Effektiver Schutz vor Extraktion von Trainingsdaten für industrielle KI-Modelle.
STUTTGART, 3. Juni 2025 – In dem mit über 2 Millionen Euro dotierten Forschungsprojekt KI-FOGGER entwickelt asvin zusammen mit TRUMPF, Aimino, Fraunhofer IPA und DFKI wirksame steganografische und kryptografische Methoden zum Schutz von KI-Modellen. Ziel des jetzt vom BMBF gestarteten und auf drei Jahre angelegten Projekts ist es, KI-Modelle gegen Destillation von Trainingsdaten zu schützen. Die Wirksamkeit der Schutzmethoden wird direkt in Versuchsanordnungen im Maschinen- und Anlagenbau erprobt.
„Die finanziellen Schäden für unbefugte Datenextraktion aus KI-Modellen gehen inzwischen in die Millionen,“ hebt asvin-CEO Mirko Ross, die Dringlichkeit des Forschungsprojekts hervor und gibt direkt Beispiel: „Jüngst wurde dem chinesichen KI Anbieter Deepseek vorgeworfen, das eigene Modell auf Basis von extrahierten Trainingsdaten der US-Konkurrenz aufgebaut zu haben. Mittels Destillation kann ein Konkurrent die eigenen Modelle auf der Wissensbasis des Wettbewerbs antrainieren. Das spart Zeit und Kosten bei der Erhebung und Qualifikation von Trainingsdaten. Ich halte das für eine unfaire Praxis, die zur Verzerrung von Marktanteilen führt.“
KI im Maschinen- und Analagenbau ist ein Schlüsselfaktor für die Wettbewerbsfähigkeit der deutschen Industrie. Dabei steckt viel Know How in den Trainingsdaten für KI-Modelle. Können Trainingsdaten aus KI-Modellen durch die Konkurrenz extrahiert werden, gehen Know How-Vorsprung und damit Wettbewerbsvorteile verloren. Um beides zu halten, müssen KI-Modelle gegen Extraktion geschützt werden. Eine erfolgsverprechende Methode hierfür liefern steganografische Verfahren, bei denen sinnvolle Trainingsdaten mit unsinnigen Daten vermengt werden. Nur mit dem passenden kryptografischen Schlüssel kann der Nutzer die sinnvollen von unsinnigen Daten unterscheiden. Eine Desillation von Trainingsdaten ist damit ohne passenden Schlüssel unmöglich.
Schwerpunkt der Forschung bei KI-FOGGER ist das Training der KI-Modelle: Wie lassen sich Trainingsdaten künstlich in Modellen verwischen und wie müssen kryptografische Marker trainiert werden, damit die künstliche Verschwischung neutralsiert werden kann? Diese und weitere Fragen beantworten die Forscher der asvin Labs in mehreren Schritten:
- Erstellen von Bedrohungsanalysen für KI-Systeme in industriellen Anlagen.
- Entwickeln von Angriffswerkzeugen zur Destillation von Trainimgsdaten in den zu untersuchenden KI-Modellen.
- Durchführen von Angriffen zur Destillation auf KI-Modelle.
- Entwickelnn von Abwehrmethoden zur Destilliation von Trainingsdaten aus KI-Modellen mittels steganografischer*1 Methoden und kryptografischer Schlüssel sowie Marker
Im Projekt untersuchen die KI-Experten steganografische Methoden umfassend auf deren Anwendungspotential im Modell-Trainingsprozess.
Im Ergebnis sollen sich aussagekräftige Modellausgaben in einer stegonografisch “verrauschten” Ergebnismenge verbergen lassen. Die Ergebnisse werden den Projektpartnern zur Verfügung gestellt und anschließend in einem industriellen Demonstrator bei TRUMPF erprobt. Schwerpunkt hierbei sind KI-Entwicklungsprozesse im Maschinen- und Anlagenbau. Wer hier vorsorge, so Ross, könne mit KI neue Marktanteile erobern und halten. Zudem stellen die Projektpartner ihre kryptografischen und steganofrafsichen Verfahren für Peer-Reviews in der kryptografischen und der KI-Sicherheitscommunity bereit.
Bei Fragen zu KI-Trainingsmethoden, Steganografie und Extraktionsvorfällen vermitteln wir gerne ein Hintergrundgespräch mit asvin-CEO Mirko Ross.
Über asvin:
Die asvin GmbH aus Stuttgart bietet Lösungen und Services für Cybersicherheits Analysen mit Fokus auf Automotive, IT/OT, und kritische Infrastrukturen an. Asvin verbindet Cybersecurity mit Knowledge Graphen und KI Ansätzen zu Risk by Context Risikomanagment und Risk Priorisierung. Weitere Info auf https://asvin.io/
Pressekontakt:
