Nachricht schreiben an

Sie haben keinen Betreff angegeben, möchten Sie die Nachricht ohne Betreff versenden?
Bitte beachten Sie, dass Ihre Nachricht maximal 1000 Zeichen lang sein darf
Sonderzeichen '<', '>' sind im Betreff und in der Nachricht nicht erlaubt
reCaptcha ist ungültig.
reCaptcha ist aufgrund eines Serverproblems gescheitert.

Ihre Nachricht wurde gesendet

Sie finden die Nachricht jetzt in Ihrem persönlichen Bereich unter „Meine Nachrichten“.

Es ist ein Fehler aufgetreten

Bitte versuchen Sie es nochmal.

Termin vereinbaren mit

Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.

Vor-Ort-Termin vereinbaren mit

Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.

Stefan Strobel, cirosec GmbH Stefan Strobel, cirosec GmbH
  • Branchennews
  • Management, Awareness und Compliance
  • Künstliche Intelligenz (KI)

Künstliche Intelligenz: Sicherheitslücke ChatGPT?

Segen oder Fluch? Künstliche Intelligenz wie Chat GPT helfe Cyberkriminellen bei ihrer Arbeit, fürchten die einen, während andere auf das Potenzial für mehr Sicherheit verweisen. Fakt ist, dass bereits Angriffe mit KI-Unterstützung durchgeführt wurden. Ein Beispiel: Das so genannte ,reply chain spoofing‘ bei Phishing-Attacken wirke noch überzeugender, so KI-Experte Stefan Strobel im Interview.

„Das so genannte ,reply chain spoofing‘ bei Phishing-Attacken wird durch Systeme wie ChatGPT noch überzeugender“, sagt KI-Experte Stefan Strobel. Er ist Geschäftsführer von cirosec, einem Spezialisten für Informations- und IT-Sicherheit und Teil der it-sa365-Community der NürnbergMesse. ChatGPT ist die aktuell am meisten diskutierte KI und sie scheidet die Geister.

Meilenstein für die einen, weil die KI in kürzester Zeit auf einfache Anfrage Texte und sogar Programme erstellen kann, die von menschengemachten kaum zu unterscheiden sind. Kritik kommt von der Gegenseite: ChatGPT liege oft auch falsch und verbreite sogar Fake News. Kaum öffentlich diskutiert wird hingegen der so wichtige Sicherheitsaspekt. Im Interview erklärt Stefan Strobel , wie die neue Wunder-KI für Text- und Programmerstellung Cyberkriminellen in die Karten spielen könnte und wie sich Unternehmen dagegen wappnen sollten.

 

Herr Strobel, der Chatbot ChatGPT von OpenAI ist aktuell in aller Munde. Welchen Nutzen hat diese oder ähnliche KI, wie etwa Bard von Google?

KI-Systeme wie ChatGPT vereinfachen beispielsweise die Suche nach Informationen im Internet, können echt klingende Texte oder sogar Programme erzeugen. Gleichzeitig kann sich der Anwender aber auch nicht mehr darauf verlassen, dass die gelieferten Inhalte inhaltlich korrekt sind. Eventuell hat die KI sie auch einfach nur halluziniert.

 

In einer aktuellen Studie des Cybersecurity-Unternehmens BlackBerry gehen 52% der IT-Fachleute davon aus, dass es in diesem Jahr zu einem Cyberangriff mit ChatGPT kommen wird und 61% glauben, dass ausländische Staaten die Technologie bereits für böswillige Zwecke gegen andere Nationen einsetzen könnten. Welche Gefahren könnten Ihrer Meinung nach von der neuen KI ausgehen?

KI-Systeme wie ChatGPT vereinfachen dem Angreifer die automatische Erstellung von echt klingenden Texten. Damit führt die KI nicht zu neuen Angriffsarten, vor denen man sich nicht schützen könnte, aber sie ermöglicht eine noch bessere Täuschung der Opfer und gleichzeitig eine höhere Effizienz durch die Automatisierung der Angriffe. Schon bei der Schadsoftware Emotet hat man gesehen, wie erfolgreich die Angreifer sein können, wenn sie auf echte Mails der Opfer antworten. Dieses so genannte „reply chain spoofing“ wird durch Systeme wie ChatGPT noch überzeugender.

Eigentlich hat OpenAI Restriktionen eingebaut, die verhindern sollen, dass ChatGPT zur Erzeugung von Phishing-Mails verwendet wird, aber es gibt auch schon erste Belege dafür, dass Cyberkriminelle diese Restriktionen umgehen.

 

Nutzen Cyberkriminelle generische KI auch schon für Phishing-Mails?

In der Praxis findet heute die Masse der Phishing-Angriffe ohne KI-Systeme statt. Es gibt zwar Belege dafür, dass ChatGPT bereits zur Erzeugung von Phishing-Mails verwendet wird, weil man Angriffe noch überzeugender gestalten kann, aber im Gesamtbild spielt KI bei den Cyberkriminellen bisher keine relevante Rolle. Aus Angreifersicht ist das eigentlich gar nicht nötig, denn bisher ist es auch ohne KI noch sehr einfach, Millionen zu erbeuten.

 

Stichwort KI-gesteuerte Cybersicherheit: Können sich Experten der IT-Sicherheitsindustrie im Gegenzug die neue KI nicht auch selbst zu Nutze machen?

Da es keine bindende Definition des Begriffs KI gibt, vermarkten gerade in der Security-Branche viele Hersteller ihre Produkte sehr großzügig mit dem Label KI. In einigen Bereichen ist die tatsächliche Nutzung von KI jedoch seit Jahren offensichtlich, beispielsweise bei Virenschutz auf Basis neuronaler Netze. Damit kann Malware zuverlässiger erkannt werden als mit klassischen Signaturen.

 

Welche Sicherheitstipps haben Sie für den Einsatz von KI bzw. wie können sich Unternehmen vor deren missbräuchlicher Verwendung schützen?

Es kommt sehr stark auf den tatsächlichen Anwendungsfall und die eingesetzte Technik an, wie man mit den neuen Gefahren umgehen sollte. Klar ist jedoch, dass auch KI wie jede neue Technik in der IT sowohl neue Chancen als auch neue Risiken mit sich bringt. Vor der Einführung von KI-basierten Systemen sollte man daher genau analysieren, welche neuen Bedrohungen entstehen und wie man mit diesen im Einzelfall umgehen möchte.

Am Beispiel von KI-basierten Erkennungslösungen hat man beispielsweise auf den ersten Blick eine bessere Erkennungsrate. Gleichzeitig gibt es aber auch neue Möglichkeiten, die Erkennung auszutricksen und explizit eine falsche Erkennung zu provozieren.

Autor: Reinhold Gebhart

close

Diese Inhalte oder Funktionen stehen der it-sa 365 Community zur Verfügung. 
Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.