Algorithmen des maschinellen Lernens werden zunehmend in sicherheitskritischen Anwendungen eingesetzt, wie beispielsweise zur Erkennung von Schadsoftware oder zur Steuerung von autonomen Fahrzeugen. In diesen Anwendungen ist es wichtig, dass die eingesetzten Algorithmen nicht durch einen Angreifer umgangen oder getäuscht werden. Leider sind viele Lernalgorithmen von sich aus nicht robust gegen Angriffe und so hat sich in den letzten Jahren das Forschungsgebiet des "Adversarial Machine Learning" entwickelt, das sowohl Angriffe als auch Verteidigungsmaßnahmen für Lernalgorithmen untersucht.Parallel zu diesen Arbeiten hat ein anderes Forschungsgebiet unter dem Begriff "Digital Watermarking" überraschend ähnliche Probleme untersucht. Das Ziel digitaler Wasserzeichen ist es, Medien wie Bilder und Töne so zu markieren, dass ein Angreifer die Markierung weder entfernen noch extrahieren kann. Obwohl beide Gebiete grundsätzlich unterschiedliche Ziele verfolgen, existieren erstaunliche Parallelen in den entsprechenden Angriffsstrategien. Tatsächlich geht es in beiden Fällen darum, ein gegebenes Erkennungssystem zu täuschen: (a) im Fall des maschinellen Lernens durch eine falsche Klassifikation und (b) im Fall der digitalen Wasserzeichen durch die Entfernung eines Wasserzeichens.Diese Gemeinsamkeit wurden in der Forschung bisher nicht betrachtet und es ist das Ziel des Projekts, diese systematisch zu untersuchen, zu formalisieren und soweit möglich Ansätze aus beiden Gebieten zusammenzuführen. Basierend auf einem formalen Rahmenwerk sollen Angriffe und Gegenmaßnahmen aus einem Gebiet auf das andere übertragen werden und umgekehrt. Es soll so möglich werden, neue Sicherheitsmechanismen für beide Gebiete zu entwickeln und neue Richtungen für eine gemeinsame Forschung zu erschließen.

DFG-Verfahren Sachbeihilfen