Analyse potenzieller Cybersicherheitsrisiken beim Einsatz von KI im Zukunftsmodell des Schweizer Stromökosystems
Der zu erwartende Anstieg des Einsatzes von Künstlicher Intelligenz (KI) in kritischen Infrastrukturen birgt neue Herausforderungen für die Cybersicherheit und digitale Souveränität der Schweiz.
Das Nationale Testinstitut für Cybersicherheit NTC hat deshalb eine Risikobewertung für den KI-gestützten Ausbau des Schweizer Stromökosystems durchgeführt, um potenzielle Bedrohungen frühzeitig zu erkennen und Empfehlungen abzuleiten.
Im Rahmen der Analyse wurden die folgenden acht Risiken für ein mögliches Zukunftsmodell des Schweizer Stromökosystems identifiziert und mit Cyber-, Digitalisierungs-, und KI-Expertinnen und -Experten diskutiert.
1. Erhöhte Angriffsfläche kommerzieller Endkundenprodukte
2. Kaskadeneffekte aufgrund hoher Komplexität
3. Unabsichtliche KI-Fehler
4. Herstellerabhängigkeiten
5. Abfluss und Missbrauch sensitiver Daten
6. Störungen bei der Datenübertragung
7. Backdoors und gezielte Manipulation
8. Absichtliche Manipulation der Datengrundlage
Die Expertinnen und Experten haben in den Gesprächen deutlich die Wichtigkeit einer Analyse des sich verändernden Stromökosystems hervorgehoben – sei dies aufgrund von zunehmender Digitalisierung, Vernetzung oder dem Einsatz von KI. Unter den Expertinnen und Experten bestand Konsens über die Relevanz und Dringlichkeit der identifizierten acht Risiken. Sie haben bekräftigt, dass es sich um ernstzunehmende Risiken handelt, die berücksichtigt werden müssen. Entsprechend wurden viele Risiken als „hoch“ oder „sehr hoch“ eingestuft. Die Ergebnisse unterstreichen die Notwendigkeit, dass das NTC die durch die KI hervorgerufenen Herausforderungen intensiv und proaktiv behandelt.
Am höchsten bewertet haben Expertinnen und Experten das Risiko von kommerziellen Endkundenprodukten, die in einer sehr grossen Zahl in das Kommunikationsnetz des Stromsystems eingebunden sind. Kommerzielle Endkundenprodukte sind Produkte, die für den direkten Verkauf an Verbrauchende (Endkundinnen und -kunden) bestimmt sind. Diese Produkte werden für den persönlichen oder häuslichen Gebrauch entwickelt und vertrieben, im Gegensatz zu Produkten, die für Unternehmen oder den industriellen Gebrauch bestimmt sind. Kommerzielle Endkundenprodukte umfassen Geräte, wie intelligente Haushaltsgeräte, die mit dem Internet verbunden sind. Dies können Waschmaschinen, Trockner oder Wechselrichter von Solarstromanlagen sein. Schwachstellen aufgrund unzureichender Cybersicherheit und fehlenden Sicherheitsupdates könnten ausgenutzt werden, um das Stromnetz zu destabilisieren, falsche Informationen einzuspeisen oder destruktive Verbrauchs- und Produktionsmuster zu erzeugen.
Dieses Risiko wird durch den Einsatz von KI erhöht. Einerseits besteht eine Abhängigkeit zu den wenigen Anbietern von KI-Modellen, welche absichtlich oder unabsichtlich destruktive Verbrauchs- oder Produktionsmuster erzeugen könnten. Andererseits steigt die Komplexität, wodurch es für Menschen zunehmend schwierig wird, das Zusammenspiel verschiedener, miteinander vernetzter Komponenten vollständig nachzuvollziehen, um Vorfälle antizipieren und abwenden zu können.
11 von 12 Expertinnen und Experten haben sich bei der Risikobewertung für eine der beiden höchsten Wahrscheinlichkeiten («wahrscheinlich» bis «sehr wahrscheinlich») ausgesprochen und die Auswirkungen als «erheblich» bis «kritisch» eingestuft. Die Expertinnen und Experten stimmten zu, dass diese Geräte aufgrund des Zeitdrucks für eine schnelle Markteinführung oft nicht ausreichend auf ihre Cybersicherheit getestet werden.
Empfehlungen
Den Cybersicherheitsrisiken, die durch die KI hervorgerufen werden, muss mit der notwendigen Sensibilisierung und Regulierung, den notwendigen Mitteln, sowie wiederholender Cybersicherheitsprüfungen begegnet werden: