ChatGPT verschärft IT-Risiken
Das Leben ein Tumult mit KI gegen KI
Neben einer wohlorganisierten Angreiferszene, dem längst überfälligen Schließen alter Sicherheitslücken, Angriffen auf die digitale Lieferkette sowie Ransomware & Co. setzt nun auch noch künstliche Intelligenz (KI) etwa in Form von ChatGPT die Verteidigerseite unter Druck. Erstaunlicherweise lassen sich die Chancen und Risiken der veränderten IT-Sicherheitslage am besten anhand der Werke des britischen Liedermachers Billy Bragg erklären.
„Talking with the Taxman about Poetry“ („Gespräche mit dem Steuereintreiber über Dichtkunst“) lautete 1986 der geniale Titel einer Billy-Bragg-Schallplatte. (Junge Leser*innen, denen der Begriff „Schallplatte“ nichts mehr sagt, möchten bitte ihre Großeltern oder aber den nächstbesten Mann mit Hipster-Vollbart dazu befragen.) Das Wunderbare an dem Albumtitel ist die augenzwinkernde Ambivalenz: Warum sollte man eigentlich nicht mit einem Finanzbeamten über Poesie sprechen wollen? Und doch hat man, bestätigt durch das düstere Album-Cover, sofort das Bauchgefühl: Ach nö, das bringt nix, der Typ hat eh nur Zahlen im Kopf.
Die gleiche Ambivalenz befeuert auch die aktuelle Debatte um ChatGPT. Denn die Konversations-KI – ein reiner Zahlenjongleur wie Braggs Steuerprüfer – hängt scheuklappig-stur ein Wort ans andere und errechnet jedesmal, welches Folgewort wohl am wahrscheinlichsten wäre. Das Ergebnis aber ist geradezu unheimlich: Man weiß zwar, hier agiert nur ein Algorithmus – und hat doch schnell das Bauchgefühl, sich mit einem richtigen Menschen zu unterhalten. Auch wenn der sich mitunter irrt oder besserwisserisch angebliche Fakten herbeihalluziniert.
Seit das US-Unternehmen OpenAI (AI: Artificial Intelligence, also KI) letzten November ChatGPT als Beta-Version allgemein zugänglich machte, tobt eine Diskussion von der Fachwelt bis zu den Massenmedien, wann wohl KI den Menschen bei Aufgabe X oder Berufsbild Y ersetzen wird. Beschäftigte unterschiedlichster Branchen sehen, auf den großen Sprung vorwärts wartend, bereits ihren Arbeitsplatz durch KI bedroht – der nette Chatbot mutiert zum Terminator. Mit solchen Sorgen konfrontiert, geben KI-Fachleute hingegen die kurze Antwort: Nicht KI wird den Menschen aus dem Rennen kicken – sondern der Berufstätige, der mit KI umzugehen versteht, wird denjenigen Konkurrenten verdrängen, der den Umgang mit KI nicht beherrscht.
Seltsame Dinge passieren
Dank Recherchen von Security-Forschern wissen wir: In der Cybercrime-Szene passieren seltsame Dinge – Cyberkriminalität ist heute sogar weitgehend eine Industrie wie jede andere. Wohlorganisierte Angreifergruppierungen (sogenannte Advanced Persistent Threats, kurz APTs) wie etwa die Ransomware-Gruppen haben feste Arbeitszeiten, zahlen reguläre Gehälter (obschon auch mal in Bitcoin) und sind arbeitsteilig aufgestellt – der eine schreibt Ransomware-Schadcode, der andere Exploits, wieder ein anderer verwaltet die Server und pflegt die Darkweb-Site, auf der man die Interna zahlungsunwilliger Opfer veröffentlicht. Und Broker liefern Login-Daten potenzieller Opfer „as a Service“. Sollten also – oh Schreck! – gar auch lukrative Cybercrime-Jobs von KI bedroht sein?
Laut Experten sind Cyberkriminelle längst damit befasst, in ihrem bösen Spiel die Torpfosten zu verschieben, indem sie mit ChatGPT experimentieren. „Mittlerweile loten nicht nur normale Nutzer, sondern auch immer häufiger Cyberkriminelle die zahlreichen Möglichkeiten der neuen Technologie aus“, sagt Wolfgang Kurz, Geschäftsführer des MSSPs (Managed Security Service Provider) Indevis aus München. Auf Knopfdruck könne ChatGPT zum Beispiel „täuschend echte Phishing-Mails“ verfassen. Chester Wisniewski, Field CTO Applied Research beim britischen Security-Anbieter Sophos, umreißt das Problem so: „Letztendlich liefern die immer besseren KI-Chatbots ein kostenloses Upgrade für alle Arten von Social-Engineering-Angriffen“ – also für das Ausnutzen menschlicher Schwächen.
Security-Forscher Sergey Shykevich von Check Point wiederum demonstrierte kurz nach Veröffentlichung von ChatGPT, dass man – aller Sicherheitsmaßnahmen von OpenAI zum Trotz – mit der KI Phishing-E-Mails und Schadcode für automatisierte Angriffe erstellen kann. Und Fachleute von CyberArk legten dar, dass sich ChatGPT sogar missbrauchen lässt, um polymorphe, also anpassungsfähige Malware zu erstellen.
„Mit ChatGPT sind selbst technisch wenig bedarfte Cyberkriminelle in der Lage, automatisiert unzählige Varianten einer solchen Schadsoftware zu erzeugen und zu verbreiten“, warnt Indevis-Chef Kurz. Der renommierte Security-Experte Bruce Schneier wiederum urteilt: „ChatGPT-erzeugter Code ist nicht so toll, aber es ist ein Anfang. Und die Technologie wird immer besser werden.“ Hinzu kommt, dass die Cybercrime-Industrie – wie jede andere Branche auch – generative KI künftig nutzen dürfte, um interne Betriebsabläufe zu automatisieren und zu beschleunigen.
- Das Leben ein Tumult mit KI gegen KI
- Kriegsgerüchte
- Muss ich Ihnen erst ein Bild malen?
Lesen Sie mehr zum Thema
