Generative künstliche Intelligenz ist das Thema der Stunde. Doch wie schaut es in der Cybersecurity aus? Wird die Cyberdefence jetzt mit einer Welle von KI-gestützten Angriffen geflutet, oder ist alles nur Hype? Eine Einschätzung.
Text: Andreas Heer, Bild: Swisscom, Datum: 29. April 2024 4 Min.
Das Interesse an generativer künstlicher Intelligenz (generative AI) ist riesig. Genauso der Hype um die Möglichkeiten. Naheliegend, dass sich auch die organisierte Cyberkriminalität für die Möglichkeiten der grossen Sprachmodelle (LLM) wie GPT, Llama, Mistral oder Claude interessiert. Werden Unternehmen jetzt mit einer Flut von KI-gesteuerten Cyberattacken überrannt, oder ist alles nur Hype?
«Wir haben tatsächlich schon konkrete Angriffe gesehen», sagt dazu Florian Leibenzeder, technischer Leiter des Swisscom internen Security Operations Center. Leibenzeder nennt als Beispiel die mögliche Auswertung und Weiterführung von Mailverläufen durch ein LLM für zielgerichtete Phishing-Mails nach einem Business Email Compromise (BEC). «Wenn ein Mail so klingt wie vom effektiven Diskussionspartner und kontextuell zum bisherigen Mailverlauf passt», sagt Leibenzeder, «verleitet das die Empfänger natürlich viel mehr dazu, auf den angegebenen Link zu klicken.»
Natürlich sind Szenarien denkbar, in denen generative KI direkt für Angriffe eingesetzt werden. KI-Agenten, die dank des Trainings mit entsprechenden Informationen selbständig Websites angreifen und kompromittieren, sind durchaus machbar – bis jetzt allerdings nur in der Theorie, wie Forscher der Universität Illinois in einer Publikation(öffnet ein neues Fenster) aufzeigen.
«Uns ist bis jetzt bei Swisscom abseits von Phishing kein konkreter Angriff begegnet, bei dem eindeutig KI zum Einsatz kam», relativiert Leibenzeder. «Ich kann mir aber gut vorstellen, dass KI vermehrt zur Vorbereitung von Angriffen genutzt wird, beispielsweise für die Auswertung von Logfiles eines Vulnerability Scanners oder für die Analyse von Software-Sourcecode auf Schwachstellen.» Ein mögliches Szenario ist gemäss Leibenzeder die Analyse von Smart Contracts im Blockchain-Umfeld, um Schwachstellen zu identifizieren, die dann zum Diebstahl von Kryptowährungen ausgenutzt werden können.
Informieren Sie sich über aktuelle Trends in der Cybersecurity und über relevante Bedrohungen.
Wenn dank der Automatisierung der Angriffsvorbereitung der Aufwand sinkt, nimmt dann die Zahl der Cyberattacken zu? Leibenzeder bleibt skeptisch: «Cyberkriminelle sind derart professionalisiert, dass sich Dienstleistungen für die einzelnen Angriffsschritte heute schon relativ günstig kaufen lassen, Stichwort Initial Access Broker und Ransomware as a Service.» Sprich, die Hürde, um böswillige Vorhaben durchzuführen, ist heute schon tief und wird durch KI nicht entscheidend gesenkt.
Dennoch wird künstliche Intelligenz Cyberattacken massgeblich beeinflussen, prognostiziert das World Economic Forum(öffnet ein neues Fenster). Den Angreifern stünden mehr und bessere Informationen über die Ziele zur Verfügung, was massgeschneiderte Attacken ermögliche, beispielsweise via Phishing oder Deepfakes. Das lässt die Schlussfolgerung zu, dass vielleicht nicht die Zahl der Angriffe mit KI zunimmt, aber die «Qualität» steigt dank besserer Personalisierung.
Auch bei der Abwehr und Erkennung von Cyberattacken spielen Machine Learning und generative KI vermehrt eine Rolle. Leibenzeder erwähnt als Beispiel verschleierten Code (obfuscated code) einer Malware: «Während die Angreifer KI nutzen, um den Code zu verschleiern und die Erkennung zu erschweren, können die Verteidiger mit denselben Methoden den Code analysieren und dessen Funktionsweise verstehen.»
Die algorithmische Mustererkennung von LLMs nimmt der Cyberdefence aber auch mühselige Kleinarbeit ab, etwa, die verschiedenen Phasen einer Cyberattacke bei einem grösseren Incident zu erkennen. «KI kann hier helfen, die Alerts und Events aus den verschiedenen Logfiles auf eine Zeitachse zu bringen und zu beschreiben, was da passiert ist.» Diese Transparenz erlaubt es den Cybersecurity-Fachleuten wiederum, gezielt und wirkungsvoll auf einen Vorfall zu reagieren. Gleichzeitig helfen KI-Tools als «Security-Assistenten», ein Management Summary des Vorfalls für die Geschäftsleitung zu schreiben.
Angriffsszenarien und Gefährdungen durch AI sind bereits in die gängigen Cybersecurity-Frameworks eingeflossen wie Mitre Att&ck und OWASP.
Künstliche Intelligenz dürfte also die Cybersecurity im Moment nicht komplett umkrempeln, sondern vielmehr das nächste Level im ewigen Wettstreit zwischen Angreifern und Cybersecurity-Fachleuten einläuten. «Wichtig ist, dass die Verteidiger genauso offen und aktiv mit der neuen Technologie umgehen wie die Angreifer», sagt dazu Leibenzeder. «Die Cyberdefence muss verstehen lernen, wie die neuen Angriffstechniken genutzt werden und wie sie sich dagegen verteidigen kann.»
Auf Ebene der Fachleute gilt es also, am Ball zu bleiben und das Know-how entsprechend zu erweitern. Unternehmen rät das WEF, generell die Supply Chain verstärkt in der Cybersecurity-Strategie zu berücksichtigen. Und Mitarbeitende zu sensibilisieren. Mit dem Aufkommen von künstlicher Intelligenz gewinnt also auch die menschliche Intelligenz in Form einer gesteigerten Security Awareness an Bedeutung.