Von jeher gehören Identitätsdaten zu den bevorzugten Beutestücken von Cyberkriminellen. Lassen sich mit ihrer Hilfe doch – häufig unbemerkt von den IT-Sicherheitssystemen und -Teams ihrer Opfer – Konto-Kompromittierungen initiieren und Identitätsbetrüge begehen.
Auf Seiten der Angreifer kommen dabei in aller Regel Social Engineering und Phishing zum Einsatz. Die Erfolgsrate solcher, meist auf schiere Masse setzender, Angriffe ist begrenzt. Individualisierte, auf ein Opfer zugeschnittene Mails und Nachrichten, bieten deutlich höhere Erfolgsraten, erfordern jedoch auch deutlich mehr Arbeitsaufwand und bilden deshalb – bislang – eher die Ausnahme.
Bislang, denn mit dem Auftauchen der ersten KI-basierten Chatbots, wie ChatGPT, lassen sich nun auch auf die breite Masse abzielende Emails und Nachrichten zum Social Engineering und Phishing individualisieren – und dies schnell, unkompliziert und effektiv. Die Erfolgsrate eines einzelnen Angriffs – ganz zu schweigen von einer ganzen Kampagne – kann dank KI wesentlich gesteigert werden. Denn auch Antwortmails, bis hin zu längeren, hochkomplexen Unterhaltungen, lassen sich mit KI-basierten Chatbots ‚realistisch‘ automatisiert erstellen. Die KI benötigt hierzu lediglich die im Internet für jeden frei zugänglichen personenbezogenen und personenbeziehbaren Daten ihrer Opfer. Sie ist sogar in der Lage Mails und Nachrichten, basierend auf den positiven und negativen Reaktionen ihrer Opfer, selbständig immer weiter zu perfektionieren.
Wie solche KI-basierten Angriffe auf die Identitätsdaten praktisch aussehen können, hat Christina Lekati, Expertin für die Abwehr von Social-Engineering-Attacken, erst unlängst im sehr lesenswerten Artikel ‚ChatGPT und die Zukunft des Social Engineering‘ dargelegt. Auch der TÜV schätzt die sich abzeichnende Entwicklung als ernst ein. In seiner vor kurzem veröffentlichten Studie ‚Cybersicherheit in deutschen Unternehmen‘ warnt der Verein explizit vor dem Missbrauch von KI-Systemen durch Cyberkriminelle – auch und gerade im Kontext der Personalisierung und Optimierung von Spear Phishing- und Social Engineering-Kampagnen.
Viele Experten raten nun, um die potenzielle Erfolgsrate KI-gestützter Kampagne zu minimieren, das Bewusstsein für die Problematik in den Belegschaften zu schärfen und KI-basierte Phishing-Kampagnen zu simulieren, um potenzielle Schwachstellen aufzuspüren und schon im Vorfeld einzudämmen. Solche präventiven Maßnahmen sind schön und gut – genügen für sich allein genommen aber noch nicht. Mehr ist erforderlich – und mittlerweile auch möglich. Die Rede ist vom Einsatz verifizierter Identitätsdaten sowie von dezentralen Identitätsmanagement- und Identity Threat Detection and Response (ITDR)-Lösungen.
Um das Risiko von Betrugsfällen zu minimieren, verlangen viele Unternehmen von ihren Kunden mittlerweile verifizierbare Identitätsdaten, digitale Kopien, die durch eine verifizierende Drittpartei – zum Beispiel eine Behörde – der Person ‚beglaubigt‘ zugeordnet werden können. Damit Kunden sich bereit erklären, solche hochqualitativen Identitätsdaten mit einem Unternehmen zu teilen, müssen diese für die Daten zunächst aber ein erhöhtes Schutzniveau herstellen und gewährleisten. Das dezentrale Management digitaler Identitäten ermöglicht ihnen genau dies. Bei einer dezentralen Identitätsmanagementlösung erfolgt die Speicherung, Verwaltung und Teilung der verifizierten Identitätsdaten über eine verschlüsselte digitale Wallet auf dem Smartphone des Kunden. Der behält so stets die volle Kontrolle über seine Daten. Er allein entscheidet, was er wann und mit wem teilen möchte. ITDR schließlich, erlaubt die Identifizierung und Minimierung von und adäquate Reaktion auf identitätsbasierte Bedrohungslagen, wie kompromittierte Nutzerkonten, kompromittierte Passwörter, kompromittierte Daten und anderweitige betrügerische Aktivitäten. Mittels Machine Learning wird dabei typisches von untypischem, menschliches von Bot-Nutzerverhalten unterschieden, so dass im Fall einer Kompromittierung frühzeitig Gegenmaßnahmen ergriffen werden können.
Sich im Zuge des wachsenden Missbrauchs von KI effektiver als bisher vor Identitätsdiebstahl und Konto-Kompromittierungen abzusichern ist nötig und richtig – und dank verifizierter Identitätsdaten, dezentralem Identitätsmanagement und ITDR mittlerweile auch möglich. Identitätsmanagementlösungen der nächsten Generation – so viel ist sicher – werden um diese Features nicht mehr herumkommen.
Dirk Decker, Regional Sales Director DACH & EMEA South bei Ping Identity, www.pingidentity.com