KI: Die Zukunft der Cybersicherheit
Im Zeitalter von ChatGPT und anderen KI-gesteuerten Sprach- und Inhaltsgeneratoren werden Organisationen mit einer neuen Herausforderung im Kampf gegen Cyberkriminalität konfrontiert. Bisher haben sie ihre Mitarbeitenden erfolgreich geschult und sensibilisiert, um menschliche Schwachstellen in der Cybersecurity zu minimieren.
Doch jetzt nimmt die Bedrohung durch KI-generierte Social-Engineering-Angriffe noch mehr Fahrt auf und die Technologie ist so weit fortgeschritten, dass die Betrügereien kaum von authentischen Nachrichten zu unterscheiden sind.
Organisationen haben sich in der Vergangenheit intensiv mit einer kritischen Komponente ihrer Cybersicherheit auseinandergesetzt: ihren Mitarbeitenden. Durch kontinuierliches Training haben sie die „Schwachstelle Mensch“ minimiert, und die Nutzer lernten beispielsweise, potenzielle Phishing-Attacken anhand von sprachlichen Unregelmäßigkeiten oder falscher Rechtschreibung und Grammatik zu erkennen.
Durch künstliche Intelligenz (KI) gesteuerte Sprach- und Inhaltsgeneratoren wie ChatGPT heben nun die Herausforderung an die mitarbeiterbezogene Security auf ein neues Niveau, da sie die verräterischen Elemente aus Scams, Phishing-Versuchen und anderen Social-Engineering-Angriffen entfernen können. Eine gefälschte E-Mail vom Vorgesetzten beispielsweise kann dank künstlicher Intelligenz überzeugender klingen als je zuvor, wodurch es den Beschäftigten schwerer fällt, Fakt von Fiktion zu unterscheiden. Im Fall solcher Betrügereien sind die Risiken von KI-Sprachtools nicht technischer, sondern sozialer Natur – und damit beängstigend.
KI-generierte Phishingattacken und ihre spezifischen Risiken
KI-Sprachtools sind heutzutage in der Lage, diverse Aufgaben zu erledigen, von der Erstellung von Blogbeiträgen bis hin zum Verfassen von geschäftlichen E-Mails. Sie sind besonders geschickt darin, überzeugende Inhalte zu generieren und menschliche Sprachmuster nachzubilden. Im Gegensatz zu KI-erzeugter Schadsoftware, die von existierenden Sicherheitsprodukten analysiert und eliminiert werden kann, können Maschinen aber Worte und Nuancen, die in mit künstlicher Intelligenz erstellten Phishing-Nachrichten eingebettet sind, nicht entdeckten. Es sind die Menschen, die diese Scam-Versuche als Empfänger interpretieren und bisher darauf reagieren können.
Da neue KI-Tools wie ChatGPT in der Lage sind, anspruchsvolle und realistische Inhalte nach Bedarf zu produzieren, wird die Rolle des Menschen bei der Verteidigung gegen maschinenerzeugte Phishing-Angriffe allerdings immer kleiner. Die technologische Abwehr wird zunehmend als zentrales Werkzeug zur Identifizierung und zum Schutz Einzelner dienen und muss nun Lösungen finden, um die neue „Qualitätsstufe“ der KI-erzeugten Texte zu enttarnen. Diese sich rapide entwickelnde Situation erfordert eine Neubewertung der Rolle des Sicherheitstrainings im Kampf gegen Social-Engineering-Attacken. Technologien werden zunehmend als zentrales Werkzeug zur Identifizierung und zum Schutz vor maschinengenerierten Phishing-Angriffen dienen. Menschen werden zwar weiterhin eine Rolle spielen, aber nur eine sehr kleine.
Obwohl bisher kein Missbrauch dieser Technologie für Social-Engineering-Inhalte verifiziert wurde, ist davon auszugehen, dass kriminelle Akteure bald schädliche Applikationen für KI-Sprachtools entwickeln werden. Doch bereits heute stellen KI-generierte Phishing-Inhalte einzigartige soziale Risiken dar, die die technische Abwehr unterlaufen können.
Drei Vorhersagen für Cybersicherheit
Obwohl wir uns noch am Anfang des KI-Zeitalters befinden, ist absehbar, dass KI-generierte Phishing-Inhalte künftig ein enorm wichtiges Thema für die Sicherheitsstrategien von Unternehmen werden. Nachfolgend sind drei mögliche Prognosen aufgeführt, wie ChatGPT als Werkzeug für Cyberkriminalität eingesetzt werden könnte und welche Sicherheitsmaßnahmen daraus wahrscheinlich resultieren.
1. Komplexere Nutzerauthentifizierung wird notwendig
Maschinen sind sehr gut darin, wie Menschen zu klingen, weshalb Unternehmen neue Authentifizierungsmöglichkeiten einführen müssen. Jede Kommunikation, die Zugang zu Unternehmensinformationen, Systemen oder monetären Elementen betrifft, erfordert komplexere Formen der Nutzer-Authentifikation. Eine Möglichkeit wäre beispielsweise die Bestätigung per Telefonanruf. Unternehmen könnten auch ein geheimes Tagespasswort einsetzen, um sich gegenüber anderen Instanzen oder Individuen zu identifizieren. Wichtig ist, dass die Methode nicht einfach von Angreifern genutzt werden kann, wenn diese Zugangsdaten kompromittiert haben. Da KI-Technologie sich rasend schnell entwickelt und immer stärker verbreitet, müssen Authentifizierungsmethoden Schritt halten.
2. Legitime Nutzer verwässern die Sicherheitswarnungen
Viele Nutzer verwenden ChatGPT, um schnell beruflichen oder werblichen Inhalt zu produzieren. Das erschwert es, kriminelle Beispiele zu identifizieren. Nicht alle E-Mails, die ChatGPT-erzeugten Text enthalten, sind schädlich, daher können sie nicht alle generell blockiert werden. Anbieter von Sicherheitslösungen könnten als Gegenmaßnahme „Vertrauenspunkte“ oder andere Indikatoren entwickeln, um die Wahrscheinlichkeit zu beurteilen, dass eine Nachricht oder E-Mail zwar KI-generiert, aber dennoch vertrauenswürdig ist. Auch könnten sie KI-Modelle trainieren, um mit künstlicher Intelligenz erstellten Text zu erkennen und ein „Vorsicht“-Banner auf benutzerorientierten
Systemen zu platzieren. In einigen Fällen könnte diese Technologie Nachrichten aus der E-Mail-Inbox des Mitarbeiters herausfiltern.
3. KI-generierter Betrug wird interaktiver
Es ist zu erwarten, dass KI-Sprachprogramme in Zukunft noch stärker von Kriminellen interaktiv genutzt werden, um Phishing-E-Mails oder Einmalnachrichten zu produzieren. Betrüger könnten diese Technologie einsetzen, um Individuen via Echtzeit-Chat zu manipulieren. Nachrichtendienste wie WhatsApp, Signal oder Telegram sind durchgängig verschlüsselt und können daher betrügerische oder KI-generierte Nachrichten in privaten Kanälen nicht filtern. Das könnte sie sehr attraktiv für Betrüger machen, die auf diesen Plattformen ihren Opfern auflauern. Diese Entwicklung könnte Organisationen dazu veranlassen, ihre Sicherheitslösungen zu rekonfigurieren.
Möglicherweise werden Filtertechniken auf individuellen Mitarbeiter-Endgeräten zum Einsatz kommen. Bis dahin sollten Unternehmen und Organisationen allen Kommunikationen misstrauen.
Wo geht die Reise hin?
KI-Sprachwerkzeuge stellen wichtige Fragen für die Zukunft der Cybersicherheit. Es wird immer schwieriger zu unterscheiden, was echt und was gefälscht ist – und zukünftige Entwicklungen werden diese Problematik vermutlich noch verschärfen.
Doch bei allem Risikopotenzial sollte allen klar sein, dass KI-gesteuerte Sprach- und Inhaltsgeneratoren wie ChatGPT für die Bösen genauso verfügbar sind wie für die Guten. Der technologische Fortschritt ist wie ein Flaschengeist: Man kann ihn nicht wieder wegstecken, wenn er unangenehm wird. Die Verfügbarkeit von Tools wie ChatGPT mit den Schutzmaßnahmen, die OpenAI durchzusetzen versucht, wird wahrscheinlich nicht mehr Schaden als Nutzen anrichten. Während krimineller Missbrauch von KI unvermeidlich ist, wird das Gute, das aus einer verantwortungsvollen Verwendung dieser Werkzeuge entstehen kann, wahrscheinlich jeden Missbrauch bei Weitem überwiegen.
Michael Veit ist Security-Experte bei Sophos.