Künstliche Intelligenz: Sicherheitslücke ChatGPT?

Meilenstein für die einen, weil die KI in kürzester Zeit Texte erstellen kann, die von menschengemachten kaum zu unterscheiden sind. Kritik von der Gegenseite, dass sie auch oft falsch liege und sogar Fake News verbreiten kann. Kaum öffentlich diskutiert wird hingegen der Sicherheitsaspekt. Im Interview erklärt KI-Experte Stefan Strobel, Geschäftsführer von cirosec, Spezialist für Informations- und IT-Sicherheit und Teil der it-sa365-Community der NürnbergMesse, wie ChatGPT Cyberkriminellen in die Karten spielen könnte und wie sich Unternehmen dagegen wappnen sollten.

Herr Strobel, der Chatbot ChatGPT von OpenAI ist aktuell in aller Munde. Welchen Nutzen hat diese oder ähnliche KI, wie etwa Bard von Google?

Strobel: KI-Systeme wie ChatGPT vereinfachen beispielsweise die Suche nach Informationen im Internet, können echt klingende Texte oder sogar Programme erzeugen. Gleichzeitig kann sich der Anwender aber nicht darauf verlassen, dass die gelieferten Inhalte inhaltlich korrekt sind. Eventuell hat die KI sie auch einfach nur halluziniert.

In einer aktuellen Studie des Cybersecurity-Unternehmens BlackBerry gehen 52 % der IT-Fachleute davon aus, dass es in diesem Jahr zu einem Cyberangriff mit ChatGPT kommen wird und 61 % glauben, dass ausländische Staaten die Technologie bereits für böswillige Zwecke gegen andere Nationen einsetzen könnten. Welche Gefahren könnten Ihrer Meinung nach von der neuen KI ausgehen?

Strobel: KI-Systeme wie ChatGPT vereinfachen dem Angreifer die automatische Erstellung von echt klingenden Texten. Damit führt die KI nicht zu neuen Angriffsarten, vor denen man sich nicht schützen könnte, aber sie ermöglicht eine noch bessere Täuschung der Opfer und gleichzeitig eine höhere Effizienz durch die Automatisierung der Angriffe.

Eigentlich haben die Entwickler von OpenAI Restriktionen eingebaut, die verhindern sollen, dass ChatGPT zur Erzeugung von Phishing-Mails verwendet wird, aber es gibt auch schon erste Belege dafür, dass Cyberkriminelle diese Restriktionen umgehen.

Nutzen Cyberkriminelle generische KI auch schon für Phishing-Mails?

In der Praxis findet heute die Masse der Phishing-Angriffe ohne KI-Systeme statt. Es gibt zwar Belege dafür, dass ChatGPT bereits zur Erzeugung von Phishing-Mails verwendet wird, weil man Angriffe noch überzeugender gestalten kann, aber im Gesamtbild spielt KI bei den Cyberkriminellen bisher keine relevante Rolle. Aus Angreifersicht ist das eigentlich gar nicht nötig, denn bisher ist es auch ohne KI noch sehr einfach, Millionen zu erbeuten.

Stichwort KI-gesteuerte Cybersicherheit: Können sich Experten der IT-Sicherheitsindustrie im Gegenzug die neue KI nicht auch selbst zu Nutze machen?

Da es keine bindende Definition des Begriffs KI gibt, vermarkten gerade in der Security-Branche viele Hersteller ihre Produkte sehr großzügig mit dem Label KI. In einigen Bereichen ist die tatsächliche Nutzung von KI jedoch seit Jahren offensichtlich, beispielsweise bei Virenschutz auf Basis neuronaler Netze. Damit kann Malware zuverlässiger erkannt werden als mit klassischen Signaturen.

Welche Sicherheitstipps haben Sie für den Einsatz von KI bzw. wie können sich Unternehmen vor deren missbräuchlicher Verwendung schützen?

Es kommt sehr stark auf den tatsächlichen Anwendungsfall und die eingesetzte Technik an, wie man mit den neuen Gefahren umgehen sollte. Klar ist jedoch, dass auch KI wie jede neue Technik in der IT sowohl neue Chancen als auch neue Risiken mit sich bringt. Vor der Einführung von KI-basierten Systemen sollte man daher genau analysieren, welche neuen Bedrohungen entstehen und wie man mit diesen im Einzelfall umgehen möchte.

Am Beispiel von KI-basierten Erkennungslösungen hat man beispielsweise auf den ersten Blick eine bessere Erkennungsrate. Gleichzeitig gibt es aber auch neue Möglichkeiten, die Erkennung auszutricksen und explizit eine falsche Erkennung zu provozieren.