Aktuelles

KI macht's möglich: Hilfe für schlechte Hacker

Jeder hat schon mal solche E-Mails bekommen: Zahlungsaufforderungen von Banken, bei denen man gar kein Konto hat oder Benachrichtigungen von Paketdienstleistern, ohne etwas bestellt zu haben oder noch ganz andere, fantasievolle Anschreiben. Ihnen allen ist eins gemeinsam: Entweder man soll irgendwo ganz dringend klicken - oder einen Dateianhang öffnen, gerne im ZIP-, RAR-, BAT- oder DOC-Format. Oder der angeschriebene Nutzer soll Finanzinformationen, Pins und Passwörter oder andere sensible Daten preisgeben. Das nennt man Phishing.

Einmal falsch geklickt und der Empfänger hat sich einen Satz Malware eingefangen: Adware, Spyware, Viren, Botnets, Trojaner, Würmer, Rootkits und/oder Ransomware - und glauben Sie mir: so etwas wollen Sie nicht in Ihrem Unternehmen haben.

Bei vielen dieser Mails gab es bisher aber noch eine andere Gemeinsamkeit: Neben der oftmals schlechten Gestaltung ist vor allem das grottenschlechte, radebrechende Deutsch aufgefallen und halbwegs informierte Nutzer wussten: Aha, hier ist mal wieder die "Nigeria-Connection" am Start und schwupps, lag das Anschreiben in der digitalen Mülltonne, wenn es nicht ohnehin vorher schon als verdächtig in die Quarantäne verschoben wurde. Doch das könnte sich jetzt ändern.

Gute Prompts, schlechte Prompts: Jailbreaks

Script-Kiddies und schlechte Hacker bekommen nun Hilfe in Form einer KI, die den absoluten Anfängern in diesem Bereich zur Hand geht. In den Diskussionsforen von Cyberkriminellen werden derzeit sogenannte "Jailbreaks" gefeiert. Dabei handelt es sich um ganz spezielle und sorgfältig ausgearbeitete Prompts, mit denen Werkzeuge wie ChatGPT so manipuliert werden können, dass sie Ausgaben erzeugen, die die Preisgabe sensibler Informationen, die Produktion unangemessener Inhalte oder sogar die Ausführung von Schadcode beinhalten können.

Dass dabei die eingebauten Sicherheitsmechanismen seriöser KI-Tools ausgehebelt werden, sollte klar sein.

Böses ChatGPT-Derivat: WormGPT

Mehr noch: Böswillige Akteure erstellen nun ihre eigenen benutzerdefinierten Module, die ChatGPT ähneln, aber viel einfacher für illegale Zwecke zu verwenden sind. So kursiert in den entsprechenden Foren ein Tool namens WormGPT, welches als Blackhat-Alternative zu GPT-Modellen und speziell für bösartige Aktivitäten entwickelt wurde. WormGPT basiert auf dem 2021 entwickelten GPTJ-Sprachmodell. Es verfügt über eine Reihe von interessanten Funktionen, darunter unbegrenzte Zeichenunterstützung, Chat-Speicher und Code-Formatierungsmöglichkeiten. WormGPT wurde angeblich mit einer Vielzahl von Quellen trainiert, wobei der Schwerpunkt auf Malware-bezogenen Daten lag. Die spezifischen Datensätze, die während des Trainingsprozesses verwendet wurden, bleiben jedoch im Dunkel - der Autor hält sich da sehr bedeckt.

Inzwischen beschäftigen sich auch seriöse Stellen mit WormGPT und testen die Algorithmen auf Herz und Nieren, um die potenziellen Gefahren umfassend zu bewerten. Die Ergebnisse sind beunruhigend. WormGPT produziert E-Mails, die nicht nur bemerkenswert überzeugend, sondern auch strategisch äußerst gerissen sind.

Sicherheitsverantwortliche werden es also in naher Zukunft mit einer ganz anderen Qualität von ausgeklügelten Phishing- und BEC-Angriffen (Business Email Compromise) zu tun haben. Die Bedrohungen sind erheblich, die von generativen KI-Technologien wie WormGPT ausgehen - und das selbst in den Händen von unerfahrenen Cyberkriminellen. WormGPT ist ChatGPT zudem sehr ähnlich, kennt aber keine ethischen Grenzen oder Einschränkungen - welche die OpenAI-Entwickler ihrem Tool bereits eingebaut haben.

Zudem werden radebrechende E-Mails und schlechte Grammatik bald der Vergangenheit angehören. WormGPT kann E-Mails mit tadelloser Rechtschreibung und Grammatik erstellen, so dass sie legitim erscheinen und die Wahrscheinlichkeit, als verdächtig eingestuft zu werden, sinkt.

Schutzmaßnahmen

• Verbesserte Maßnahmen zur E-Mail-Überprüfung: Um sich gegen KI-gesteuerte BEC-Angriffe zu wappnen, sollten Unternehmen strenge E-Mail-Überprüfungsprozesse einführen. Dazu gehören die Implementierung von Systemen, die automatisch Alarm schlagen, wenn E-Mails von außerhalb des Unternehmens stammen und sich als interne Führungskräfte oder Lieferanten ausgeben.
• Phrasenfilter: Ihre E-Mail-Systeme oder Ihre Überprüfungstools sollten Nachrichten mit bestimmten Schlüsselwörtern kennzeichnen, die mit BEC-Angriffen in Verbindung gebracht werden, z. B. "dringend", "sensibel" oder "Überweisung". Solche Maßnahmen stellen sicher, dass potenziell bösartige E-Mails einer gründlichen Prüfung unterzogen werden, bevor weitere Maßnahmen ergriffen werden können.
• Interne Cybersecurity-Policies: Viele Köche verderben den Brei. Vereinbaren Sie verbindliche und sanktionsfähige interne Regelungen, die klar festlegen, welche Verantwortlichkeiten Ihre Mitarbeiter haben - und verbieten Sie alles, was die Sicherheit Ihres Unternehmens gefährden könnte. Stichwort: private E-Mails, Dienst-E-Mails zu Haus, private USB-Sticks, Handy aufladen am Dienst-PC u.s.w. - die Risiken sind vielfältig und die Scheunentore für einen bösartigen Einfall riesig.
  

Zusammenfassend lässt sich sagen, dass uns KI in naher Zukunft auch aus dem Blickwinkel der Cybersicherheit einiges abverlangen wird. Durch den Einsatz generativer KI wird die Ausführung anspruchsvoller BEC-Angriffe gewissermaßen demokratisiert. Selbst Angreifer mit begrenzten Kenntnissen können diese Technologien nutzen, was Tools wie WormGPT für ein breiteres Spektrum von Hackern zu einem veritablen Traumwerkzeug macht, mit dem sich viel Zeit, Aufwand und Ressourcen sparen lassen.

Gerade Sicherheitsverantwortliche in Unternehmen sollten sich vor Augen halten, dass die Aufrechterhaltung von Cybersicherheit in einer von künstlicher Intelligenz geprägten Welt immer schwieriger wird. Sogenannte BEC-Angriffe werden mit dem KI-Arsenal einfacher und professioneller, auch wenn man nur wenig Ahnung von der Materie hat. Cyberkriminelle können diese Technologie nutzen, um die Erstellung äußerst überzeugender, auf den Empfänger zugeschnittener gefälschter E-Mails zu automatisieren und so die Erfolgsaussichten des Angriffs zu erhöhen.

Die zu erwartende Verbreitung solcher Praktiken unterstreicht die zunehmenden Herausforderungen auch bei der KI-Sicherheit.

27.07.2023