Quantum Machine Learning: eine neue Gefahr für die IT-Sicherheit oder besonders anfällig gegenüber Cyberangriffen?

Im Auftrag des BSI haben wir in einer Studie zusammen mit unserem Partner Fraunhofer IAIS erfasst, was mit Quantum Machine Learning tatsächlich schon möglich ist. Im zweiten Teil dieser Studie untersuchen wir konkret, wie gefährlich Quantum Machine Learning (QML) für die IT-Sicherheit ist – und wie anfällig gegenüber Cyberangriffen.

Wie sind wir hierzu vorgegangen? Als Ausgangspunkt für die Betrachtung der Angreifbarkeit von ML/QML Systemen haben wir den klassischen ML-Lebenszyklus herangezogen und die Unterschiede zwischen klassischem ML- und QML-Lebenszyklus herausgearbeitet. In der näheren Zukunft wird es noch einige Kontinuität geben – beispielsweise werden Trainingsdaten voraussichtlich weiterhin mit klassischem Computing gesammelt, erstellt und verwaltet.

Die Angreifbarkeit des klassischen ML leiten wir aus dem Lebenszyklusmodell ab. Es enthält 5 wiederholbare Phasen: Das Erheben und Vorverarbeiten von Daten sowie das Trainieren, Testen und Anwenden des Modells. Wir haben mögliche Angriffe auf die einzelnen Phasen des ML/QML Lebenszyklus ermittelt sowie weitere Angriffsflächen erläutert, klassifiziert und eingeordnet.

Vier häufige ML-spezifische Angriffstypen lassen sich unterscheiden (es gibt noch weitere):

• Evasion / Adversarial Attacks: Bei dieser Form von Angriffen versucht ein Angreifer das Modell mit schädlichen, sorgfältig manipulierten Daten zu füttern, um die ursprünglich intendierte Funktionsweise des ML-Systems (z. B. einen Spam-Klassifizierer) zu verändern. Unter der Vielzahl von Angriffen dieses Typs, die im Laufe der Jahre entwickelt und verbessert worden sind, gibt es drei verschiedene Formen: White Box-Angiffe (der Angreifer kennt das Zielmodell), Black Box-Angriffe (der Angreifer kennt das Modell nicht) und Grey Box-Angriffe (das Zielmodell ist dem Angreifer in Teilen bekannt).
• Datenvergiftung: Hier versucht der Angreifer in der Trainingsphase, das ML-System mit manipulierten/schädlichen Daten zu füttern, so dass sich das System am Ende des Tages im Sinne des Angreifers verhält (zum Beispiel Spam als normale E-Mails klassifiziert). Angriffe, die auf Data Poisoning basieren, sind für Quantum Machine Learning relevant, da QML nur wirksam und korrekt funktioniert, wenn (analog zu klassischem ML) die (Quantum-)Datenqualität hoch ist.
• Privacy Attacks: Privacy Attacks stellen Angriffe auf die Vertraulichkeit des Systems dar. Sie zielen vor allem darauf ab, die Sicherheit der persönlichen bzw. personenbezogenen Informationen zu verletzen. Ob im Umfeld des klassischen ML oder im QML-Bereich – die Schutzbedürftigkeit personenbezogener Daten bleibt gleich. So hat beispielsweise ein solcher Angriff auf ein Modell zur Gesichtserkennung die Verletzung der Privatsphäre von Nutzern verschiedener Online-Plattformen zur Folge: Ein Angreifer kann zum Namen einer dem Modell bekannten Person in etwa ihr Gesicht berechnen, indem es auf die zum Trainieren verwendeten Bilddaten zurückgreift.
• Modelldiebstahl: Der Modelldiebstahl bezeichnet ein Vorgehen, bei dem ein Angreifer das Modell mithilfe sorgfältig gestalteter Abfragen nachbaut. Dieser Ansatz ist für QML deshalb genauso gefährlich wie für klassisches ML, weil ein Angreifer anhand des gestohlenen Modells (das ihm damit voll zu Verfügung steht) auch im QML-Fall das Wissen ableiten kann, welches er zur Umgehung der QML-basierten (bzw. ML-basierten) Applikation verwenden kann – sei es ein Spamfilter oder ein IPS (Intrusion Prevention System).

Alle vier Angriffstypen betrachten wir auch als für QML relevant, d. h. QML sehen wir sehr wohl als anfällig gegenüber Angreifern, die bereits heute erfolgreich Methoden und Techniken zum Angriff auf klassisches maschinelles Lernen einsetzen. Schauen wir uns mal einen konkreten Fall an.

Fallbeispiel Spam-Filter

Spam-Filter beispielsweise könnten sowohl Ziel von Evasion Attacks als auch von Datenvergiftung und Modelldiebstahl sein. Es gibt kaum Forschung, die sich mit der Spam-Erkennung auf QML beschäftigt. Aus vielen Gründen ist nicht davon auszugehen, dass Praktiker ernsthaft planen, Spam-Erkennungssysteme auf Quantengeräten aufzubauen – weder in naher Zukunft noch in der Zeit mit ausgereifter Quantentechnologie. Offensichtliche Gründe sind sowohl die Kosten als auch die Komplexität, die sich angesichts des derzeitigen Entwicklungsstandes der Spam-Erkennung im klassischen Bereich wahrscheinlich nie rentieren werden. In ähnlicher Weise wird ein böswilliger Akteur eine extreme Motivation benötigen, um den Aufwand (und das Geld) zu investieren, um ein Quantengerät für einen Angriff auf ein Spam-Erkennungssystem zu nutzen. Nichtsdestotrotz sind notwendige Werkzeuge und zugrundeliegende Konzepte wie Textklassifikatoren im Quantum-Bereich untersucht worden und erhalten stetig mehr Aufmerksamkeit.

Zur Klassifizierung von Text (zum Beispiel E-Mails) hat sich neben anderen klassischen Machine Learning Methoden die sogenannte Support Vector Machine (SVM) etabliert. QML verspricht eine starke Effizienzsteigerung von Support Vector Machines, das heißt sie werden schneller. Außerdem benötigt eine Quantum-basierte SVM viel weniger Trainingsdaten als eine klassische SVM. Dieses Phänomen tritt in vielen Anwendungsfällen auf: Während QML klassisches Machine Learning bei großen Trainingsdatensätzen nicht übertrifft (sogar schlechter abschneidet), ist QML bei kleineren Datensätzen überlegen. Dieses Phänomen trifft nicht nur für textbezogene, sondern auch auf bildbezogene Aufgaben zu.

Ist umgekehrt QML gefährlich für die IT-Sicherheit?

Ein Beispiel für die Gefahren von QML für die Cybersicherheit ist die Kryptoanalyse: Ein böswilliger Akteur könnte damit eine Verschlüsselung, die öffentliche Schlüssel nutzt, aushebeln und verschlüsselte Daten leicht lesen. Dies ist der Grund für die Bemühungen des US-amerikanischen National Institute of Standards and Technology (NIST), Krypto-Algorithmen mit öffentlichen Schlüsseln zu finden, die auch in diesem Szenario sicher sind.

Wir gehen davon aus, dass unter Verwendung von QML manipulierte Daten zum Angriff auf klassische ML-Modelle schneller, in größerer Zahl sowie höherer Qualität und mit höherem Verschleierungsgrad (diese schädlichen Daten wären schwerer aufdeckbar) erstellt werden können. Während andere, klassische Angreifer mehr Wissen über das angegriffene System benötigen, kann der quantenfähige böswillige Akteur aufgrund der (mit Quantum gegebenen) höheren Rechenleistung Angriffe wählen, die weniger Wissen erfordern.

Für den Moment kommen wir in der Studie zu dem Schluss, dass QML noch keine tatsächliche Gefahr darstellt oder zumindest punktuell die Sicherheit erhöht – doch beides könnte sich schnell ändern. Da Quantencomputer inzwischen eine technische Realität sind und sich ihre Fähigkeiten offenbar rasch weiterentwickeln werden, erwarten Experten, dass Quantenvorteile für bestimmte Arten von (anspruchsvollen) Berechnungen schon bald in der Praxis nutzbar gemacht werden können. Für den boomenden Bereich des maschinellen Lernens bedeutet dies, dass Quantencomputertechnologien und Algorithmen realistische Anwendungen finden.

Dies wiederum wirft die Frage auf, welche Anwendungsbereiche durch QML angegriffen werden könnten. Ein Bereich, der einem hier sofort in den Sinn kommt, ist das weite Feld der Informations- und Cybersicherheit, nicht zuletzt, weil eine der frühen Erfolgsgeschichten der Quantencomputer-Forschung die Erkenntnis von Shor war, dass universelle Quantencomputer die Kryptographie mit öffentlichen Schlüsseln leicht brechen könnten. Diese Erkenntnis ist zwar beunruhigend, hat aber auch zu intensiver Forschung im Bereich der Post-Quanten-Kryptographie geführt – mit ersten vielversprechenden Ergebnissen wie Learning With Errors (LWE).

Die IT- oder Cybersicherheit umfasst jedoch mehr Aspekte als nur die sichere Kommunikation. Im allgemeineren Kontext kann angewandtes maschinelles Lernen sowohl zu erhöhten Risiken als auch zu verbesserter Sicherheit führen. Zum jetzigen Zeitpunkt ist es jedoch wichtig, darauf hinzuweisen, dass moderne lernende Systeme zwar eine Vielzahl anspruchsvoller Aufgaben lösen können, ihre derzeitigen menschenähnlichen kognitiven Fähigkeiten aber ein relativ junges Phänomen sind. Daher werden ML-Lösungen auch erst seit kurzem zunehmend als offensive oder defensive Werkzeuge in der Cybersicherheit eingesetzt. Eine Postquantum-Sichtweise auf diesen Bereich steht noch weitgehend aus.

Weiterführende Infos finden Sie hier:

Quantum Machine Learning – State of The Art and Future Directions

Quantum Machine Learning im Kontext der IT-Sicherheit

Capgemini and Fraunhofer IAIS lead study in Quantum Machine Learning for IT security

Machine Learning mit Quantencomputern

Quantencomputer gewinnen schnell an Leistungsfähigkeit und beginnen, für reale Anwendungsfälle interessant zu werden. Mit “Quantum-as-a-Service” kann sie theoretisch jeder Interessierte bereits nutzen – Privatpersonen sowie wirtschaftliche oder staatliche Organisationen, nicht mehr nur die Forschung. Damit gilt es, die Chancen und Risiken dieser neuen Technologie zu bewerten. Relevant etwa auch für die IT-Sicherheit dürfte Quantum Machine Learning (QML) werden: Denn mit Methoden des maschinellen Lernens könnten Quantencomputer Aufgaben lösen, die bisher aufgrund ihres großen Umfangs unlösbar sind.

Im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) eruieren wir gemeinsam mit dem Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme IAIS in einer wissenschaftlichen Studie die Bedeutung von QML für die IT-Sicherheit. In diesem Rahmen haben wir zunächst den aktuellen Stand der Forschung zum Thema Quantum Machine Learning erfasst sowie offene Fragen dazu im Detail herausgearbeitet und strukturiert ausgewertet.

Erste Unternehmen experimentieren mit QML

Ein fundierter Überblick über die aktuell realen Möglichkeiten des QML ist auch für Wirtschaftsunternehmen nicht erst in Zukunft von Interesse. Da hohe Investitionen in die Entwicklung des Quantencomputings zügig große Fortschritte erwarten lassen, ist jetzt ein guter Zeitpunkt, um sich auf die Quantenzukunft vorzubereiten. Noch haben die verschiedenen Abteilungen innerhalb der IT und insbesondere der Bereich Forschung & Entwicklung die Gelegenheit dazu, dies ohne starken Konkurrenzdruck zu tun.

Viele unserer Kunden stellen bereits Überlegungen zu ersten Demonstrationen von Quantum Machine Learning an. Im Rahmen des Q-Labs erforschen wir gemeinsam, wie Quantencomputing bestimmte Branchen und Disziplinen unterstützen kann. Dabei geht es Ihnen in erster Linie darum, Erfahrungen mit der Technologie zu sammeln: in der Auswahl der Problemstellungen, in der Quanten-Programmierung und allgemein im Workflow von der Konzeption bis zur Auswertung der Ergebnisse.

Klarheit und Einigkeit besteht allerdings auch in der akademischen Forschung zu vielen zentralen Fragen noch nicht. Dazu gehört die Frage nach der Eignung von Quantencomputern für bestimmte Problemstellungen – z. B. wie begründet die verbreitete Sorge vor dem baldigen Knacken der Public-Key-Verschlüsselung ist. Weiterhin offen ist auch, inwieweit Quantencomputer über die theoretischen Ergebnisse hinaus praktischen Nutzen in der Breite haben werden. Dennoch: Durch diese Unsicherheiten sollte sich niemand von der intensiveren Beschäftigung mit der Thematik abhalten lassen.

Wahrscheinlichkeit ist die Stärke von Quantum Machine Learning

Eine gewisse Unsicherheit gehört bei Machine Learning zum Programm, denn es liegt in seiner Natur, dass das Ergebnis probabilistisch ist. Machine Learning gibt Wahrscheinlichkeiten von Ergebnissen zurück, etwa „mit 99-prozentiger Sicherheit ist auf diesem Bild eine Katze zu sehen“. Die Rechnung mit Wahrscheinlichkeiten wiederum liegt in der Natur des Quantum Computings, denn ein Quantencomputer kann – nach Überführung der Daten in einen Quantenzustand – große Datenmengen viel schneller verarbeiten und damit besonders Wahrscheinlichkeitsrechnungen deutlich effizienter durchführen als ein klassisches System.

Quantencomputing baut für die kommenden Jahre auf hybride Methoden auf

“Pures” Quantum Machine Learning, also die durchgehende Verwendung von Quantensystemen ohne Zuhilfenahme klassischer Rechentechnik, ist noch Zukunftsmusik. Das ist technischen Limitierungen geschuldet: etwa Berechnungsgrößen von aktuell nur wenigen Hundert Qubits und den maximal möglichen Berechnungszeiten, die derzeit im Micro- bis Millisekundenbereich liegen – Quantenzustände sind grundsätzlich sehr fragil.

Daher waren bei der Analyse des aktuellen Technik- und Forschungsstands gemeinsam mit dem Fraunhofer IAIS insbesondere Hybridsysteme zu besprechen, also die Verbindung von klassischen Systemen mit Quantencomputing. Im Fokus stehen dabei die verschiedenen Methoden und Quantenalgorithmen, die für Machine Learning verwendet werden. Mit diesen Hybridsystemen verändern sich Machine-Learning-Lebenszyklen – von der Datensammlung über das Trainieren des Modells bis zu Anwendung – sowie Workflows grundlegend.

Darüber hinaus beziehen wir in der Studie Stellung zu theoretischen Konzepten wie dem mystischen QRAM (Quantum Memory), in dem codierte Quantenzustände zur Berechnung abgelegt und von dort abgerufen werden würden. Wir diskutieren auch den in Veröffentlichungen oft vernachlässigten Aufwand des Codierens binärer Daten in Quantenzustände und hinterfragen in diesem Zusammenhang die erwartete Effizienzsteigerung.

Insgesamt liegt der Fokus auf der Praxisrelevanz. Auch in den nächsten Jahren werden Herstellung und Betrieb von Quantensystemen in der Hand weniger Anbieter liegen. Allerdings liegt es in ihrem Interesse, “Quantum-as-a-Service” auf dem Markt allgemein verfügbar anzubieten und die Systeme dadurch auszulasten. Alle wichtigen Cloud-Provider haben bereits jetzt verschiedene Formen davon von im Portfolio.

Perspektivisch wird sich jede Organisation mit Quantencomputing auseinandersetzen

Die Roadmaps der Hersteller sind für dieses Jahrzehnt soweit gesetzt; daher besteht einige Sicherheit darüber, was wir erwarten können. Aufgrund der erwartbaren Fortschritte rückt Quantum Machine Learning zumindest für kleinere Anwendungsfälle in den Bereich des Praktikablen. Sicherlich bedeutet das noch nicht, dass messbare Nachteile erfährt, wer vom Quantum Push für sich absieht. Marktteilnehmer werden ihren Konkurrenten nicht plötzlich aufgrund von Quantencomputing davonziehen – und der Chief Quantum Officer bekommt auch noch kein großes Büro.

Eine vorrausschauende Betrachtung und Diskussion neuer Möglichkeiten sowie der mit ihnen verbundenen Risiken wird allerdings spätestens in den nächsten Jahren Pflicht für jeden CIO, CTO, oder CISO.

Unsere Analyse des aktuellen Stands von Quantum Machine Learning stellt das BSI öffentlich auf dieser Website zur Verfügung. Direkt zum Studien-pdf gelangen Sie hier.

Im weiteren Verlauf der gemeinsamen Studie mit dem Fraunhofer IAIS werden wir dediziert die Sicherheit von und mit Quantum Machine Learning betrachten. Ergebnisse sind im Sommer zu erwarten.

Autor: Christian Knopf