ChatGPT und KI: Segen oder Fluch?
Da die Menschheit seit unzähligen Generationen von Innovationen in den Bereichen Wissenschaft und Technologie profitiert, gelten neue Erfindungen und Erkenntnisse gemeinhin als begrüßenswert. Enthusiasten wischen Bedenken gelegentlich mit der Bemerkung vom Tisch, dass das Streben nach mehr Wissen nie schlecht sein kann. Bei genauerem Hinsehen zeigt sich jedoch, dass jedes neue Tool sowohl für gute als auch für schlechte Zwecke eingesetzt werden kann. Menschen entscheiden, wozu sie es nutzen.
Das trifft auch auf die künstliche Intelligenz zu, die wir mittlerweile in unserem rastlosen Streben nach Entschlüsselung und Nachbildung des menschlichen Verstandes entwickelt haben. Hier sorgt der textbasierte KI-Bot ChatGPT seit Monaten immer wieder für Schlagzeilen, indem er die unglaublichen Fähigkeiten der neuesten KI-Generation eindrucksvoll demonstriert. Das revolutionäre Tool ist unter anderem in der Lage, Programmierfehler zu korrigieren, 3D-Animationen zu erstellen, Kochrezepte zu entwickeln und komplette Songs zu komponieren.
Damit verkörpert ChatGPT exemplarisch die ambivalente Rolle der künstlichen Intelligenz im Bereich Cybersicherheit: Einerseits haben Experten nun Zugriff auf KI-basierte Sicherheitstools und -produkte, mit denen sich große Mengen sicherheitsrelevanter Ereignisse mit minimalem Arbeitsaufwand bearbeiten lassen. Andererseits können selbst Amateurhacker KI-Technologien nutzen, um intelligente Malware zu entwickeln und gut getarnte Angriffe mit immer höherem Komplexitätsgrad durchzuführen.
Stellt der neue Chatbot ein Problem dar?
Seit der Markteinführung von ChatGPT im November 2022 haben weltweit zahlreiche Technologieexperten und Kommentatoren Bedenken bezüglich der möglichen Folgen KI-generierter Inhalte geäußert. Befürchtet wurden unter anderem negative Auswirkungen auf die Cybersicherheit durch die KI-gestützte Erweiterung des Handlungsspielraums für Cyberkriminelle.
Dass diese Sorge nicht aus der Luft gegriffen ist, zeigte kürzlich die Vorführung eines Teams der singapurischen Government Technology Agency auf der Black Hat and DEFCON Conference in Las Vegas. Dort konnten die Zuschauer erleben, wie eine KI extrem raffinierte Phishing- und Spear-Phishing-E-Mails erstellte – in deutlich besserer Qualität als jeder menschliche Autor.
Mithilfe der GPT-3-Plattform von OpenAI und anderen KI-as-a-Service-Produkten gelang den Bedrohungsforschern der Aufbau einer Pipeline zur Erzeugung maßgeschneiderter Phishing-E-Mails. Der resultierende automatisierte Prozess suchte und analysierte zunächst relevante Informationen zu den Zielpersonen (in diesem Fall Kollegen der Bedrohungsforscher) und deren Hintergrund und formulierte dann eine genau auf das jeweilige Opfer zugeschnittene Nachricht. Dabei mussten die Experten zu ihrer Überraschung feststellen, dass die Plattform eigenständig hochgradig relevante Detailinformationen fand und beispielsweise singapurische Gesetze erwähnte.
In Reaktion darauf haben die Entwickler von ChatGPT darauf hingewiesen, dass ihr KI-Tool über integrierte Kontrollmechanismen verfügt, die inkorrekte Annahmen und unangemessene Anfragen zurückweisen sollen. Allerdings hat sich gezeigt, dass diese Schutzmaßnahmen gegen die missbräuchliche Nutzung durch ein paar kreative Eingaben ausgehebelt werden konnten, woraufhin das Tool fast fehlerlose Phishing-E-Mails generierte, die erschreckend menschlich erschienen.
Neue Bedrohungen erfordern neue Sicherheitsstrategien
Bei der Suche nach Strategien zur Bewältigung dieser neuen Herausforderungen lohnt ein Blick nach Australien: Nach Angaben der australischen Cybersicherheitsbehörde (ACSC) verursachten die von australischen Unternehmen im Jahr 2022 gemeldeten BEC-Angriffe Schäden in einer Höhe von insgesamt 98 Millionen Dollar. Das war ein deutlicher Anstieg im Vergleich zum Vorjahr mit einer Gesamtschadenssumme von 81,45 Millionen Dollar. Zudem steht für die nähere Zukunft zu erwarten, dass sich dieser Aufwärtstrend fortsetzt, da entsprechende Hackertools im Dark Web für weniger als 10 Dollar verfügbar sind, Ransomware-as-a-Service-Angebote zunehmende Verbreitung finden und KI-basierte Tools wie ChatGPT angehenden Cyberkriminellen den Einstieg erleichtern.
Angesichts der drohenden Gefahr immer intelligenterer Hackerangriffe mit immer ausgereifteren KI-gestützten Technologien und Exploits ist die Cybersicherheitsbranche aufgefordert, ihren Kunden ähnlich effektive Lösungen zu deren Abwehr bereitzustellen. Dabei kann die Zukunftsvision jedoch nicht darin bestehen, dass große Teams von Bedrohungsfahndern sporadisch und auf gut Glück nach akuten KI-basierten Angriffen suchen.
Nachhaltige Abhilfe verspricht hier lediglich eine kluge Kombination aus Technologien aus dem Bereich Autonomous Response (die akute Bedrohungen weitgehend ohne menschliches Eingreifen eindämmen und bekämpfen) mit weiteren intelligenten Gegenmaßnahmen. Dagegen bietet die Umsetzung der acht grundlegenden Best Practices der ACSC keinen ausreichenden Schutz vor der neuesten Generation raffinierter Angriffe. Das bedeutet, dass Unternehmen, Regierungsbehörden und Privatpersonen ihrerseits auf Zukunftstechnologien wie KI, maschinelles Lernen und automatisierte Abwehrmaßnahmen angewiesen sind, wenn sie KI-basierte Hackeraktivitäten stoppen wollen.
Leitlinien zur ethischen und verantwortungsbewussten Nutzung von KI-Tools
Nach den neuesten schlagzeilenträchtigen Hackerangriffen in Australien überrascht es nicht, dass Unternehmen nach neuen Methoden zur Verbesserung ihrer Sicherheitsmaßnahmen suchen. Motivierend wirkt dabei auch der steigende behördliche Druck zur Implementierung innovativer Technologien, beispielsweise durch die Australian Securities and Investments Commission (ASIC), die neuerdings stärker auf die Priorisierung der Cybersicherheit durch die Manager der Unternehmen pocht.
Allerdings wird die Umstellung auf eine KI-gestützte Cyberabwehr vielerorts durch diverse Herausforderungen ausgebremst – von technischen Komplexitäten über das unklare Zusammenspiel von Mensch und KI bis hin zu schwierigen ethischen Aspekten des Einsatzes intelligenter Sicherheitslösungen.
Infolgedessen muss die angestrebte Stärkung der Cybersicherheit unbedingt mit der Formulierung ethischer Unternehmens- und Geschäftsrichtlinien einhergehen. Wir benötigen effektive Governancevorgaben und rechtliche Bestimmungen, die das Vertrauen in künstliche Intelligenz fördern, indem sie uns die Gewissheit geben, dass die flächendeckende Implementierung der neuen Technologie auf sichere Weise erfolgt und einen wichtigen Beitrag zu einer gerechten und nachhaltigen Welt leistet. Letztlich wird sich der Umstieg auf intelligente Cybersicherheit nur dann als Erfolg erweisen, wenn uns durch Transparenz und die Schaffung klarer Verantwortlichkeiten die richtige Balance zwischen KI und Mensch gelingt.
Dieser Artikel wurde ursprünglich am 18. Januar 2023 im Australian Cybersecurity Magazine veröffentlicht.