Beim Einsatz von KI sind Angreifer im Vorteil

Während die Security-Branche über den Einsatz von KI nachdenkt, nutzen Hacker längst intensiv künstliche Intelligenz für ihre Interessen. Aktuell sind sie dabei sehr erfolgreich. Woran liegt das?

Hemmungs- und rücksichtslos experimentieren Cyber-Kriminelle mit KI. Einziges Kriterium für den Einsatz: Profitmaximierung. Das ruft inzwischen sogar die internationale Politik auf den Plan.

Es ist ein geschichtsträchtiger Ort: Im englischen Bletchley knackte einst Alan Turing mit seinem Team die Verschlüsselung der deutschen kriegsrelevanten Crypto-Maschine Enigma. Dort trafen sich nun Staats- und Regierungsvertreter aus 28 Staaten zu Beratungen über die Regulierung von künstlicher Intelligenz. Insbesondere die Missbrauchsmöglichkeiten dieser Technologie bereiten ihnen Sorgen.

Anlass ist vorhanden, denn zwielichtige Akteure beschäftigen sich längst sehr intensiv mit den Fähigkeiten künstlicher Intelligenz. Schon kurz nach der öffentlichen Verfügbarkeit von ChatGPT versuchten sie erfolgreich, mittels KI Malware zu generieren. Seitdem dies nicht mehr ohne weiteres möglich ist, verwenden Cyber-Kriminelle eigene KI-Systeme wie WormGPT oder FraudGPT, um damit gefährliche Software oder Phishing-Mails zu erzeugen. Soweit bekannt, basieren diese teils auf geklauten Basismodellen oder bestehen aus Opensource-Systemen, die sie mit gestohlenen Daten aus dem Darknet trainieren.

Hacker haben viel Geld

Der Betrieb dieser KI-Systeme ist allerdings recht ressourcenintensiv und verursacht somit hohe Kosten. Am nötigen Budget mangelt es den kriminellen Banden allerdings nicht. Warum das so ist, verrät Norbert Pohlmann, Professor für Cyber-Sicherheit an der Westfälischen Hochschule und Leiter des Instituts für Internet-Sicherheit: „Die Angreifergruppen haben mit Ransomware so viel verdient, finanziell sind sie gut aufgestellt“. Stefan Strobel, Geschäftsführer des IT-Sicherheitsspezialisten cirosec, der Mitte der 1990er Jahre am französischen Laboratoire d'Intelligence Artificielle der Université de Savoie in Chambery KI studiert hat, kommt zu dem Schluss: „Momentan sind es eher die Angreifer, die KI sehr effizient einsetzen, etwa bei Pishing oder Deep Fakes mit gefälschten Stimmen, Fotos oder Videos“.

Beim Einsatz von KI ist derzeit also der kriminelle Untergrund im Vorteil. Das blieb auch der Politik nicht verborgen. Markus Richter, Staatssekretär im Bundesinnenministerium und Beauftragter der Bundesregierung für Informationstechnik, warnte deshalb während der Pressekonferenz zur diesjährigen it-sa: „Wir sehen immer perfidere Vektoren, die genutzt werden sowie einen stetig zunehmender Profilierungsgrad“. Nach seiner Meinung stünden wir vor radikalen Veränderungen, wenn es um Dinge wie KI geht. Er forderte: „KI wird gezielt von Angreifern genutzt, es muss auch gezielt zur Verteidigung genutzt werden“.

Doch Angreifer haben es in vielen Punkte leichter. Warum das so ist, erklärt Norbert Pohlmann: „Während Unternehmen, die sich verteidigen wollen, juristische und ethische Rahmenbedingungen beachten müssen, ist das für Angreifer irrelevant. Sie machen daher hemmungslos Gebrauch von allen Fähigkeiten und Möglichkeiten, die KI bietet“. KI sei schließlich eine Technologie, die jeder nutzen könne, zum Guten oder zum Schlechten. Pohlmann verdeutlicht das an einem Beispiel: „Wird KI für die Abwehr von Angriffen eingesetzt, muss sichergestellt sein, dass automatisch erzeugte Ergebnisse stimmen. Das erfordert Aufwand“.

EU plant AI-Act

Dazu führt er aus: „Wenn ich als Experte auf einem Wissensgebiet ChatGPT irgendetwas frage, kann ich beurteilen, ob es richtig oder falsch ist“. Falsche Ergebnisse sind nur selten tolerabel. Deshalb wird etwa in der Medizin KI bei kritischen Entscheidungen nur als beratende Stimme hinzugezogen. Angreifer sind dagegen rücksichtslos und haben andere Prioritäten: „Sie müssen sich damit nicht abgeben. Sie können einfach ausprobieren und die Ergebnisse nehmen, wie sie kommen. Das kann dann etwa bei der Generierung von Speer-Pishing-E-Mails dazu führen, dass diese nicht sehr gut funktionieren. Somit läuft eben ein Teil der damit durchgeführten Angriffe ins Leere, aber die meisten werden funktionieren, das reicht schon“, erläutert Pohlmann.

Auch in Brüssel sind diese Probleme bekannt, dort entsteht gerade eine Verordnung zur Regulierung von KI. Das EU-Parlament erwägt sogar die Gründung eines eigenen europäischen Amtes für KI. Doch Cyber-Kriminelle werden sich von all dem nicht beeindrucken lassen.

Autor: Uwe Sievers