Auerswald

Clever Blog

Künstliche Intelligenz als Herausforderung für die IT-Security

Ob im privaten oder im beruflichen Umfeld: Längst bewegen wir alle uns regelmäßig in der digitalen Welt. Doch genau wie im analogen Leben lauern auch hier Gefahren durch Kriminelle, vor denen es sich zu schützen gilt. Dabei entstehen im gleichen Tempo, in dem auch die technologische Entwicklung voranschreitet, neue Bedrohungsszenarien. Das gilt auch für den aktuell wohl größten IT-Trend, der Künstlichen Intelligenz. Welche neuen Risiken ergeben sich durch die Verbreitung von KI-Anwendungen? Wie kann ein wirksamer Schutz aussehen?  

Bilder ganz einfach nach den eigenen Vorstellungen malen oder Gedichte mit einem vorgegebenen Inhalt schreiben lassen, die Erstellung animierter Fotos auf Knopfdruck oder das Selfie, das stilecht in ein Bild etwa von Monet oder Renoir integriert wird: Das Netz ist voll mit AI-Tools (AI = Artificial Intelligence), mit denen sich kreativ die Zeit vertreiben lässt. Solche harmlosen Spielereien verblüffen und machen Spaß. Darüber hinaus gibt es zahlreiche Anwendungen, die echten Nutzen im Alltag bieten, indem sie zum Beispiel fremdsprachige Texte übersetzen, die Analyse von riesigen Datensätzen in Echtzeit ermöglichen oder gesprochene Sprache in Text umwandeln.

Doch leider birgt die innovative Technologie der generativen KI auch das Potenzial, für kriminelle Zwecke missbraucht zu werden. Zwar besteht mittlerweile in vielen Unternehmen ein zumindest grobes Bewusstsein dafür, dass die Gefahr, die zum Beispiel von Phishing-Mails oder MITM-Angriffen ausgeht, in den letzten Jahren rasant gewachsen ist. Mithilfe von Künstlicher Intelligenz können die Attacken jedoch noch ausgefeilter gestaltet werden, sodass das Risiko, Opfer eines erfolgreichen Angriffs zu werden, stark steigt. Nur wer hinsichtlich möglicher Taktiken von Cyberkriminellen up to date bleibt, hat die Chance, sich bestmöglich gegen sie zu schützen. 

IT-Sicherheit: Neue Gefahren durch KI

Welche neuen Gefahren entstehen also dadurch, dass Tools der generativen Künstlichen Intelligenz einfach und frei verfügbar sind? Besondere Bekanntheit erlangten in der Vergangenheit sogenannte Deepfake-Videos, die meist prominente Personen zeigen, denen kontroverse Aussagen in den Mund gelegt wurden. Ein Beispiel, das weltweit für Aufsehen sorgte, ist ein Ausschnitt, in dem sich der ehemalige US-Präsident Barack Obama über seinen Nachfolger äußert: „Donald Trump ist ein Volldepp!“ Tatsächlich handelt es sich um einen Fake, die Aussage wurde nie getätigt. Doch natürlich lassen sich auf diese Weise auch andere, weniger durchschaubare Fake-News in die Welt setzen, die sich gegebenenfalls negativ auf die Geschäfte von Unternehmen oder die Arbeit von Organisationen auswirken können.     

Es sind aber nicht nur gefälschte Videos, von denen Gefahr ausgeht. Für einen erfolgreichen Scamming-Versuch braucht es keine Bilder – schon die Stimme reicht aus. Beim Scamming handelt es sich um eine Betrugsmasche, bei der die Opfer beispielsweise dazu gebracht werden, eine Überweisung an die Betrüger zu tätigen. Mittels dem KI-basierten „Voice-Cloning“ ist es möglich, Stimmen täuschend echt zu imitieren. Kriminelle nutzen die Technologie, um Vorgesetzte, Geschäftsführende oder Vorstandsvorsitzende zu simulieren.

Videokonferenz mit gefakten Beschäftigten

Derart „getarnt“ verschicken sie Sprachnachrichten an Mitarbeitende eines Unternehmens oder einer Organisation und beauftragen sie mit einer kurzfristig fälligen Überweisung. Der Betrug ist insbesondere im hektischen Arbeitsalltag nur schwer zu durchschauen und verläuft daher häufig erfolgreich. Ein besonders spektakulärer Fall berichtet von einem erfolgreichen Scamming-Angriff, bei dem sowohl Bild als auch Ton gefälscht wurden: Dabei saß ein Mitarbeiter vermeintlich mit weiteren Beschäftigten aus seinem Unternehmen in einem Online-Meeting. Tatsächlich war er jedoch der einzige echte Mensch unter lauter Fakes. Diese brachten ihn schließlich dazu, mehrere Überweisungen zu tätigen. Rund 24 Millionen Euro verließen das Firmenkonto insgesamt und sind laut Bericht vollständig verloren

Tipp: Ein probates Mittel, um sich vor Scamming-Versuchen zu schützen, kann die Vereinbarung von Codewörtern sein, die bei der Beauftragung von Überweisungen genannt werden müssen.

Scamming ist nicht die einzige Möglichkeit, Voice-Cloning für Cyberangriffe einzusetzen. Viele Multi-Faktor-Authentifizierungs-Systeme (MFA) setzen auf Stimmerkennung, um Unbefugten den Zugriff zu verwehren. Die einstmals sichere Methode lässt sich durch Künstliche Intelligenz heute verhältnismäßig leicht austricksen. 

„Ich bin kein Roboter“ – oder doch?

Ein weiteres Beispiel dafür, dass bislang zuverlässige Schutzmechanismen mittels KI überlistet werden können, sind Captcha Codes. Dabei handelt es sich um Aufgaben, die Menschen auf Webseiten lösen müssen, um zu beweisen, dass sie kein Bot sind. Mithilfe von Bots ist es möglich, massenhafte Anfragen an einen Webdienst zu stellen, sodass dieser überlastet wird und zusammenbricht. Captcha Codes sollen das verhindern. Die klassische Variante besteht aus zufällig ausgewählten und häufig leicht unleserlich gestalteten Buchstabenfolgen. Diese waren für Bots bisher nicht lesbar. Mittlerweile können generative KI-Lösungen jedoch mithilfe der richtigen Prompts dazu gebracht werden, die Codes zu entziffern und auszugeben. Bots müssen also nur entsprechend programmiert sein, um die Sicherheitshürde überspringen zu können.

Partner in crime: KI als Komplize

Eine Zäsur auf dem Gebiet der Cyberkriminalität stellt die Existenz immer leistungsstärkerer Künstlicher Intelligenz aus einem anderen Grund dar: Was früher verhältnismäßig wenige Spezialisten mit Hackerkenntnissen vollbringen konnten, nämlich das Infiltrieren von unternehmerischen oder behördlichen IT-Infrastrukturen, erledigen heute Sprachmodelle wie ChatGPT.

Die KI-Anwendung lässt sich mittlerweile auch zur Erstellung eines eigenen Generative Pre-trained Transformer (GPT)-Bots nutzen, der beliebig mit den gewünschten Fähigkeiten ausgestattet werden kann. Das bietet vielfältige Möglichkeiten, hilfreiche Assistenten für den privaten und beruflichen Alltag zu schaffen. Und zwar arglosen Bürgern und Kriminellen gleichermaßen. Letztere können sich ohne große Mühe oder Vorwissen digitale Komplizen „bauen“, die zum Beispiel polymorphe Malware programmieren. Bei polymorpher Malware handelt es sich um Schadsoftware, die ihr Erscheinungsbild und ihre Signatur ständig verändert und so für Schutzprogramme besonders schwer zu identifizieren ist. Auch die Herstellung von SpearPhishing-Mails oder Smishing-Texten können die Bots übernehmen. SpearPhishing bezeichnet eine besonders ausgeklügelte Form des Phishings, Smishing steht für Phishing-Angriffe per SMS.

Es ist jedoch für Angreifer nicht zwingend nötig, eine eigene kriminelle Künstliche Intelligenz zu erschaffen. Mittlerweile können entsprechende Dienste bereits fertig zur Nutzung eingekauft werden – „Betrug-as-a-Service“. Im sogenannten Darknet finden sich entsprechende Angebote mit dem Namen FraudGPT oder WormGPT. 

Die gute Nachricht: KI bietet auch Schutz

All diese Informationen können und sollten beunruhigend sein, doch es gibt auch gute Nachrichten in diesem Zusammenhang: Obgleich es ein wenig paradox klingt, ist die Antwort auf die Gefahren durch Künstliche Intelligenz unter anderem die Künstliche Intelligenz selbst. Sie kann umfangreiche Datensätze auf Unregelmäßigkeiten prüfen oder im Falle eines Angriffs Entscheidungen beschleunigen und so Reaktionszeiten verkürzen. Zudem bieten KI-gestützte Authentifizierungstools einen sehr hohen Schutz dadurch, dass sie aus vergangenen Situationen lernen und sich stetig an neue Bedrohungen anpassen können.

Besonders wichtig bleibt es aber, alle Beteiligten für potenzielle Gefahrenquellen zu sensibilisieren. Nur wenn Mitarbeitende die Risiken kennen, haben sie überhaupt die Chance, sie zu identifizieren. Regelmäßig sollten Wissen aufgefrischt und IT-Security News geteilt werden. Denn den wirksamsten Schutz bietet die Kombination aus Künstlicher und Natürlicher Intelligenz.

 

Redaktioneller Hinweis: Aus Gründen der besseren Lesbarkeit wird bei dem vorliegenden Text auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers (m/w/d) verzichtet.

Schlagwörter

Alarmierung, Messaging, Location (AML)CloudCommunicationDECTDigitalisierungHealthcareIT-SecurityITKITK-SystemLogisticsNetzwerkNew WorkPBXPublicSIPSoftphoneTelefonUnified CommunicationVoIP

 

Wer wir sind

Wir bei Auerswald gehören zu den führenden deutschen Herstellern von innovativen Kommunikationslösungen für VoIP-Infrastrukturen. Unsere Produkte produzieren wir dabei ausschließlich an unserem Hauptsitz in Cremlingen bei Braunschweig.

Wollen Sie mehr über Auerswald und unsere Lösungen erfahren? Dann klicken Sie hier!
 


Soft-PBX-Lösung COMtrexx

  • Bis zu 250 User und 250 parallele Calls
  • Floating-User-Lizenzmodell für hohe Flexibilität und Skalierbarkeit
  • Einfache Handhabung durch Zero-Touch-Provisioning

Mehr erfahren
 


SIP-Telefone der COMfortel D-Serie

  • HD-Audioqualität mit Wideband
  • Maximale Produktivität durch Unterstützung drahloser und Kabel-Headsets
  • Frei belegbare Funktionstasten für eine Erleichterung des Arbeitsalltags

Mehr erfahren
 


COMfortel SoftPhone

  • Kostengünstiger Softclient für SIP-Telefonie und Messaging
  • Sichere und einfache PBX-Anbindung von überall via gratis Cloud-Service
  • Plattformübergreifend: Apps für Windows, iOS und Android

Mehr erfahren
 

Kommentare

Keine Kommentare

Kommentar schreiben

* Diese Felder sind erforderlich