KI ermöglicht neue Nutzungserfahrungen, mit neuen Benefits, aber auch Schwierigkeiten für Entwickler bezüglich der Authentifizierung und Autorisierung.
KI ist allgegenwärtig. Es ist mittlerweile unmöglich, nicht irgendwo auf eine App oder einen Online-Dienst mit KI-Implementierung zu stoßen. Laut IBM nutzen oder erforschen mittlerweile 76% der Unternehmen KI in ihrem Tagesgeschäft, und eine von Okta in Auftrag gegebene Studie der SD Times ergab, dass ganze 97% der Produktentwickler bis Jahresende die Anwendung von KI-Tools in ihrer Arbeit erwarten.
KI bringt Produktivitätssteigerungen wie nie zuvor mit sich. Sie birgt jedoch auch die Gefahr vermehrter Cyberangriffe, die Daten von Unternehmen und User schädigen können.
Da KI immer stärker in unseren Alltag integriert wird, prognostiziere ich eine digitale Zukunft, in der intelligente Agenten in unserem Auftrag und unserem Interesse agieren werden. Sie buchen Hotels oder Flüge für uns, kaufen Konzertkarten oder verkaufen Aktien an der Börse. Da diese Vorgänge die Verarbeitung personenbezogener Daten und Informationen erfordern, vertrauen User ihre Zugangs-Identitäten der KI an.
Wir begegnen einer neuen Dimension der Identifizierungsstandards. Entwickler müssen heutzutage unterschiedliche Zugriffs- und Kontrollstufen in der Kommunikation mit KI-Agenten anbieten, die im Interesse der Nutzer agieren. Die erhöhte Komplexität dieser Sicherheitsanwendungen wird besonders Entwickler von Inhouse-Identitätslösungen vor Herausforderungen stellen.
KI schafft eine neue Bedrohungslage für traditionelle Apps
KI ist in der Lage, die Sicherheit herkömmlicher Anwendungen zu bedrohen, mit KI können Angreifer sehr schnell Systemschwachstellen erkennen und auszunutzen. Beispielsweise werden Chatbots und überzeugende Deepfakes mit Stimmenebene für Social Engineering-Angriffe eingesetzt.
Die Möglichkeiten für kriminelle Machenschaften in diesem Bereich vervielfältigen sich und Phishing-Kampagnen zum Beispiel können einfacher und billiger als bisher ausgeführt werden. Forschungen haben ergeben, dass Deep-Learning-Sprachmodelle in der Lage sind, effektivere Phishing-E-Mails zu schreiben als Menschen.
Da diese identifizierungsbasierten Angriffe immer gefährlicher werden, müssen Entwickler sicherstellen, dass die Autorisierung und Authentifizierung ihrer Anwendungen absolut geschützt sind und dass nur legitime Benutzer:innen erfolgreich auf ihre Konten zugreifen können.
Entwickler sind die neuen Bot-Bekämpfer
Angesichts der sich immer schneller wachsenden Sicherheitsbedrohungen für Anwendungen müssen Entwickler Kriminellen und Bots, die versuchen, die Identität von Kunden zu kompromittieren, den Kampf ansagen. Da Bots fast 50 % des gesamten Internetverkehrs ausmachen, sollten Entwickler:innen einerseits dafür sorgen, dass der Missbrauch von Anmelde- und Login-Daten durch Kriminelle verhindert wird, und andererseits Endnutzer:innen zu digitalen Erfahrungen verhelfen, welche die KI-Akzeptanz erhöhen.
Mittlerweile sind Bots dafür bekannt, dass sie einfache bildbasierte CAPTCHAs lösen können – oft schneller und genauer als Menschen. In diesem Fall können KI-gestützte Tools Bot-Aktivitäten praktisch ohne Beeinträchtigung für die Kunden erkennen, Angriffsmuster analysieren und effektive Abwehrmechanismen in Gang setzen. Diese Tools sind in der Lage, Signale im Zusammenhang mit Anwendungszugriffen zu analysieren und im Vergleich mit historischen Daten nach einheitlichen Mustern zu suchen. Wenn verdächtige Aktivitäten erkannt werden, fordern sie einen zusätzlichen Authentifizierungsfaktor an, um die Identität der Userin oder des Users zu überprüfen.
Neue Schwachstellen gefährden KI-gestützten Apps
Als neues Grenzgebiet der Softwareentwicklung sind KI-Anwendungen zwar mit ähnlichen Sicherheitsproblemen konfrontiert wie herkömmliche Applikationen, z. B. mit unbefugten Zugriffen auf Informationen. Die innovativen Technologien erlauben böswilligen Akteuren jedoch viel raffiniertere Vorgehensweisen.
Bei KI-gestützten Anwendungen werden klassische Bausteine der App-Architektur, wie Frontend, Backend und Datenbanken, durch neue Elemente, wie Large Language Models (LLMs) und Vektordatenbanken, ersetzt. Dadurch sieht sich die herkömmliche Sicherheitsarchitektur einem neuen Ausmaß an Cyber-Angriffen ausgesetzt, unter anderem durch Prompt Injection, Data Poisoning und das Offenlegen von Daten.
Das Open Worldwide Application Security Project (OWASP) hat eine Liste der zehn größten Schwachstellen für LLM-basierte Anwendungen zusammengestellt, viele davon beziehen sich auf Identitätsdelikte. Dazu gehört unter anderem die Offenlegung sensibler Informationen, d.h. wenn eine Anwendung mangels ordnungsgemäßer Autorisierung oder aufgrund fehlerhafter Filtermechanismen sensible Informationen preisgibt. Auch „Excessive Agency“ (übermäßige Autonomie) findet sich in diesen Top 10, d.h. wenn ein autonomer KI-Agent ohne angemessene Vorsichtsmaßnahmen beauftragt wird, einen Vorgang auszuführen, der auf einer Eingabeaufforderung oder der Ausgabe eines LLM basiert.
Das neue Gebiet der App-Entwicklung verleiht den traditionellen Identifizierungsrisiken neue Ausmaße. Unter anderem bei der Sicherstellung des Zugriffs auf bestimmte Ressourcen ausschließlich durch autorisierte Benutzer und bei der Validierung von Identitäten des KI-Agenten für die Ausführung sensibler Vorgänge. Sorgfältige Autorisierungsprozesse sind hier vonnöten.
Hilfreiche Innovationen bringen maßgeschneiderte Lösungen
Im KI-Zeitalter ist die Identitätsprüfung die Grundlage jeder App, aber Entwickler können sie bequem inhouse erstellen und pflegen. Glücklicherweise wird derzeit an Innovationen geforscht, die die Programmierung sicherer KI-Anwendungen hilfreich unterstützen. Das Team von Auth0Lab hat bereits damit begonnen, Möglichkeiten zu erforschen, wie der Schutz KI-basierter Anwendungen durch KI- und Fine-grained Authentifizierung (FGA) sowie Content-Authentizität optimiert werden kann. Bei Okta haben wir unseren kostenlosen Auth0-Plan erweitert und die kostenpflichtigen Angebote attraktiver gestaltet. Wir bieten jetzt Identitäts-Tools wie Multi-Faktor-Authentifizierung (MFA) und passwortlose Anmeldung kostenlos an – und haben Okta AI eingeführt, um die Implementierung und Erweiterung von Identifizierungsvorgängen für jeden Anwendungsfall zu vereinfachen.