Seit OpenAI das KI-Projekt ChatGPT veröffentlicht hat, ist der Hype ungebrochen. Der intelligente Bot antwortet wie ein realer Gesprächspartner, schreibt Gedichte, Aufsätze und hat sogar das amerikanische Jura-Examen mit gutem Ergebnis abgelegt. ChatGPT verdeutlicht plakativ, was heute in der KI schon möglich ist. Erstmals ist es gelungen, eine Maschine so zu trainieren, dass sie kommunizieren kann wie ein Mensch. Die Einsatzgebiete sind vielfältig – und natürlich loten auch Cyberkriminelle aus, welche neuen Möglichkeiten die Technologie bietet. ChatGPT könnte zum Beispiel auf Knopfdruck überzeugende Phishing-Mails verfassen. Für die Empfänger wird es dann noch schwieriger, die betrügerischen Nachrichten zu erkennen. Außerdem beherrscht der Bot verschiedene Programmiersprachen und schreibt Code. Experten haben aufgezeigt, wie einfach es ist, mit ChatGPT polymorphe Malware zu erstellen. Erste Experimente dieser Art gibt es bereits im Darknet. Polymorphe Malware verändert ihren Code kontinuierlich, sodass sie von musterbasierten Virenscannern nicht erkannt wird. Mit ChatGPT könnten Cyberkriminelle automatisiert unzählige Varianten einer Schadsoftware auf den Weg bringen – sogar fast ohne Programmierkenntnisse. Open AI versucht zwar, solchen Missbrauch zu verhindern, bisher aber mit wenig Erfolg.
Beide Seiten rüsten auf
Was im Angriff geht, funktioniert natürlich auch in der Verteidigung. Moderne Security-Systeme setzen bereits seit vielen Jahren KI zur Bedrohungserkennung ein. Mithilfe von Machine Learning versuchen sie Codeschnipsel zu identifizieren, die denen bekannter Malware ähneln. Außerdem arbeiten die meisten Abwehrmechanismen heute verhaltensbasiert: Sie analysieren Aktivitäten in der IT-Umgebung, um verdächtiges Verhalten aufzudecken. Wenn etwa ein Mitarbeiter plötzlich große Datenmengen herunterlädt oder ein Kunde kleine Geldbeträge auf viele verschiedene Konten einzahlt, könnte das auf einen Angriff hindeuten. Banken nutzen solche Algorithmen häufig zur Betrugserkennung. Umgekehrt versuchen Cyberkriminelle die Verteidigung auszutricksen, indem sie sich möglichst unauffällig verhalten. Je komplexer sie vorgehen, desto schwieriger wird es, sie zu schnappen.
Irgendwann kämpft KI gegen KI
Der Hype um ChatGPT zeigt: Wir müssen damit rechnen, dass auch Angreifer künstliche Intelligenz einsetzen. Und zwar nicht nur öffentlich zugängliche Technologie wie das Open AI-Projekt. Im cyberkriminellen Untergrund gibt es Gruppierungen, die so professionell aufgestellt sind wie große Unternehmen. Sie verfügen über erhebliche finanzielle Ressourcen und zahlen teils hohe Gehälter, um hochqualifiziertes Personal aus der Industrie abzuwerben. So mancher KI-Experte wechselt daher auf die dunkle Seite. Sowohl die Cyberkriminellen als auch die Security-Hersteller rüsten weiter auf. Noch stehen wir am Anfang der Entwicklung. Wohin die Reise geht? Vielleicht braucht man irgendwann nur noch zu einem Chatbot zu sagen: Starte einen Ransomware-Angriff – und alles andere erledigt die KI. Sie programmiert die Malware, sucht das Opfer aus, trägt Social-Media-Informationen über die Zielperson zusammen und erstellt eine Phishing Mail. Auf der anderen Seite wird aber auch die Security-Technologie immer besser. Am Ende kämpft dann KI gegen KI, und wer den besseren Algorithmus hat, gewinnt. Von Schachcomputern kennen wir das heute schon.
Auch KI kann Fehler machen
Ganz auf die künstliche Intelligenz verlassen sollte man sich aber nie. So wie ChatGPT Fehler macht und teils sehr überzeugend alternative Fakten schafft, kann auch ein Security-System einmal Daten falsch interpretieren. Wenn die KI dann automatisch Produktionsanlagen abschaltet, könnte das sogar höheren Schaden anrichten als ein möglicher Cyberangriff. Man braucht daher immer menschliche Experten, die die Warnmeldungen einer Sicherheitslösung bewerten und Entscheidungen abwägen. Klar ist: die Bedrohungslage spitzt sich weiter zu. Unternehmen müssen sich darauf vorbereiten, dass Angreifer KI nutzen. Umso wichtiger wird es, in der Verteidigung auf moderne Technologie im Zusammenspiel mit erfahrenen Security-Spezialisten zu setzen.
