Durch den Solarwinds-Hack sind Angriffe auf IT-Lieferketten zur größten realen Bedrohung geworden. Attacken auf Supply-Chains sind vor allem für Künstliche Intelligenz (KI) eine massive neue Gefährdung. Um den nächsten Supergau eines Angriffs auf die KI-Datenlieferketten, insbesondere auf das Machine Learning, zu verhindern, entwickelt das Stuttgarter Start-up asvin zusammen mit Spitzenforschern des Karlsruher Institut für Technologie (KIT) neue Ansätze, um Datenlieferketten gegen Angriffe abzusichern.

Das Szenario ist aus Krimis bekannt: Attentäter kapern einen Partyservice, betreten als Lieferanten getarnt unbemerkt von der Security ein Gebäude und richten unter den Partygästen ein Massaker an. Nach einem vergleichbaren Muster haben Cyberkriminelle kürzlich im Rahmen des Solarwinds-Hacks weltweit die Kunden des Software-Unternehmens angegriffen: In ein Update der Solarwinds-Netzwerksoftware „Orion“ bauten Angreifer unbemerkt eine „Hintertür“ ein, durch die sie sich Zugriff auf rund 18.000 Netzwerke von Unternehmen und Behörden verschafften.

Bedrohung für Datenlieferketten

„Da hier die Software-Lieferkette auf der Ebene der Cybersicherheit-Lieferanten kompromittiert wurde, können herkömmliche Cybersecurity-Maßnahmen wie Anti-Virus-Schutz oder das Zero-Trust-Prinzip durch Angreifer überwunden werden“, erklärt asvin-CEO Mirko Ross. „Vielmehr sollten sich Unternehmen dringend um das Risikomangement von Software-Drittanbietern kümmern. Das bedeutet, Entwicklungs-, Herstellungs-, Support- und Wartungsprozesse von Software-Lieferanten müssen vertrauenswürdig und sicher sein. Um eine in diesem Sinne sichere digitale Infrastruktur zu realisieren, sollten alle Beteiligten eine kooperative Haltung entwickeln und global zusammenarbeiten.“

Eine lückenlose Absicherung der Technologie- und Datenlieferketten ist vor allem unumgänglich, um Künstliche Intelligenz vor Attacken zu schützen. Denn wenn es Angreifern gelingt, in die Datenlieferkette einzugreifen und Datensätze zu korrumpieren, lässt sich KI gezielt zu falschen Aussagen lenken. Das kann fatale Folgen haben. So ist z.B. zu befürchten, dass ein KI-basiertes medizinisches Diagnoseverfahren aufgrund manipulierter Trainingsdaten unbemerkt falsche Diagnosen liefert. Manipulierte Daten in der Produktion können zu Qualitätseinbußen oder Stillstandzeiten führen. Denkbar ist außerdem, dass Angreifer die KI in einem „smarten“ Fahrzeug trainieren, um das Verhalten des Fahrzeuges negativ zu beeinflussen.

Innovative Chain-of-Trust

asvin hat eine sichere, robuste Lösung entwickelt, um Sicherheitslücken von IoT-Geräten über Updates zu schließen und langfristig funktionsfähig zu halten. Die von asvin bereitgestellte Software-Plattform und die dezentrale Infrastruktur verteilen Updates und Patches für IoT-Endgeräte. Der Vorgang wird dokumentiert und sichert die Auslieferung der Updates durch die Verwendung von smart contracts vor Manipulationen. Mit dem vom Wirtschaftsministerium Baden-Württemberg geförderten Forschungsprojekt „Poison Ivy“ entwickelt asvin zusammen mit Spitzenforschern des KIT und der tsenso GmbH ein System zur Absicherung von Datenlieferket ten. Dabei werden Daten mit einem nachvollziehbaren „Vertrauenszertifikat“ von der Datenquelle bis zur Verarbeitung in der Cloud verknüpft und unveränderlich über ein Blockchain-System nachvollziehbar gesichert. Ziel der innovativen asvin Chain-of-Trust ist es, Hintertüren für datenbasierte Angriffe in KI-Anwendungen zu erkennen und zu schließen. Die Lösung soll die Lücke zwischen den herkömmlichen Angeboten und den Highend- Verfahren füllen und will dazu beitragen, Vertrauensketten in komplexen verteilten Architekturen des IoT bei moderaten Kosten zu ermöglichen. Die Ergebnisse des Forschungsprojektes werden Ende 2021 erwartet.

Über die asvin GmbH

Im September 2018 gegründet, entwickelt das Stuttgarter Start-up-Unternehmen asvin eine sichere Open- Source-Lösung für den Software-Lebenszyklus im Internet der Dinge. Die Applikation ermöglicht, Sicherheitslücken im IoT und IIoT zu schließen und so Geschäftsprozesse ohne Risiko zu bewältigen. asvin wurde 2020 anlässlich der it-sa zum Besten Cybersecurity-Start-up Deutschlands ausgezeichnet.

Weitere Informationen: www.asvin.io

Firmenkontakt und Herausgeber der Meldung:

asvin GmbH
Eichwiesenrig 1/1
70567 Stuttgart
Telefon: +49 (711) 2204093-80
Telefax: +49 (711) 2204093-44
http://www.asvin.io

Ansprechpartner:
seidel kommunikation
Telefon: +49 (7181) 2629-376
E-Mail: medien@seidel-kommunikation.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel