FLUCH ODER SEGEN? GEFAHREN DURCH KI IN DER IT-SICHERHEIT

28.05.2024

Schon längst ist KI kein Hype mehr sondern Realität. Aus vielen Lebensbereichen ist sie inzwischen nicht mehr wegzudenken – auch in der IT-Sicherheit. Diese Entwicklung wirft jedoch Fragen auf: Welche neue Gefahren entstehen durch KI? Was bedeutet das für Unternehmer?

Phishing 2.0

Lange Zeit waren Rechtschreib- und Grammatikfehler klares Indiz einer Phishing-Mail. Dank ChatGPT und Co machen heute nur noch absolute Hacker-Noobs derartige Fehler. Cyberkriminelle nutzen LLMs (Large Language Models), um Phishingtexte übersetzen oder komplett neu schreiben zu lassen.

„Entschuldigung, aber ich kann Ihnen nicht dabei helfen, eine Phishing-E-Mail zu erstellen oder bei einer unethischen oder illegalen Handlung behilflich sein."

Große LLM-Anbieter versuchen natürlich, Gegenmaßnahmen zu ergreifen und weigern sich auf die Aufforderung, eine Vorlage für eine Phishing-Mail zu schreiben, einzugehen. Auch offensichtliche Sätze mit denen versucht werden soll, den Nutzer zur Dateneingabe zu bewegen, lassen sich beispielsweise mit ChatGPT nicht übersetzen.

„I can’t fulfill the request because it´s against my principles and the policies of OpenAI to engage in or support such actions."

Gleichzeitig setzen andere aber auch genau an diesem Punkt an und entwickeln LLM speziell für die Erstellung von Phishing-Mails. Entsprechend trainierte Angebote sind bereits offen zugänglich im Internet zu finden. Auch solche Projekte sind in der Entwicklung und werden immer besser. Für Unternehmen heißt das: Es ist weiterhin eine steigende Qualität der Phishing-Versuche zu erwarten. Um sich zu schützen, braucht es klare Richtlinien für die E-Mail-Kommunikation mit Kunden und Mitarbeitern und regelmäßige Schulungsmaßnahmen. Der Faktor Mensch ist in Sachen Phishing zwar der größte Schwachpunkt, richtig eingesetzt wird er aber zu Ihrer stärksten Waffe

Bildgenerierung

Neben der Textgenerierung ist auch das Generieren von Bildern mittlerweile problemlos möglich. Programme wie Dall-E 2, Stable Diffusion, Midjourney und viele weitere bieten Nutzern zahlreiche kostenlose Möglichkeiten an.„Es ist schnell. Es ist kostenlos. Es ist genau. Es ist vielseitig". Auch Microsoft bietet die Möglichkeit, mittels kreativer KI in Sekundenschnelle Bilder zu erzeugen, an denen ein Grafikdesigner Stunden sitzen würde.

Fotos können nachträglich aufpoliert und in höherer Auflösung dargestellt werden, fiktive Personen können als Werbegesicht agieren, um Copyright und Persönlichkeitsrechte zu umgehen oder man lässt innerhalb von Sekunden vorgegebenen Text in eine Bilddatei umwandeln. Der Kreativität sind dabei keine Grenzen gesetzt. Und so dient Bild-KI nicht nur jenen mit guten Absichten, ein Programm erkennt nicht die Absicht hinter einer Anfrage und weiß nicht zu welchem Zweck eine Bildmontage zweckentfremdet werden kann.

„Die Zeit wird zeigen, ob das über Pausenhof-Mobbing hinaus, bis in die Business-Welt gehen wird. Wir erwarten eine Entwicklung in diese Richtung."

Christian Müller, technischer Geschäftsführer bei Trufflepig Forensics ist überzeugt, dass da noch so einiges auf Unternehmer zukommen wird. Im Gespräch berichtet Müller von Vorfällen, in denen Geschäftsführer durch prekäre Fotomontagen erpresst wurden. Ein skandalöses Bild verbreitet sich immer schneller als die Info, dass es sich dabei um ein Fake handelt. Die Rufschädigung, oftmals irreversibel.

Eine weitere Gefahr: Mittels realer Vorlagen und Bild-KI können Hacker Webcams zur biometrischen Authentifizierung austricksen und sich so Zugriff auf sensible Daten verschaffen. Deswegen raten wir hochwertigen potenziellen Angriffszielen von der Nutzung einer Webcam zur Authentifizierung inzwischen eher ab.

Chatbots

Was mit einer sprechenden Büroklammer begann, beschäftigt heute ITler und Unternehmer auf der ganzen Welt. Chatbots sind textbasierte Dialogsysteme, über die sich in natürlicher Sprache mit einem System kommunizieren lässt. Berühmt-berüchtigtes Beispiel: Karl Klammer, Microsofts sprechende Büroklammer, versuchte in den 90er-Jahren Nutzern den Umgang mit Word zu erklären. Aus heutiger Sicht war die Büroklammer dabei jedoch wenig hilfreich, sondern primär aufdringlich und uneinfühlsam.

Längst hat sich die Technik weiterentwickelt und so ist es heute möglich, ganze Verkaufsgespräche durch Chatbots abwickeln zu lassen. Viele Unternehmen greifen auf diese Technik zurück und lassen Kunden anstelle von echten Sales-Mitarbeitern, von speziell programmierten Chatbots beraten. Das Problem dabei: Derartige Funktionen sind nur durch externe APIs (Application Programming Interfaces) möglich und geben die eingegebenen Daten in der Regel an Dritte weiter. Der User verliert in diesem Moment die Kontrolle über die Daten und kann nicht kontrollieren, ob sie jemals wieder gelöscht werden.

Dazu kommen auch Probleme mit der Sicherheit von solchen Chatbots im Allgemeinen, sprich das, was man von Datenbanken als SQL-Injections kennt. Die gleichen Fehler können jetzt natürlich auch wieder bei der Implementierung von Prompts passieren. “Da gibt es häufiger Probleme mit Commander-Injections und ähnlichen Angriffen, die Hintergrund-Services angreifen und dann eben möglicherweise auch Content auf der eigenen Internetseite platzieren, der da nicht hingehört”, berichtet Müller.

Text-to-Speech

Text-to-Speech (TTS) geht teilweise auf Chatbots zurück, bringt aber noch weitere Funktionen mich sich. Sie macht es möglich, Fließtext in eine akustische Sprachausgabe zu überführen. Die genutzte Sprechstimme wird davor künstlich erzeugt oder durch Tiefe Neuronale Netzte (DNN) mit realen Sprachaufnahmen aufwendig trainiert.

„Auch für Angreifer werden neuronale Netze immer mehr relevant." Überzeugende Audioinhalte ermöglichen es Kriminellen, Vishing-Angriffe durchzuführen und so Mitarbeiter oder Kunden durch gefälschte Anrufe oder Sprachnachrichten zur Datenpreisgabe bewegen.

Potenzielle Szenarien reichen dabei von der automatischen Anrufweiterentwicklung auf die Geräte der Hacker, wo die Anrufer in weitere Gespräche verwickelt werden, bis hin zum Versenden von Autonachrichten in privaten Chats. Das umfasst auch gefälschte Kundensupport-Anrufe, in welchen Kunden unwissentlich im direkten Kontakt mit den Kriminellen stehen.

Software-Code

Durch den Zugriff auf umfassende Datenbanken ist KI auch in der Lage, Software-Code zu lesen und selbst zu schreiben. Zwar kann das für simple Anfragen hilfreich sein, es wäre jedoch fatal sich komplett auf die gegebenenen Antworten zu verlassen.

KI ist noch weit davon entfernt, die hohe Komplexität von Code und aller im Einzelfall dahinter stehenden Systeme zu verstehen. Insbesondere bei der Aufsetzung von Code zum Schutz der Unternehmens-IT könnte dies fatale Folgen haben. Sie ist jedoch bereits in der Lage, einfachen Schadcode zu schreiben und ganze Malwares selbst zu erstellen. Auch teilautomatisierte Cyberangriffe sind bereits bittere Realität.