08.08.2023 / Kategorie: Cybersecurity, ISPIN Viewpoint
Der Hype um ChatGPT und Konsorten ist riesig. Kein Wunder, dass auch Cyberkriminelle ihren Werkzeugkasten mit generativer KI angereichert, wie z.B. mit Worm GPT, haben. Das ermöglicht völlig neue Angriffsmethoden.
Sicherheitsforscher haben belegt, dass ChatGPT bereits einen grossen Einfluss auf die Cybersecurity ausübt. Der Chatbot von OpenAI wird bereits häufig von Cyberkriminellen herangezogen, etwa um perfekte Phishing-E-Mails zu generieren. Im Darknet kursieren derweil geknackte Premium-Konten, um Zugriff auf das fortschrittlichere, kostenpflichtige GPT 4 zu erlangen. Und es kommen immer mehr KIs hinzu. Mit dem Chat-GPT-Konkurrenten Google Bard ist es sogar noch leichter, Malware zu erzeugen, da Google anders als Open AI weitgehend auf Sicherheitsmechanismen verzichtet. Die Liste, wie sich generative KI für böswillige Zwecke ausnutzen lässt, ist ziemlich lang.
Der erste und naheliegende Einsatzmöglichkeit für ChatGPT sind individualisierte E-Mails und Nachrichten für Phishing und Social Engineering – schnell, unkompliziert, effektiv. Die Erfolgsrate von Phishing lässt sich mit generativer KI dramatisch steigern. Die E-Mails sind in fehlerfreier Sprache glaubwürdig formuliert. Ausdrucks- und Rechtschreibfehler entfallen. Selbst Kennern der Materie fällt es schwer, mit KI generierte Phishing-Mails von echten E-Mails zu unterscheiden. Auch Folgemails bis hin zu längeren, hochkomplexen Unterhaltungen, lassen sich mit KI-basierten Chatbots erstellen. Mit WormGPT steht bereits eine massgeschneiderte Lösung für Cyberkriminelle zu Verfügung, die mit generativer KI überzeugende Phishing-Mails generiert.
Audio Deepfakes, also mit Computerprogrammen imitierte Stimmen, entwickeln sich stetig weiter. Mit Hilfe von KI gelingen perfekte Betrugsversuche. Der „Enkeltrick“, bei dem sich der Täter meist als Kind oder Enkelkind des Opfers ausgibt und eine Krisensituation vorgibt, um finanzielle Unterstützung zu ergaunern, ist hinreichend bekannt. Nun greifen die Kriminellen auf künstliche Intelligenzen zurück, die darauf spezialisiert sind, Stimmen zu imitieren. Das funktioniert erschreckend gut. Diese KIs benötigen etwa eine halbe Stunde Audiomaterial und generieren daraus ein vollständiges Stimmenprofil, das sich kaum noch vom Original unterscheiden lässt. Das benötigte Audiomaterial steht etwa auf Social Media reichhaltig zur Verfügung.
Auch mit Fotos und Videos lassen sich mit KI mit wenig Aufwand Deepfakes erstellen. Dann wird etwa der Papst in einer Daunenjacke gesteckt oder Elon Musk rät zum Kauf einer Kryptowährung. Das kann lustig sein oder handfesten finanziellen Interessen dienen. Nichts davon ist echt. Von solchen Deepfakes sind in erster Linie Prominente betroffen, da von ihnen in Hülle und Fülle Bild- und Videomaterial im Internet zu finden ist.
ChatGPT und andere generative KIs können programmieren. So kann man sich mit einem geeigneten Prompt etwa ein Python-Programm schreiben lassen, das Sudokus lösen kann. Auf die gleiche Weise kann man ChatGPT dazu überreden, Malware zu programmieren, in den meisten Fällen Ransomware. Zwar ersetzt dies nicht die monatelange Entwicklungsarbeit von versierten Hackern, aber gerade Anfänger lernen so die ersten Schritte.
Ein Hacker benötigt flexible Malware, da er ständig bestimmte Elemente ändern muss, etwa die Infrastruktur wechseln und neue Domänen registrieren. Hier kann generative KI unterstützen, aber noch nicht alle Teile dieses Prozesses zu automatisieren. Gleichwohl macht ChatGPT ebenso wie Bard und andere sehr schnell Fortschritte. KI übertrifft die bestehenden Tools der Cyberkriminellen heute noch nicht. Morgen kann das schon ganz anders aussehen. So haben es Sicherheitsforscher bereits geschafft, eine polymorphe Malware namens BlackMamba zu generieren, die fortwährend mutiert und so für die gängigen EDR-Systeme unsichtbar bleibt.
Die Zahl der APIs in Unternehmen nimmt exponentiell zu, folglich steigt auch die Zahl der API-Angriffe. Die Analysten von Forrester haben schon lange vorausgesagt, dass Cyberkriminelle eines Tages generative KI nutzen könnten, um Schwachstellen in APIs aufzuspüren. Das ist ein Vorgang, der normalerweise sehr viel Zeit und Know-how erfordert. Theoretisch können Angreifer ChatGPT dazu auffordern, die API-Dokumentation zu prüfen, Informationen zu sammeln und API-Abfragen zu erstellen, um Schwachstellen effizient und effektiv aufzudecken und auszunutzen.
ChatGPT kann auch Programm-Code übersetzen, wobei die Funktion erhalten bleibt, etwa von Python nach Java und wieder zurück. Der Code sieht danach völlig anders aus, funktioniert aber meistens immer noch. Reine Signatur-Scanner würden hier ins Leere laufen.
Man kann davon ausgehen, dass der Einsatz von KI vor allem bei der Erstinfektion zunehmend eine Rolle spielen wird. Sie kann die Aufwände der Malware-Entwicklung minimieren und die Erfolgsquoten von Massenangriffen verbessern. Noch mehr als früher müssen Unternehmen davon ausgehen, dass es Angreifer schaffen werden, ihre primären Verteidigungsmechanismen auszuhebeln. Auf der anderen Seite wird die Sicherheitslandschaft zunehmend komplex. Wenn es um die Frage geht, welche Security-Techniken wie einzusetzen sind, dann können Unternehmen diese oftmals nicht selbst beantworten und umsetzen, sondern benötigen dazu die Unterstützung und Beratung eines kompetenten Partners. Der Handlungsdruck wächst.
Grundsätzlich gelten die gleichen Sicherheitsanforderungen wie gegen herkömmliche Angriffe ohne KI-Unterstützung. Und an technischen Schutzmassnahmen mangelt es nicht Sie umfassen eine breite Palette, wie z.B. Next-Generation Firewalls, Identitäts- und Zugriffsmanagement (IAM), Cloud Access Security Broker (CASB), Security-Information- und Event-Management-Systeme (SIEM). Daneben gibt es eine Reihe von Grundanforderungen wie eine Zwei-Faktor-Authentifizierung, die eine zusätzliche Sicherheitsebene einziehen. Ein ständiges Aktualisieren und Patchen der Software stellt zudem die Beseitigung bekannter Schwachstellen sicher.
Um die steigenden Cybersecurity-Risiken zu reduzieren und gleichzeitig den wachsenden regulatorischen Anforderungen gerecht zu werden, ist es ratsam, neben den herkömmlichen technischen Schutzmassnahmen auch proaktives Managed Detection & Response (MDR) einzuführen. Dabei ist es empfehlenswert, verschiedene Technologien wie ein SIEM (Security Information and Event Management) einzusetzen, um eine umfassende Überwachung und Analyse von Sicherheitsereignissen zu ermöglichen. Zusätzlich sollte auch Endpoint Detection & Response (EDR) implementiert werden, um potenzielle Bedrohungen bereits beim ersten Eindringpunkt zu erkennen und zu beseitigen. Eine Network Detection & Response (NDR) Lösung ermöglicht es zudem, den Netzwerkverkehr in Echtzeit zu überwachen und zu analysieren. Darüber hinaus sollte auch SOAR (Security Orchestration, Automation and Response) implementiert werden, um die Effizienz und Geschwindigkeit der Reaktion auf Sicherheitsvorfälle zu verbessern und die manuellen Aufgaben zu automatisieren.
Derzeit hat die verteidigende Seite aufgrund der umfassenden Automatisierung von Security-Massnahmen noch einen Geschwindigkeitsvorteil. Die angreifende Seite agiert vielfach noch manuell. Wenn die Angreifer mit Hilfe von generativer KI ihre Angriffswellen automatisieren, dann wird sich das Spiel grundlegend verändern.
Wenn Sie Unterstützung bei der Planung und Umsetzung von Sicherheitsmassnahmen benötigen oder sich für Managed Services interessieren, dann kontaktieren Sie uns. Unsere Cybersecurity-Experten stehen Ihnen gerne zur Verfügung.
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications