Illustration Absmeier foto freepik

Die Integration von GenAI in Automobilsysteme bringt nicht nur Vorteile, sondern birgt auch Risiken für die gesamte Lieferkette.

Die Integration von GenAI in Fahrzeugsysteme bringt neben neuen Funktionen auch die Einbettung eines IT-Systems mit sich, das eigenständig lernt, sich weiterentwickelt und autonom arbeitet. Diese adaptiven und dynamischen, während des gesamten Lebenszyklus im Fahrzeug verbleibenden Lösungen, führen zu einer neuen Cybergefahr für die gesamte Automobilindustrie.

Bei Training und Bereitstellung dieser KI-Modelle sind die meisten Automobilhersteller (OEMs) auf Drittanbieter angewiesen und übersehen leicht, dass die GenAI-Modelle nicht wie statische Softwarekomponenten nur stur Aufgaben ausführen, sondern quasi ein »lebendiges« Cybersicherheitsrisiko in der Lieferkette darstellen.

Deshalb sollten sich Unternehmen vor dem Einsatz dieser KI-Modelle fragen, ob diese sicher und nachvollziehbar sind.

Virulente Cyberrisiken überfordern aktuelle Sicherheitsmodelle

Im Gegensatz zu herkömmlichen Softwarekomponenten, hängt das Verhalten von GenAI-Modellen von den Daten ab, mit denen sie trainiert werden, sowie von der kontinuierlichen Weiterentwicklung ihres Lernprozesses. Dies macht es den OEMs unmöglich, sie mit den bereits bekannten Methoden vollständig zu testen oder zu sperren.

Zudem werden die meisten GenAI-Modelle von externen Partnern mit Daten, Prozessen und Tools trainiert, optimiert und aktualisiert, die die OEMs nie gesehen haben oder nicht kontrollieren können. Infolgedessen verteilt sich das Cybersicherheitsrisiko auf alle Phasen des Lebenszyklus eines KI-Modells. Die Hauptfolgen für OEMs sind:

Die Identität des Erstellers des KI-Modells wird nicht offengelegt.
Die Quelle der Trainingsdaten kann nicht überprüft werden.
Es ist nicht ersichtlich, ob während der Feinabstimmung sensible Informationen offengelegt wurden.
Das KI-Modell lernt kontinuierlich, entwickelt sich weiter und verändert mit der Zeit sein Verhalten (dies tritt nur bei KI-Systemen mit Speichermechanismen auf).

Abbildung 1: KI = Neue Risiken in der Lieferkette

Vier Sicherheitsrisiken von GenAI-Modellen

Auf der Grundlage seiner Analyse der KI-Einführung in der Automobilindustrie, hat der Automotive Cybersecurity Anbieter VicOne vier Cyberrisiken mit hoher Auswirkung identifiziert, die bei der Integration von GenAI-Modellen in Fahrzeugsysteme häufig übersehen werden:

Schwachstellen der KI-Modelle

Beliebtheit ist nicht gleich Sicherheit. Die am häufigsten verwendeten Open-Source-Modelle sind auch die attraktivsten für Cyberkriminelle. Laut dem Enkrypt AI Safety Leaderboard überschreiten die zehn am häufigsten heruntergeladenen Open-Source-Modelle alle die vom National Institute of Standards and Technology (NIST) festgelegte Sicherheitsschwelle und es wurden bereits mehrere reale Angriffe dokumentiert [1]. So hat etwa Google kürzlich Schwachstellen in seiner Machine Learning-Plattform Vertex AI behoben, die es Cyberkriminellen ermöglicht hätten, von Unternehmen trainierte Modelle zu extrahieren oder zu manipulieren [2].

Abbildung 2: Laut dem Enkrypt AI Safety Leaderboard bergen alle zehn am häufigsten heruntergeladenen Open-Source-Modelle ein gewisses Cybersicherheitsrisiko.

Risiko durch verfälschte Trainingsdaten

Bei der Feinabstimmung der KI-Modelle werden häufig sensible Kundendienstdaten, Wartungsprotokolle und Fahrtenbücher verwendet. Einige Unternehmen nutzen auch öffentlich zugängliche Datensätze von KI-Plattformen.

Diese Vorgehensweise birgt jedoch erhebliche Risiken. Im Jahr 2024 entdeckten Sicherheitsforscher 100 bösartige Modelle zur Codeausführung auf der Plattform Hugging Face [3]. Bei Verwendung dieser Modelle könnten Cyberangreifer Systemcodes ausführen, vertrauliche Daten offenlegen oder tiefgreifendere Sicherheitsverletzungen ermöglichen. Dieser Vorfall zeigt, wie öffentliche KI-Modelle zu ernsthaften Bedrohungen für die Lieferkette werden können.

Wenn die für die Feinabstimmung verwendeten Daten nicht ordnungsgemäß bereinigt werden oder bereits kompromittiert sind, werden sie Teil des Langzeitgedächtnisses des KI-Modells und können vertrauliche Informationen offenlegen oder dauerhafte Sicherheitslücken schaffen. Schon wenige hundert bösartige Dateneingriffe unter Zehntausenden von Trainingsbeispielen können das Verhalten der KI-Modelle negativ beeinflussen.

Abbildung 3: Verfälschte KI-Modelle können von Cyberkriminellen manipuliert werden, um unbeabsichtigtes oder schädliches Verhalten auszulösen.

Lückenhafte Modellübernahme & Proxy-Governance

Während traditionelle Softwarekomponenten in der Regel etablierten Prozessen zur Versionskontrolle und Release-Governance folgen, mangelt es bei KI-Modellen und den damit verbundenen Kontextprotokoll-Proxys manchmal an Governance-Praktiken. Dies kann die Transparenz der eingesetzten Modellversionen beeinträchtigen und deren Rückverfolgbarkeit sowie das Risikomanagement erschweren.

Bei KI-Implementierungen sind MCP-Proxys (Model Context Protocol) zwischen Anwendung und KI-Modell geschaltet. Sie übernehmen die Authentifizierung, die Formatierung von Anfragen und die Netzwerkkommunikation. Ohne eine KI-spezifische Software-Stückliste (AI-SBOM) oder eine gleichwertige Nachverfolgung laufen DevOps-Teams Gefahr, unwissentlich veraltete oder nicht vertrauenswürdige Proxy-Versionen einzusetzen. Diese Lücke eröffnet neue Angriffsvektoren.

Solche Versäumnisse bei der Modellkontrolle unterstreichen die dringende Notwendigkeit einer strengen Governance sowie von SBOM-Praktiken und signierten Modellartefakten bei KI-Implementierungen, um Cyberbedrohungen auf Modellebene zu verhindern.

Risiken durch Verhaltensmanipulation

Wenn ein KI-Modell oder dessen versteckte System Prompts offengelegt werden, können Cyberangreifer die genaue Reihenfolge der Guardrail-Token (»Passphrasen« des Modells) zurückverfolgen und schädliche Token (Suffixe) erstellen, um dessen Sicherheitsprüfungen zu umgehen. So zeigte etwa der Imprompter-Angriff, wie scheinbar zufälliges Kauderwelsch bösartige Prompts (Anweisungen) verbergen kann, die persönliche Daten exfiltrieren [4]. Dabei verwandelten Sicherheitsforscher eine Erfassungsaufforderung für persönlich identifizierbare Informationen (PII) in ein verschleiertes Suffix aus zufälligen Zeichen, gaben dies dann in Open-Source-Chatbots (LeChat, ChatGLM) ein und erzielten eine Erfolgsquote von fast 80 % beim Diebstahl von Namen, ID-Nummern, Zahlungsdetails, etc.

Würden solche Techniken gegen Sprachassistenten oder Infotainment-Systeme in Fahrzeugen (IVI) angewendet, könnten Cyberangreifer falsche Navigationsbefehle ausgeben, private Sprachinteraktionen heimlich aufzeichnen oder andere unbefugte Aktionen auslösen und so Sicherheit und Privatsphäre gefährden.

Abbildung 4: Dieses Diagramm veranschaulicht, wie Cyberangreifer die Sicherheitsprüfungen umgehen, um unbefugte Aktionen auszuführen.

Strenge Evaluierung für ECUs und KI-Modelle.

Es geht nicht darum, KI zu vermeiden. Es geht darum, KI zu integrieren und sie wie jeden anderen Datenlieferanten zu behandeln – mit angemessener Governance und Risikokontrollen. Wenn ein GenAI-Modell Entscheidungen innerhalb eines Fahrzeugs trifft, verdient es die gleiche Prüfung wie jeder Hardware- oder ECU -Lieferant. OEMs sollten mit der Umsetzung der folgenden Governance-Praktiken beginnen:

Erstellung einer Software Bill of Material (SBOM) für KI: Dokumentation der Herkunft des KI-Modells, des Trainingsverlauf, der Risikoklassifizierung und der Ergebnisse der Schwachstellenanalyse.
Durchführung robuster Sicherheitstests: Obligatorische Penetrationstests durch ein Red Team (Cyberangreifer) und eine Risikoprüfung vor der Bereitstellung, um abnormales Verhalten zu erkennen, einschließlich Prompt-Injection-Tests und Bewertungen der Robustheit gegenüber Cyberangriffen.
Integration der KI-Modelle in die Cybersicherheits-Governance: Behandlung der KI-Modelle als Teil eines umfassenden Cybersicherheits-Risikomanagements – mit Transparenz über eine einzige Benutzeroberfläche.

GenAI ist nicht mehr nur ein Werkzeug. Es ist ein unsichtbares, lebendiges und sich weiterentwickelndes System, das tief in den Kern von KI-fähigen, softwaredefinierten Fahrzeugen eingebettet ist. Obwohl es sich um eine intelligente und innovative Komponente handelt, müssen konsequente Kontrollen und Überwachungen durchgeführt werden, um die Sicherheit vor drohenden Cyberrisiken zu gewährleisten.

Ling Cheng, Marketing Director bei VicOne

Erfahren Sie mehr zum Thema »KI in der Automobilindustrie: Neudefinition des Cybersicherheitsrahmens« im YouTube Vortrag von VicOne CEO Max Cheng.

https://www.youtube.com/watch?v=YHUgzgd6z50

[1] https://www.enkryptai.com/llm-safety-leaderboard

[2] https://www.darkreading.com/cloud-security/google-ai-platform-bugs-proprietary-enterprise-llms

[3] https://www.darkreading.com/application-security/hugging-face-ai-platform-100-malicious-code-execution-models

[4] https://www.wired.com/story/ai-imprompter-malware-llm/

1267 Artikel zu „KI Automobil“

News | Digitalisierung | Favoriten der Redaktion | Infrastruktur | Künstliche Intelligenz | Logistik | Services | Strategien

Kein Auto ohne KI: So verändert KI die Automobilproduktion und das Fahrerlebnis

6. August 2025

Die Automobilbranche erlebt gerade eine KI-Revolution, denn Künstliche Intelligenz wird nicht nur die Grundlage für das autonome Fahren. Sie verändert auch, wie Menschen mit Fahrzeugen interagieren und wie die Hersteller ihre neuen Modelle entwickeln, fertigen und vermarkten. Experten erklären, wie KI den gesamten Lebenszyklus eines Fahrzeugs durchziehen kann. Ohne KI geht in der Automobilbranche…