Spätestens mit der Veröffentlichung von ChatGPT rückte generative KI in fast allen Bereichen unseres Lebens in den Fokus. Ein nicht wirklich neues Konzept ist zu einem der bedeutendsten technologischen Disruptoren unserer Zeit geworden – und birgt Chancen und Risiken für die Cybersecurity. So gab es bereits Fälle, in denen Kriminelle ChatGPT glaubhaftere Phishing-E-Mails haben schreiben lassen. Als Nächstes könnten Kriminelle KI einsetzen, um sich bei Zoom als Vorgesetzte auszugeben. Bereits 2021 konnten Betrüger 35 Millionen Dollar erbeuten, indem sie die Stimme des CEOs einer Bank in Dubai fälschten.
Cybersecurity und KI: ein zweischneidiges Schwert
Künstliche Intelligenz bietet Chancen für die Cybersecurity. So kann KI Sicherheitsteams dabei unterstützen, Bedrohungen schneller zu erkennen. Sie kann die Entscheidungsfindung in Gefahrensituationen vereinfachen, Aufgaben automatisieren und so den Teams mehr Freiraum für Aufgaben und Innovationen einräumen.
Mit derselben Funktionsweise ist sie aber gleichzeitig eine große Bedrohung für unsere Online-Sicherheit. Denn auch Cyberkriminelle verwenden sie, um ihre Angriffe zu optimieren. Beispielsweise tastet ein bösartig genutzter Algorithmus die IT eines Unternehmens ab und schlägt bei bekannten oder möglichen Sicherheitslücken automatisch an. Mit der richtigen Datenbasis kann generative KI sogar direkt das passende Programm schreiben, das die Schwachstelle ausnutzt.
Zusätzlich skalieren Angreifer mithilfe von KI Aufgaben, indem sie diese beispielsweise gestohlene Passwort-Listen sortieren und analysieren lassen und dadurch Muster deutlich schneller erkennen. Auch Brute-Force-Angriffe oder DDoS-Attacken lassen sich komplett automatisieren. So gibt KI Cyberkriminellen mehr Freiraum, ihre Fähigkeiten effizienter einzusetzen und diejenigen Unternehmen und Personen ins Visier zu nehmen, bei denen sie am meisten Schaden anrichten können.
Passwortsicherheit: Die Schwachstelle wächst
Es ist kein Geheimnis, dass von Menschen erstellte Passwörter eine große Schwachstelle in nahezu jeder Sicherheitsinfrastruktur sind. Es ist kompliziert, starke und einzigartige Passwörter zu erstellen und noch komplizierter, sie sicher zu verwahren. Je mehr Passwörter eine Person verwendet, desto mehr muss sie sich merken. Oftmals führt das zur Wiederverwendung eines Passworts – und das ist ebenso gefährlich wie ein schwaches Passwort.
Leider erlaubt die schnelle Arbeitsgeschwindigkeit von KI-Tools es Cyberkriminellen beispielsweise große Datensets im Handumdrehen zu durchforsten. So werden Credential-Stuffing-Attacken, bei denen Betrüger gestohlene Anmeldedaten des einen Dienstes bei einem anderen ausprobieren – in der Hoffnung, dass ein User bei beiden dieselben Anmeldedaten nutzt, noch effektiver und skalierbarer. Darüber hinaus sind Angreifer nun in der Lage, die Code-Schreibfähigkeiten generativer KI zu nutzen, um bösartigen Code zu schreiben oder noch realistischere Phishing-Mails generieren.
Mit WormGPT gibt es bereits einen „dunklen Zwilling“ von ChatGPT, bei dem keine ethischen oder rechtlichen Standards durchgesetzt werden. Zudem unterstützen generative KI-Tools Kriminelle dabei, ihre Phishing-Attacken noch professioneller und damit glaubwürdiger erscheinen zu lassen. Bisher konnte man sich sicher sein: Wenn im Video-Meeting der CEO persönlich vor mir sitzt, ist Phishing ausgeschlossen. Mit immer überzeugenderen Deepfakes schwindet aber auch diese Sicherheit mehr und mehr. Bei dem eingangs erwähnten Bankraub war das Vorgehen der Betrüger denkbar einfach: Sie sammelten Tonaufnahmen des CEOs, trainierten damit den Sprachgenerator der Audiosoftware „FruityLoops“ und erstellten eine Aufforderung zur Überweisung – mit der nahezu echt klingenden Stimme des CEOs.
Risikofaktor Mensch
Das führt zu einer Reihe neuer Angriffsmöglichkeiten, die alle auf eine Schwäche abzielen: menschliche Fehler. Dieser Risikofaktor bleibt bestehen – egal für welchen Zweck KI in der Cybersecurity verwendet wird und unabhängig davon, wie gut die Menschen über Sicherheit online informiert zu sein scheinen.
Wenn Angriffsstellen automatisiert, gefunden werden können, die Malware von generativer KI geschrieben wird und Passwörter mit besser werdenden Analysetools schneller geknackt und an anderer Stelle ausprobiert werden, bleibt der Mensch als einziger Sicherheitsfaktor. Verlässt er sich aber ausschließlich auf ebendiese digitalen Schutzvorrichtungen, die eine immer geringere Hürde darstellen, kann es für Unternehmen heikel werden.
Sicherheitsfaktor Mensch
Ziel der Cybersecurity sollte also nicht sein, besser zu werden als die KI der Hacker. Vielmehr muss ein Sicherheitsmechanismus gefunden werden, der durch KI nicht ausgeschaltet werden kann. Die Fido-Alliance, ein gemeinnütziger Wirtschaftsverband mehrerer Tech-Unternehmen, inklusive 1Password, will die Abhängigkeit von Passwörtern durch die Einführung neuer, offener Standards reduzieren. Mit Passkeys geht sie den ersten Schritt in diese Richtung: Passkeys bestehen aus einem öffentlichen und einem privaten Schlüssel, die nur gemeinsam funktionieren. Der öffentliche Schlüssel sendet zur Authentifizierung eine Aufgabe, die ausschließlich der private lösen kann. Der Dienst erhält nach der Lösung lediglich eine signierte Antwort, der private Schlüssel bleibt geheim. Letzterer ist durch persönliche Daten geschützt, zum Beispiel biometrische wie dem Fingerabdruck. Und der ist deutlich schwerer nachzuahmen – oder gar zu stehlen – als ein Passwort.
Weiterhin und vermehrt fällt Unternehmen damit die Verantwortung zu, die Belegschaft entsprechend zu schulen und für digitale Sicherheitsrisiken zu sensibilisieren. Auch wenn zusätzliche Technologie Angriffe erschwert, muss am Ende dennoch der bzw. die Einzelne erkennen, wenn die Security-Mechanismen nicht greifen. Vor allem mit der Weiterentwicklung von KI und dem steigenden Grad der Automatisierung wird der Faktor Mensch in der Cybersecurity immer wichtiger. Mit entsprechender Technologie und der richtigen Sensibilisierung kommen wir aber weg von „Ich werd’s schon gewesen sein, so viele Passwörter kann ich mir nicht merken…“ hin zu „Ich war’s nicht, niemand sonst hat meinen Fingerabdruck!“
Im Machtkampf Mensch gegen Maschine gegen Mensch gilt es, sowohl technische als auch menschliche Risikofaktoren zu eliminieren. Neue Technologien helfen zwar, sich vor digitalen Angriffen zu schützen und die Online-Welt sicherer zu machen. Aber sie bieten auch Cyberkriminellen neue Möglichkeiten. Sich bei der Cybersecurity nicht nur auf den digitalen Faktor zu beschränken, ist eine der großen Herausforderungen im beginnenden KI-Zeitalter.
Anna Pobletts ist Head of Passwordless beim Passwortmanagement-Anbieter 1Password
