Anhand der Möglichkeiten von Chatbots wie OpenAIs ChatGPT stellt der Sophos-Sicherheitsanalyst Chester Wisniewski inzwischen sogar den Nutzen von Sicherheitsschulungen für Endbenutzer in Unternehmen infrage. „Ich denke, die Zeiten, in denen wir uns darauf verlassen konnten, dass unsere Endbenutzer beim Schutz unserer Unternehmen vor eingehenden Bedrohungen eine Rolle spielen, sind vorbei. Jahrelang haben wir unseren Mitarbeitern beigebracht, wie sie gefälschte Links erkennen, auf Vorhängeschlösser in ihren Browsern achten und sich von unheimlichen Wi-Fi-Netzwerken fernhalten können. Trotz alledem ist Ransomware nach wie vor auf dem Vormarsch, und Meldungen über Datenschutzverletzungen sind so häufig wie AOL-CDs in den 90er Jahren“, kommentiert Wisniewski die aktuellen Entwicklungen.
Jahrelang sei Mitarbeitern auch beigebracht worden, auf Grammatik- und Rechtschreibfehler in E-Mails und anderen elektronischen Nachrichten zu achten, um Phishing oder gar BEC-Angriffe (Business E-Mail Compromise) zu verhindern. Letztere gelten als generell schwer zu erkennen, da die Empfänger solcher Nachrichten häufig den von Hackern kompromittierten Absender gut kennen.
Wisniewski warnt, dass gerade das derzeit so populäre Tool ChatGPT mit seinem Trainingsmodell GPT-3.5 in der Lage ist, auf Fragen sehr glaubhafte und zum Teil sogar sehr genaue kurze Antworten auszuspucken – vor allem, wenn es um schriftliche Texte auf Englisch geht. „Werden Tools wie ChatGPT das letzte erkennbare Element vieler Betrügereien, Spams und Phishing-Mails beseitigen, mit denen wir bereits zu kämpfen haben? Ich denke, das könnte der Fall sein“, so der Sicherheitsexperte weiter.
Zu Testzwecken generierte Wisniewski mit ChatGPT kurze Nachrichtentexte, wie sie beispielsweise von BEC-Betrügern in Umlauf gebracht werden, um einen Mitarbeiter eines Unternehmens dazu zu bringen, eine Gehaltszahlung auf einer anderes Konto – das Konto der Angreifer – umzuleiten. Das Ergebnis bewertete er kurz und knapp mit: „Nicht schlecht, klinge wie eine E-Mail, die ich geschrieben haben könnte“.
Bei einem zweiten Test ging es um eine Nachricht für eine Betrugsmasche mit Geschenkgutscheinen. Auch hier erledigte ChatGPT die Aufgabe nach Ansicht von Wisniewski mehr als nur ausreichend. „Ist es perfekt? Nein. Ist es gut genug? Ich würde sagen, ja, denn Betrüger machen schon jetzt Millionen mit ihren schlampig geschriebenen Nachrichten.“
Auch Konstantin Berlin, Head of AI bei Sophos X-Ops, ist davon überzeugt, dass KI-Anwendungen inzwischen so weit fortgeschritten sind, dass Sie Menschen fast zu 100 Prozent täuschen können. Seine Aussage beschränkt er dabei nicht nur auf Konversationen mit ChatGPT. Auch per KI gefälschte Gesichter seien kaum noch von echten Fotos zu unterscheiden.
„Benötigen Sie ein gefälschtes Unternehmen, um einen Betrug zu begehen? Das ist kein Problem“, warnt Wisniewski. „Erstellen Sie 25 Gesichter und verwenden Sie ChatGPT, um ihre Biografien zu schreiben. Legen Sie ein paar gefälschte LinkedIn-Konten an, und schon können Sie loslegen.“
Audio- und Videodateien sind zu fälschen stellt jedoch noch eine Herausforderung für Künstliche Intelligenz dar. Der Sophos-Experte Berlin deutet aber an, dass auch dies schon bald möglich sein könnte und als Bedrohung für die IT-Sicherheit in Betracht gezogen werden sollte.
Berlin und Wisniewski raten Unternehmen, sich auf die durch KI-Tools verschärfte Bedrohungslage einzustellen und diese Technologie als Chance zu nutzen. „Es sieht immer mehr danach aus, dass wir Maschinen brauchen, die erkennen, wenn andere Maschinen versuchen, uns zu täuschen“, erklärte Wisniewski.
Das dies möglich ist, zeigte zuletzt das Start-up Hugging Face. Es entwickelte ein Proof-of-Concept, um Texte zu erkennen, die mit GPT-2* erzeugt wurden, einem Vorgänger des Sprachmodells GPT-3.5 von ChatGPT. Wisniewski hofft, dass es möglich sein wird, ähnliche Techniken auch zur Erkennung von GPT-3-Ausgaben zu verwenden.
Trotzdem bleibt der Experte bei seinem Fazit: „Die KI hat den letzten Nagel in den Sarg des Sicherheitsbewusstseins von Endnutzern geschlagen.“ Das Sicherheitsbewusstsein von Endnutzern nicht mehr zu schulen sei weiterhin falsch, IT-Abteilungen sollten aber ihre Erwartungen vollständig überdenken.
Wisniewski rät, Nutzern vor allem beizubringen, bei Nachrichten, die den Zugang zu Informationen oder finanzielle Elemente beinhalten, besonders misstrauisch zu sein. „Stellen Sie Fragen, bitten Sie um Hilfe, und nehmen Sie sich die wenigen Minuten Zeit, die nötig sind, um sich zu vergewissern, dass die Dinge wirklich so sind, wie sie scheinen. Wir sind nicht paranoid; sie sind wirklich hinter uns her.“
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…