichen maschinelles Lernen, Testen von Eingabe-/Ausgabeverhalten und Modelllogik. TÜV SÜD setzt bei seinen Assessments auf die Teststandards NIST AI Risk Management Framework, OWASP Top 10 für LLMs / ML Security und MITRE ATLAS. Danach werden die Ergebnisse durch TÜV SÜD analysiert und letztlich mit dem Unternehmen besprochen.
„Je stärker sich KI verbreitet, desto attraktiver wird sie auch für Kriminelle. Denn durch ihre schnelle Entwicklung ist das Thema Sicherheit oft noch nicht optimal integriert. Egal, ob Unternehmen KI-Modelle optimieren oder LLMs in Applikationen integrieren, die KI-systemspezifischen Schwachstellen müssen frühzeitig identifiziert werden“ meint Vaibhav Pulekar, Senior General Manager Cybersecurity bei TÜV SÜD. „Denn wer seine Modelle oder Anwendungen nicht überprüfen lässt, riskiert ernsthafte Sicherheits- und Datenschutzrisiken durch Lücken im System.“
Weitere Informationen zu den AI-Services von TÜV SÜD gibt es unter tuvsud.com/en/topics/artificial-intelligence.
KI-Penetrationstests sind spezialisierte Assessments, die Lücken in KI- und Machine Learning-Systemen aufdecken sollen. Dabei werden die Robustheit des Modells, die Sicherheit der Daten-Pipeline und die Anfälligkeit für Bedrohungen wie gegnerische Angriffe, Modellinversion oder Data Poisoning bewertet. Das Ziel besteht darin, die Vertraulichkeit, Integrität und Zuverlässigkeit von KI-gestützten Anwendungen unter realistischen Angriffsszenarien sicherzustellen.
Anwendungsszenarien
Es gibt unterschiedliche Anwendungsszenarien für KI-Penetrationstests: Sie können helfen LLM-Sicherheitslücken in Web-Anwendungen frühzeitig in der Entwicklungsphase zu erkennen, das Risiko für Datenlecks, Missbrauch oder Manipulation von LLMs in Applikationen zu bewerten oder prädiktive und benutzerdefinierte LLMs umfassend hinsichtlich Daten, Training und Algorithmen zu überprüfen.
In 5 Stufen zu robusteren KI-Systemen
Erfahrene KI-Experten von TÜV SÜD unterstützen Unternehmen in fünf Schritten bei der Verbesserung ihrer KI-Systeme. In einem Kick-Off Meeting werden Ziele definiert und Abläufe besprochen. Dann werden relevante Informationen zusammengetragen. Im dritten Schritt folgt das eigentliche Pentesting. Im Gegensatz zum klassischen Pentesting von Netzwerken oder Servern, erfordert KI-Pentesting Kenntnisse in den Bereichen maschinelles Lernen, Testen von Eingabe-/Ausgabeverhalten und Modelllogik. TÜV SÜD setzt bei seinen Assessments auf die Teststandards NIST AI Risk Management Framework, OWASP Top 10 für LLMs / ML Security und MITRE ATLAS. Danach werden die Ergebnisse durch TÜV SÜD analysiert und letztlich mit dem Unternehmen besprochen.
„Je stärker sich KI verbreitet, desto attraktiver wird sie auch für Kriminelle. Denn durch ihre schnelle Entwicklung ist das Thema Sicherheit oft noch nicht optimal integriert. Egal, ob Unternehmen KI-Modelle optimieren oder LLMs in Applikationen integrieren, die KI-systemspezifischen Schwachstellen müssen frühzeitig identifiziert werden“ meint Vaibhav Pulekar, Senior General Manager Cybersecurity bei TÜV SÜD. „Denn wer seine Modelle oder Anwendungen nicht überprüfen lässt, riskiert ernsthafte Sicherheits- und Datenschutzrisiken durch Lücken im System.“
Weitere Informationen zu den AI-Services von TÜV SÜD gibt es unter tuvsud.com/en/topics/artificial-intelligence.
