Illustration Absmeier foto freepik

Der Einsatz von KI kann Routineaufgaben automatisieren, Abläufe effizienter gestalten und die Produktivität erhöhen. Dies gilt für die legale Wirtschaft ebenso wie leider auch für die organisierte Cyberkriminalität. Gerade Large Language Models (LLM) werden von kriminellen Akteuren genutzt – weniger als visionäre Alleskönner-Technologien, sondern vielmehr als effiziente Werkzeuge zum Verbessern von Standardangriffen.

Seit Ende 2022 stehen Large Language Models (LLMs) wie ChatGPT im Blick der Öffentlichkeit. Damit stellt sich die Frage, welche Effekte sie auf die Cybersicherheit haben, wenn Hacker sie zum Erstellen bösartiger Inhalte missbrauchen. Beim Einsatz von LLMs haben Cyberkriminelle drei Möglichkeiten.

Der erste Ansatz ist, ein benutzerdefiniertes LLM zu entwickeln, was technisches Fachwissen und Ressourcen erfordert. Derzeit ist das Entwickeln einer allgemein für bösartige Zwecke geeigneten LLM, die etwa beim Programmieren von Malware unterstützt, jedoch noch unwahrscheinlich. Die wirkliche und aktuell realistische Gefahr liegt in LLMs als effiziente Hilfsmittel für Betrug. Ein solcher pragmatische Einsatz entspricht eher der Arbeitsweise der Cyberkriminellen: Diese suchen in der Regel unkomplizierte, wiederholbare und skalierbare Playbooks als Vorlage für ihre Angriffe. Sie sind zudem wenig geneigt, zu viel Geld und Ressourcen in aufwändige, von KI-Tools abhängige Systeme zu investieren, welche dann nach einer Änderung dieser schnelllebigen Werkzeuge nicht mehr funktionieren. Ein in Monaten entwickeltes und von ChatGPT abhängiges komplexes System kann durch wenige Zeilen veränderten Codes lahmgelegt werden. Zu hoch ist daher das Risiko, dass der Wert der aufwändigen Investition im Nu verloren ist.

Die zweite Möglichkeit besteht darin, reguläre LLMs zu jailbreaken. Dies erfordert allerdings Fachkenntnisse im Prompt-Engineering, was weniger technisch versierte Angreifer, die am meisten von LLMs profitieren würden, von der Nutzung ausschließt.

Die dritte Möglichkeit ist der Einsatz benutzerdefinierter Versionen von ChatGPT, die sich für bestimmte Zwecke erstellen lassen. Der GPT Builder von OpenAI bietet eine Plattform, mit der Benutzer ChatGPT für bestimmte Aufgaben anpassen können, ohne selbst programmieren zu müssen. In diesem Zusammenhang stehen die Möglichkeiten von KI-generierter Malware und die damit verbundenen Folgen für die Cybersicherheit zurzeit intensiv in der Diskussion. Zwar kann man mit ChatGPT Malware-Code generieren, doch ist dieser nicht von besserer Qualität als das, was bereits als Massenware verfügbar ist. Das macht ihn für erfahrene Malware-Autoren, denen öffentliche Code-Repositories wie GitHub besseren Schadcode bieten, weniger attraktiv.

Was LLMs wirklich von älteren Machine-Learning-Modellen unterscheidet, sind ihre bemerkenswerten Fähigkeiten, natürliche Sprache zu verarbeiten und zu generieren. Dadurch kann generative KI den Cyberkriminellen ihr Handwerk erleichtern, insbesondere bei Social-Engineering-Angriffen und bei der Analyse großer Datenmengen zur Informationsbeschaffung.

Für das Verfassen betrügerischer Nachrichten senkt der Einsatz von LLM-gestützten Chatbots zum Beispiel Sprachbarrieren der Angreifer spürbar. Dadurch können Hacker anspruchsvollere Angriffe auf eine größere Anzahl von Adressaten ausweiten und die Glaubwürdigkeit von Phishing-Nachrichten erhöhen. LLMs unterstützen Kriminelle nicht nur hinsichtlich sprachlicher Aspekte wie Orthografie, Grammatik und korrekter Formulierungen in Fremdsprachen, sondern auch auf inhaltlicher Ebene wie der Gebrauch passender Branchenbegriffe, Insider-Akronyme oder aktueller Ereignisse, die Einfluss auf potenzielle Opfer haben.

Im Folgenden finden sich einige Möglichkeiten, wie Cyberkriminelle generative KI für ihre Zwecke einsetzen können:

Optimierte BEC-Angriffen: Mithilfe von LLMs können Angreifer etwa Kommunikationsstil, Terminologie und Insiderwissen von Vorgesetzten leicht und täuschend echt reproduzieren, indem sie deren früheren Konversationen in ihre Modelle einspeisen. Aktuell ist daher mit einem Anstieg von Business-Email-Compromise-Angriffen (BEC) auf Unternehmen aller Größen zu rechnen.

Plausiblere Betrugsversuche: Beim Vorschussbetrug bringen Kriminelle ihre Opfer unter Vorspielen falscher Tatsachen dazu, Gelder vorzustrecken. Im Rahmen des Gesprächs mit dem Opfer liefern die Täter häufig Gründe und Informationen, die allein schon mit dem gesunden Menschenverstand den falschen Urheber verraten können. LLM-Chatbots ermöglichen es Cyberkriminellen, die Glaubwürdigkeit ihrer Betrugsversuche zu erhöhen.

Skalierbarkeit hochentwickelter Angriffe: LLMs haben das Potenzial, die Einstiegshürde für hochentwickelte Angriffe, die viel Zeit, Mühe und Investitionen erfordern, erheblich zu senken, so dass sie für ein breiteres Spektrum an Kriminellen interessant sind. Dies vergrößert nicht nur den Pool potenzieller Angreifer, sondern es ermöglicht auch bereits erfahrenen Hackern, hochentwickelte Angriffe häufiger auszuführen.

Ransomware-Rechner: LLMs können, vergleichbar mit Tools wie Crunchbase, Angreifer beim Sammeln von Informationen über Unternehmen unterstützen. Sie bieten nicht nur Übersichten zu Hintergrund und Finanzstatus eines Unternehmens, sondern analysieren zusätzlich die neuesten Nachrichten in der Presse, inklusive Fusionen und Übernahmen. Eine der praktischsten und am einfachsten monetarisierbaren Einsatzmöglichkeiten von LLMs für Cyberkriminelle ist die KI-gesteuerte Sichtung und Analyse großer Datenmengen und damit einhergehend die Identifikation lukrativer Ziele. Ransomware-as-a-Service-Gruppen (RaaS) verfügen häufig über spezielle Open-Source-Intelligence-Teams (OSINT), die eine realistische Lösegeldforderung evaluieren und festlegen. Durch die intelligente Auswahl von Organisationen mit dem höchsten Druckpotenzial könnten Ransomware-Gruppen ihre Quote geleisteter Lösegelder maximieren.

Analyse öffentlicher Datenlecks: Die von LLMs generierten maßgeschneiderten Nachrichten lassen sich dafür verwenden, überzeugende Spear-Phishing-Angriffe zu entwickeln, indem die Cyberkriminellen Informationen aus bekannt gewordenen Datenlecks oder Unternehmenswebsites nutzen. Diese Automatisierung vergrößert den Umfang potenzieller Ziele und erhöht zugleich die Authentizität der bösartigen Kommunikation.

Bewerten exfiltrierter Daten: Schließlich können Cyberkriminelle LLMs nutzen, um Daten zu sichten, die sie bei Unternehmen erbeutet haben. Durch ihre Fähigkeit, natürliche Sprache zu verarbeiten, können die Modelle sensible Informationen in den gestohlenen Daten kategorisieren und identifizieren. Denn Terabytes von Daten zu stehlen, ist eine Sache. Daraus die Informationen gezielt zu extrahieren oder unverfügbar zu machen, die effektiv ein hohes Lösegeld generieren oder sich gut verkaufen lassen, steht auf dem nächsten Blatt.

KI eignet sich hervorragend dazu, bereits vorhandene Fähigkeiten zu optimieren oder zu ergänzen. Daher ist zu erwarten, dass für die organisierte Cyberkriminalität der Wert von KI aktuell hauptsächlich darin liegen wird, ihre Angriffe effizienter zu gestalten und deren Qualität und Skalierbarkeit zu erhöhen. Unternehmen sollten daher ihre grundlegenden Sicherheitsmaßnahmen stärken und einen mehrschichtigen Sicherheitsansatz verfolgen. KI-gestützte Sicherheitstechnologien, die unter anderem dafür entwickelt wurden, Social-Engineering-Angriffe zu erkennen, können zudem unterstützen, mittels fortschrittlicher natürlicher Sprachverarbeitung (NLP) die typischen Warnzeichen von Betrugsversuchen zu entdecken und die Gefahr im Keim abzuwehren.

Martin Zugec, Tecnical Solutions Director bei Bitdefender.

Hacker und deren Einsatz von KI

Künstliche Intelligenz (KI) hat die Landschaft der Cybersicherheit grundlegend verändert. Mit ihrer Fähigkeit, große Datenmengen zu analysieren und Muster zu erkennen, bietet sie sowohl für Cyberverteidiger als auch für Hacker neue Möglichkeiten. Die jüngsten Entwicklungen in der KI-Technologie haben zu einer Debatte darüber geführt, wie sie die Effizienz und die Methoden von Cyberangriffen beeinflusst.

Einerseits nutzen Cybersecurity-Experten KI, um Netzwerke zu überwachen, Anomalien zu erkennen und auf Bedrohungen in Echtzeit zu reagieren. Andererseits haben Hacker entdeckt, dass KI ein mächtiges Werkzeug sein kann, um Sicherheitsmaßnahmen zu umgehen und Angriffe zu automatisieren. Beispielsweise können sie KI verwenden, um Phishing-Kampagnen zu personalisieren oder Schwachstellen in Software schneller zu identifizieren.

Die Verwendung von KI durch Hackergruppen ist besonders besorgniserregend, wenn sie staatlich unterstützt werden. Berichte zeigen, dass solche Gruppen KI-Dienste nutzen, um Forschungen zu Satellitenkommunikationsprotokollen durchzuführen, bei Programmieraufgaben zu helfen und Inhalte für Phishing-Kampagnen zu entwerfen. Diese Aktivitäten stellen eine direkte Bedrohung für die nationale Sicherheit und die Privatsphäre von Bürgern dar.

Die Reaktion auf diese Bedrohung erfordert eine koordinierte Anstrengung. Regierungen und private Unternehmen müssen zusammenarbeiten, um Richtlinien und Technologien zu entwickeln, die die missbräuchliche Verwendung von KI verhindern. Ein Beispiel dafür ist die Schaffung eines neuen IT-Lagezentrums in Bonn, das darauf abzielt, kritische Infrastrukturen besser vor Cyberangriffen zu schützen.

Es ist jedoch eine Herausforderung, mit der rasanten Entwicklung der KI-Technologie Schritt zu halten. Während Maßnahmen wie das Sperren von Konten von Hackergruppen ein Schritt in die richtige Richtung sind, ist es nur eine temporäre Lösung. Hacker können schnell neue Konten erstellen und ihre Taktiken anpassen. Daher ist es wichtig, dass Cybersecurity-Experten kontinuierlich in Forschung und Entwicklung investieren, um mit den sich entwickelnden Bedrohungen Schritt zu halten.

Die Zukunft der Cybersicherheit wird stark davon abhängen, wie effektiv wir KI als Werkzeug für den Schutz und nicht für den Angriff einsetzen können. Die Entwicklung von automatisierten Abwehrsystemen, die KI nutzen, um Angriffe zu erkennen und zu neutralisieren, könnte ein entscheidender Faktor sein, um die Sicherheit in unserer zunehmend vernetzten Welt zu gewährleisten.

Insgesamt ist es klar, dass KI das Potenzial hat, sowohl als ein Instrument für Fortschritt als auch als Waffe missbraucht zu werden. Die Gesellschaft muss sich dieser Dualität bewusst sein und proaktiv Maßnahmen ergreifen, um sicherzustellen, dass KI zum Wohle aller eingesetzt wird. Die Balance zwischen Innovation und Sicherheit zu finden, wird eine der größten Herausforderungen der kommenden Jahre sein.

Genki Absmeier

596 Artikel zu „Cyberkriminalität KI“

NEWS | IT-SECURITY | KÜNSTLICHE INTELLIGENZ

Von KI profitiert die Cybersicherheit – aber auch die Cyberkriminalität

16. September 2019

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich…