INTERVIEW
"Vieles, was heute in Anti-Phishing-Kursen gelehrt wird, dürfte in naher Zukunft obsolet sein"
Der Hype rund um den schlauen Chatbot ChatGPT scheint ungebrochen. Doch gleichzeitig hat auch hat der Wettlauf um die Nutzung dieser Künstlichen Intelligenz für missbräuchliche Zwecke und Cyberkriminalität begonnen. Einer Studie von BlackBerry zufolge geht gut die Hälfte (52 Prozent) der IT-Fachleute davon aus, dass es innerhalb des kommenden Jahres zu einem erfolgreichen Cyberangriff mit ChatGPT als Ausgangspunkt kommen wird. Zugleich glauben 61 Prozent, dass ausländische Staaten die Technologie bereits für böswillige Zwecke gegen andere Nationen einsetzen könnten.
Richard Werner
Business Consultant / Trend MicroAuch im sogenannten Dark Web ist ChatGPT bereits ein Thema und es wird rege diskutiert, wie man den Chatbot manipulieren kann. Eine Untersuchung des Sicherheits-Anbieters NordVPN fand heraus, dass die die Zahl der neuen Beiträge in Dark-Web-Foren über das KI-Tool von 120 im Januar auf 870 im Februar stieg – dies ist ein Anstieg von 625 Prozent.
Doch wie gefährlich ist ChatGPT wirklich für die IT-Sicherheit von Unternehmensnetzen? Und was bedeutet die Künstliche Intelligenz für die Absicherung der IT? com! professional spricht darüber mit Richard Werner. Er ist Business-Consultant bei den Security-Spezialisten von Trend Micro.
Herr Werner, viele halten ChatGPT für den "iPhone-Moment" für die Künstliche Intelligenz. Doch öffnet sich hier nicht auch gerade die Büchse der Pandora für die IT-Sicherheit?
Nein, Büchse der Pandora kann man nicht sagen. In der IT-Security ist man sich schon seit Jahren darüber einig, dass KI auch auf der anderen Seite eingesetzt würde. Die Frage war immer nur wann, durch wen und natürlich zu welchem Zweck.
Sicherheitsforscher untersuchen deshalb jede Entwicklung auf diesem Gebiet und selbstverständlich damit auch, was das für uns als Branche bedeutet. Privatindustrie und Regierungsbehörden arbeiten dabei Hand in Hand.
Wie sieht denn die konkrete Gefahr aus, die von ChatGPT & Co. für die IT-Sicherheit ausgeht? Oder andersrum gefragt: Künstliche Intelligenz gibt es schon länger - was ist jetzt anders?
Der große Mehrwert neuer Technologien ist, dass sie die Kreativität von Menschen beflügeln. ChatGPT bringt nicht nur das Thema Künstliche Intelligenz zu einem breiten Publikum, sondern vereinfacht auch das Erlernen anderer Techniken. Aus IT-Sicherheitssicht erwarten wir daher zunächst eine Steigerung sowohl bei der Qualität als auch bei der Quantität einzelner Angriffe. Aber das macht uns keine wirklich großen Sorgen.
Die aktuelle Version von ChatGPT ist in diesem Punkt dank der Betreiber OpenAI auch noch limitiert. Wesentlich spannender ist deshalb die Frage wie sich das Thema weiterentwickelt und inwiefern wir dadurch nicht irgendwann mit völlig neuen Angriffsmustern zu kämpfen haben, die wir nicht vorhergesehen haben.
"In der IT-Security ist man sich schon seit Jahren darüber einig, dass KI auch auf der anderen Seite eingesetzt würde. Die Frage war immer nur wann, durch wen und natürlich zu welchem Zweck."
Sie sprechen die Weiterentwicklung an…kommen jetzt Zeiten auf uns zu, in denen KI neue Super-Malware entwickelt, die erst einmal unentdeckt ihr Unwesen treibt?
Es hat zu jeder Zeit Cyberangriffe gegeben, die erst einmal unentdeckt waren. Erfahrungsgemäß liegt es an der Organisation der Verteidigung und den Zielen der Angreifer wie lange das so bleibt. Je häufiger dieselbe Methode eingesetzt wird, desto höher das Entdeckungsrisiko. Übrigens so nebenbei: Das ist zum Beispiel einer der Gründe, warum das IT-Sicherheitsgesetz eine Meldepflicht enthält.
Eine Super-Malware wird es deshalb nicht geben. Allerdings wird die ChatGPT-Technologie dafür sorgen, dass Angriffe, die heutzutage sehr aufwendig und teuer sind, auch für Durchschnitts-Kriminelle erschwinglich werden.
Können Sie ein paar konkrete Beispiele nennen, für was man die neuen Möglichkeiten als Angreifer nutzen könnte? Phishing-Mails dürften eine Möglichkeit sein...
Völlig richtig. Vieles, was heute in Anti-Phishing-Kursen gelehrt wird, dürfte in naher Zukunft obsolet sein. Die Mails werden sogar kulturell alle Anforderungen an korrektes Geschäftsdeutsch erfüllen.
Zusätzlich wurde bereits bewiesen, dass ChatGPT bei der Programmierung von so genannten Exploits verwendet werden kann. Das sind Werkzeuge, die dazu dienen, Software-Schwachstellen im bösartigen Sinn auszunutzen. Damit wird das Patchen neu entdeckter Schwachstellen dringlicher, weil das Schreiben entsprechender Angriffswerkzeuge automatisiert wird.
Weitere Vereinfachungen wird sie im Bereich des Betruges erlauben. Ob man von Online-Scams wie dem "Liebesbetrug" oder der "Chefmasche" spricht oder auch die Erstellung und den Vertrieb von Fake News - die Maschine wird die Arbeit der Täter erleichtern.
Es ist aber wichtig zu verstehen, dass die Künstliche Intelligenz diese Dinge nicht von selbst erfindet, sondern die Täter dabei unterstützt, ihre Ideen schnell umzusetzen.
"Künstliche Intelligenz spielt in jeder modernen Sicherheitsstrategie schon jetzt eine wichtige Rolle. Entscheidender ist jedoch die Frage, wie sie in das Konzept eingebunden wird oder anders gesagt, welche Aufgabe sie erfüllen soll."
ChatGPT ist erst seit dem Jahreswechsel so richtig bekannt. Sprechen wir hier noch von Zukunftsmusik oder sind die neuen Gefahren schon real?
Sowohl als auch. Phishing und bösartiger Code sind nachgewiesen. Dies wird bereits eingesetzt. Ebenfalls Betrugsdelikte, die auf rein sprachlicher Kommunikation basieren.
Was uns Sorge für die Zukunft bereitet, ist, dass Künstliche Intelligenz aus der relativ kontrollierten Umgebung in der ChatGPT aktuell fungiert, herausgenommen und dann direkt für bösartige Zwecke trainiert wird. Eine auf Betrug spezialisierte KI könnte dann beispielsweise dazu eingesetzt werden, eine echte Geschäftskommunikation über Tage und Wochen aufrecht zu erhalten, um dann erst den Cyberangriff durchzuführen. Für das Opfer wird dabei eine vertrauensvolle Umgebung erzeugt, so dass der argwöhnische Mensch als Verteidigungsbaustein ausfällt. Im schlimmsten Fall wird er sogar zum unwissenden Komplizen beim Angriff.
Auch die IT-Security-Industrie rüstet entsprechend auf. Erleben wir jetzt ein Wettrüsten - quasi gute KI gegen böse KI?
Naja, dazu kann man eigentlich nur sagen: The same procedure as every year. IT-Security war seit Ihrer Entstehung immer ein Wettrüsten, welches die neuesten Techniken beinhaltete. Variationen von Künstlicher Intelligenz, zum Beispiel maschinelles Lernen, setzen wir in der IT-Security seit fast zwei Jahrzehnten ein. Wir haben deshalb eine ziemlich gute Vorstellung von ihrer Fähigkeit und Limitierung.
Wir sollten uns auch darüber im Klaren sein, dass zum Beispiel staatliche Akteure sie möglicherweise ebenfalls schon sehr lange verwenden. Mit ChatGPT ist die Technik nun einer breiten Masse zur Verfügung gestellt worden. Was sich jetzt ändert ist, dass nun auch normale Cyberkriminelle Zugriff darauf haben. Dies wird vor allem Auswirkungen auf die Qualität und Menge der Angriffe haben aber zumindest in ihrer aktuellen Funktionsweise bleibt unser größter Feind die Kreativität von Menschen.
"Die ChatGPT-Technologie wird dafür sorgen, dass Angriffe, die heutzutage sehr aufwendig und teuer sind, auch für Durchschnitts-Kriminelle erschwinglich werden."
ChatGPT bietet sicherlich nicht nur Angreifern neue Möglichkeiten, oder? Welche Chancen bietet es IT-Security-Anbietern und Unternehmen für die Gefahrenabwehr?
Der große Vorteil von ChatGPT ist, dass es eine Kommunikation erlaubt und damit anderen Suchmaschinen überlegen ist. Dadurch kann man seine Anfrage immer granularer spezifizieren. Das dabei vermittelte Wissen unterstützt dabei eigene Fertigkeiten zu verbessern und Informationen besser zu verstehen. Die KI kann zudem helfen Good-Practice-Empfehlungen zu geben, zum Beispiel zum Vorgehen bei Cyberattacken. Im Bereich Bedrohungsanalyse kann sie auch unterstützen, die Fertigkeit von gefundenem Code zu bewerten.
Dennoch muss ich an dieser Stelle zur Vorsicht mahnen: Auch eine KI ist nicht perfekt und hat auch nicht automatisch Recht. Gerade was Beratung beispielsweise im Bereich Mitarbeiterschulungen angeht, zeigen Feldversuche, dass hier irreführende und bisweilen sogar falsche Empfehlungen ausgesprochen werden.
Noch einmal zurück zu den Angriffen. Braucht es dafür überhaupt einen Cyberkriminellen? Es gibt Medienberichte, wonach zum Beispiel die KI von Bing manchmal aggressiv reagiert. Müssen wir fürchten, dass eine KI irgendwann aus Langeweile Unternehmensnetze angreift?
Eine Künstliche Intelligenz ist darauf trainiert die besten "Antworten" zu geben die sie findet und könnte dabei auch dazu programmiert werden menschliche Emotionen zu imitieren. Aber um irgendeine Aktivität durchzuführen, ist die "Frage" entscheidend. So lange eine KI nicht in der Lage ist selbstständig - ohne Interaktion eines Menschen - eine Frage zu entwickeln, brauchen wir vor einem "Skynet" à la Terminator keine Angst zu haben.
Schon Douglas Adams beschreibt in seinem Science-Fiction-Roman "Per Anhalter durch die Galaxis" diese Dynamik indem er "Die Antwort auf den Sinn des Lebens, dem Universum und dem ganzen Rest" mit "42" bezeichnet. Man müsse "nur" die richtige Frage stellen.
Übrigens: Fragt man ChatGPT, was es gerade macht, ist die Antwort: "Ich warte auf die nächste Frage".
Könnte man als Fazit sagen, dass nur eine KI-gestützte IT-Sicherheitssysteme gegen KI-Angriffe sicher sind?
Künstliche Intelligenz spielt in jeder modernen Sicherheitsstrategie schon jetzt eine wichtige Rolle, deren Bedeutung noch weiter zunehmen wird. Entscheidender ist jedoch die Frage, wie sie in das Konzept eingebunden wird oder anders gesagt, welche Aufgabe sie erfüllen soll. Denn die KI gibt nur Antworten. Die Human Intelligence (HI) entscheidet dann auf welche Fragen. Wie Sicherheitslösungen betrieben werden, ist und bleibt deshalb die Entscheidende Komponente.
Und noch eines dazu: Die Dynamik in der IT-Sicherheit wird sich durch KI nochmal verschärfen. Auf dem "Stand der Technik" zu bleiben, wie es das IT-Sicherheitsgesetz beispielsweise fordert, wird in Zukunft noch viel wichtiger. Die externe Sicherheitslage, also das, was die Gegenseite tut, muss deshalb immer stärker in die eigene Risikobetrachtung integriert werden.