Generative KI-Technologien haben in den vergangenen 20 Jahren erhebliche Fortschritte gemacht, doch erst jetzt erfreuen sie sich dank der allgemeinen Verfügbarkeit von ChatGPT, BARD und GPT-4 einer breiten öffentlichen Begeisterung.
Die Demokratisierung von KI-Tools und -Ressourcen erlaubt es sowohl Privatpersonen als auch Firmen mit diesen Technologien zu experimentieren und eröffnet neue Wege für Kreativität und Innovation. Doch inwieweit können diese Möglichkeiten durch böswillige Akteure genutzt werden und auf welche Cybersicherheitsbedrohungen sollten Unternehmen sich einstellen? Und können generative KI-Technologien dazu beitragen, die Bedrohungsabwehr zu verbessern?
In allen Branchen nutzen Unternehmen derzeit zunehmend digitale Tools, um die Produktivität zu steigern und wettbewerbsfähig zu bleiben. Dank Cloud-basierter KI-Dienste und Open-Source-Bibliotheken können Entwickler generative KI nun ohne umfangreiche spezifische Kenntnisse in ihre Anwendungen einbinden. Mit dem großen Hype um generative KI-Tools wie ChatGPT ist es nur eine Frage der Zeit, bis Cyberkriminelle Wege finden, sie zu ihrem Vorteil zu missbrauchen.
In der Tat gestatten die verschiedenen Arten generativer KI-Technologien Cyberkriminellen eine erhöhte Kreativität bei der Entwicklung von Betrugsstrategien und Social-Engineering-Taktiken:
- Text: Generative Text-KIs wie ChatGPT können dazu verwendet werden, trotz Sprachbarrieren relativ differenzierte Phishing-E-Mails von Unternehmen zu erstellen. KI-gestützte Phishing-Kampagnen könnten hochgradig individualisierte, persönliche E-Mails erstellen, die Spear-Phishing in großem Maßstab ermöglichen könnten. Zwar haben generative KI-Tools scheinbar Schwierigkeiten, funktionierenden, allgemein nutzbaren Code zu erstellen, jedoch können sie Angreifern helfen, benutzerdefinierten Code und Tools schneller zu entwickeln.
- Text-To-Visual: Dieses Machine-Learning-Modell, das Text in Bilder umwandelt, kann bei böswilliger Verwendung Bilder verfälschen und eine verzerrte Version der Ereignisse darstellen. Denkbar wäre beispielsweise, dass Text-To-Visual-KI verwendet werden könnte, um Geräte oder Apps zu hacken, die auf visuellen Input angewiesen sind. Ein mögliches Szenario wäre es, die KI zu bitten, ihr 100 verschiedene QR-Codes mit einer eingebetteten SQL-Injection-Payload zu generieren. Technisch ist dies bereits möglich, aber KI kann dazu beitragen, dies auf beispiellose Weise in großem Maßstab zu erreichen.
- Video: Video-KI-Technologien ermöglichen die Manipulation von Videobildern, auch unter dem Begriff „Deep Fakes“ bekannt. Betrugs- und Angriffstaktiken lassen sich damit unter Umständen noch überzeugender gestalten: Während Angestellte eine angeblich vom CEO gesendeten E-Mail mit der Bitte um Bankinformationen eher ignorieren werden, hat ein Videoanruf des „CEOs“ deutlich höhere Chancen darauf, die Zielpersonen zu täuschen.
Letztendlich hängt der Erfolg eines Angriffs zwar immer noch von gezielter Aufklärung, strategischer Planung und der Versiertheit des Angreifers ab. Doch diese Entwicklung birgt ein enormes Schadenspotenzial, das derzeit noch etwas unterschätzt wird.
Kein Game Changer in der Malware-Programmierung
Generative KI-Technologie kann Sicherheitsforschern dabei helfen, ihre Programmierfähigkeiten zu erweitern und sie bei der Suche nach Schwachstellen in der Infrastruktur unterstützen, indem sie Wortlisten oder unternehmensspezifischen Code generiert. Diese Methoden könnten theoretisch auch von Angreifern genutzt werden. Verbunden damit ist die Befürchtung, dass immer mehr böswillige Akteure ohne Programmierkenntnisse diese für die Erstellung von Malware verwenden könnten und sich die Bedrohungslage in Zukunft massiv verstärken könnte.
Doch während der Einsatz von generativer KI in der Cybercrime-Landschaft zunimmt, ist er nicht der Game-Changer, für den er anfangs gehalten wurde. Selbst wenn Tools wie ChatGPT den gesamten bösartigen Code schreiben könnten, der für einen Cyber-/Ransomware-Angriff erforderlich ist, gibt es noch viel mehr, was in einen elaborierten Angriff auf eine Geschäftsumgebung einfließt. Es erfordert die Identifizierung von Bedrohungsvektoren, das erfolgreiche Ausnutzen derselben, um in einer fremden Infrastruktur Fuß zu fassen und diese Position zu halten und auszubauen – Aufgaben, die weit mehr erfordern als das, was beispielsweise ChatGPT bieten kann. Insgesamt scheinen die Bedenken in Bezug auf die Verwendung von ChatGPT für die Malware-Entwicklung bislang übertrieben.
Cybersicherheit erfordert maschinelle und menschliche Intelligenz
Trotzdem müssen Unternehmen wachsam bleiben, um mit den neuesten Fortschritten bei Verteidigungstechnologien Schritt zu halten, da Cyberkriminelle sich fortlaufend neue Anwendungsmöglichkeiten für die Technologie erschließen werden. Für Unternehmen bedeutet dies, verstärkt die Schwachstellen zu berücksichtigen, die KI ermöglichen kann und ihre Cybersicherheitsteams zu unterstützen, um die Mitarbeiter kontinuierlich in Bezug auf die neuesten Angriffsmethoden zu schulen.
Außerdem sollten die Möglichkeiten und Grenzen von KI im Unternehmenseinsatz realistisch betrachtet werden. Könnte ein Tool wie ChatGPT einfache Schwachstellen in der Unternehmensinfrastruktur ausfindig machen? Wahrscheinlich ja. Aber das Auffinden komplexerer und schwerwiegenderer Sicherheitslücken, erfordert dagegen menschliche Kreativität und kontextbezogenes Wissen zum jeweiligen System. Nichts ist vergleichbar mit dem, was ein erfahrener Mensch mit einer Hacker-Mentalität produzieren kann. Ein von ChatGPT verfasster Schwachstellenbericht oder ein ähnliches Modell im Vergleich zu einem durchgängig von einem Hacker entwickelten Bericht zeigt diesen Unterschied in der Kompetenz. Im Test erwies sich der Bericht des Ersteren als repetitiv, unspezifisch und ungenau, während Letzterer einen vollständigen Kontext und detaillierte Hinweise zur Schadensbegrenzung bot.
KI-Tools in den Unternehmensalltag oder in die IT-Sicherheit einzubinden, kann viele Vorteile mit sich bringen, es kann allerdings auch Bedrohungen neue Türen öffnen. Daher ist Transparenz in Bezug auf Datentests, ethische und datenschutzrechtliche Überlegungen und Code-Review zur Identifizierung von Fehlern von entscheidender Bedeutung für eine effektive Integration. Die wachsende Bedrohungslandschaft, die Diversifizierung der Angriffsvektoren und die umfangreichen Ressourcen von Cyberkriminellen machen einen mehrgleisigen Ansatz erforderlich, der die Stärken der maschinellen und der menschlichen Intelligenz gleichermaßen nutzt.
Dane Sherrets, Senior Solutions Architect, HackerOne, www.hackerone.com