Fast alle Unternehmen arbeiten gegenwärtig daran, ihre Geschäftsmodelle und -prozesse mit generativer KI zu erweitern und zu optimieren. Doch auch Hacker entwickeln ihre Angriffsstrategien mit der neuen Technologie weiter. Welche neuen Angriffsvektoren eröffnen sich durch die KI-Nutzung in Unternehmen, welche Vorgehensweisen nutzen Hacker und was muss sich in der Cybersecurity-Strategie nun ändern?
Nicht nur Unternehmen profitieren von den zahlreichen Einsatzmöglichkeiten generativer Künstlicher Intelligenz (KI). In den falschen Händen werden die Fähigkeiten der KI-Systeme zu einem gefährlichen Werkzeug. Cyberkriminelle haben längst erkannt, dass sich die Technologie gezielt einsetzen lässt, um Unternehmen noch effektiver anzugreifen. Besonders Large Language Models (LLMs) werden laut Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Einstiegshürden bei Hackern senken und den Umfang und die Geschwindigkeit bösartiger Handlungen erhöhen. Das BSI empfiehlt daher, der Cybersicherheit höchste Priorität einzuräumen sowie die Abwehrmaßnahmen zu beschleunigen und auszuweiten. Damit Unternehmen KI-gestützte Angriffe überhaupt erkennen und abwehren können und eine Cybersecurity-Strategie ihr Ziel erreicht, müssen sie zunächst wissen, welche Änderungen aktuell in der Bedrohungslandschaft stattfinden.
Die Kehrseite der KI-Stärken
Die Anwendungsmöglichkeiten von KI im Cybercrime-Bereich sind vielfältig und beunruhigend. Schon lange ist es kein Geheimnis mehr, dass Angreifer ohne Kenntnis des jeweiligen Wortschatzes mit LLMs überzeugende Phishing-E-Mails in nahezu jeder Sprache erstellen können. Darüber hinaus lassen sich KI-Systeme zur automatisierten Erstellung von Webseiten für Phishing-Kampagnen nutzen. Hierfür benötigen sie lediglich ein Foto oder Screenshot des anvisierten Login-Portals, um damit den entsprechenden HTML-Code zu generieren.
Ein weiterer beängstigender Aspekt ist die Fähigkeit, große Datenmengen in Sekundenschnelle zu analysieren und auszuwerten. Dies erleichtert Cyberkriminellen das Aufspüren von Schwachstellen in Netzwerken und Systemen und die Planung zielgerichteter Angriffe. Überdies lassen sich KI-Modelle auch für die Entwicklung von Malware und Hacking-Tools einsetzen. Dadurch sind auch für technisch weniger versierte Angreifer professionelle Kampagnen leichter durchzuführen.
KI-Systeme: Die Achillesferse von Unternehmen
Ohne es zu ahnen eröffnen die von den Firmen selbst eingesetzten KI-Anwendungen ebenfalls neue Angriffsvektoren: Technologien wie Retrieval Augmented Generation ermöglichen KI-Modellen inzwischen den Zugriff auf externes Wissen – auch auf firmeninterne Betriebsinformationen. Das erleichtert es beispielsweise der Belegschaft, benötigte Daten zu finden und sie weiterzuverarbeiten. Doch was passiert, wenn das KI-System auch Zugriff auf sensible Daten hat? In so einem Fall könnte die KI auf die Frage eines Mitarbeiters nach dem Gehalt des Geschäftsführers prompt eine richtige, aber eigentlich vertrauliche Antwort erteilen. Noch bedrohlicher wird es, wenn Hacker Zugriff auf die unternehmensinterne KI erlangen und ihr mittels sogenannter Prompt Injection geschickt Informationen entlocken. Angreifer formulieren Eingaben dabei so, dass sie die KI dazu verleiten, im Sinne des Angreifers zu handeln. Daher muss schon im Vorfeld exakt bedacht werden, welche Daten in die KI-Systeme eingespeist werden und welche Tools ihnen zur Verfügung stehen. Das heißt Sicherheit muss bereits bei der Planung des Systems berücksichtigt werden. Die Sicherheitsstufe eines KI-Systems sollte der sensibelsten Information entsprechen, die es verarbeitet und der vertraulichsten Werkzeuge, auf die es Zugriff hat.
Ein anderer Weg zur böswilligen Beeinflussung unternehmensinterner KI-Modelle besteht darin, Daten in das Unternehmensnetzwerk einzuschleusen. Hacker könnten Mitarbeitern beispielsweise E-Mails mit irreführenden Informationen schicken. Die Konsequenz: Das mitlesende KI-Modell interpretiert den Inhalt unter Umständen als Anweisung, sodass der KI-Bot schädliche Handlungen durchführt.
Allerdings löst auch ein völliger Verzicht auf KI das Problem nicht. Mitarbeiter könnten dann eigenmächtig Bots programmieren – und mangels zentraler Kontrolle bieten diese Eigenentwicklungen dann viele Einfallstore in das Unternehmen. Solch eine „Schatten-KI“ lässt sich noch schlechter kontrollieren als die vom Unternehmen eingesetzten Systeme. Es sollte also mindestens eine zentrale Stelle mit offenem Ohr für Ideen und Use Cases der Mitarbeiter geben, selbst wenn mittelfristig kein Einsatz von KI im Unternehmen geplant ist.
Mit welchen Vorkehrungen sich Firmen wappnen können
Die sich ständig verändernde Bedrohungslage erfordert ein regelmäßiges Durchführen von Risikoanalysen und die entsprechende Anpassung von Cybersicherheitsmaßnahmen. Um im Krisenfall schnell und effektiv reagieren zu können, müssen auch Notfallpläne überarbeitet werden. Folgende Vorkehrungen schützen ebenfalls gegen KI-gestützte Hackerangriffe:
- KI auf Verteidigungsseite
Eine aussichtsreiche Strategie ist der Einsatz von KI-basierten Sicherheitslösungen zur Echtzeiterkennung und -analyse von Anomalien und Bedrohungen. SIEM-Systeme (Security Information and Event Management) sammeln und analysieren große Mengen an Sicherheitsdaten in Echtzeit und nutzen KI, um Cyberbedrohungen schneller und präziser zu erkennen. Ein SIEM kann zwar Auffälligkeiten identifizieren, erkennt aber nicht, ob sie sicherheitsrelevant sind. Zudem entstehen relativ viele False-Positiv-Alarme – ohne manuelle Nacharbeit von Security-Analysten ist deshalb die IT-Sicherheit nicht gewährleistet. Die Integration von Security Orchestration, Automation and Response (SOAR) in bestehende Security Operations Centers (SOCs) führt hier einer deutlichen Effizienzsteigerung, beispielsweise durch die Automatisierung wiederkehrender Aufgaben wie das Sammeln und Analysieren von Log-Daten. Dies ermöglicht eine schnellere Reaktion auf Sicherheitsvorfälle bei gleichzeitiger Reduktion der Arbeitsbelastung der IT-Mitarbeiter.
- Security als Prozess und nicht als Feature – auch bei KI-Tools
Sicherheit bereits beim Design zu berücksichtigen, ist auch bei der Entwicklung und Implementierung von KI-Systemen unabdingbar. Dazu zählen auch die sorgfältige Auswahl und Filterung der Trainingsdaten, um sensible Informationen zu schützen und ungewollte Zugriffe zu verhindern. Es gilt, Funktionen, APIs und Tools streng zu regulieren und einzuschränken. In besonders kritischen Bereichen sollten zusätzliche Sicherheitsmechanismen implementiert werden, die erfordern, dass zumindest eine Person den Zugriff autorisieren muss. Ein regelmäßiges Monitoring und Anpassung der Sicherheitskontrollen sind ebenfalls unverzichtbar.
- Kontinuierliches Monitoring – gegebenenfalls auch automatisiert
Regelmäßige Risikobewertungen und Penetrationstests unterstützen dabei, potenzielle Schwachstellen aufzudecken und entsprechende Gegenmaßnahmen zu ergreifen. Derartige Sicherheitschecks können mit entsprechendem Know-how und mithilfe einer autonomen Plattform für Cybersicherheitsvalidierung auch regelmäßig selbst durchgeführt werden.
- Mitarbeiter schulen und auf dem Laufenden halten
Ein weiterer Kernpunkt einer effektiven Cybersecurity-Strategie besteht darin, Mitarbeiter kontinuierlich zu schulen und sie für die Gefahren KI-basierter Angriffe zu sensibilisieren.
Managed Security Services: IT-Teams entlasten und Sicherheit stärken
Für die IT-Teams bedeuten erhöhte Sicherheitsmaßnahmen Mehrarbeit, die sie in Zeiten des Fachkräftemangels kaum noch bewältigen können. Die Auslagerung von Sicherheitsoperation an externe Experten wie indevis ist daher besonders für Mittelständler das Mittel der Wahl. Dies ist besonders sinnvoll, wenn für den Betrieb eines voll funktionsfähigen SOC keine internen Kapazitäten zur Verfügung stehen. Sie können dann auf die Expertise der Managed Security Service Provider (MSSPs) zurückzugreifen und von deren Managed Detection and Response (MDR) Services profitieren. Diese nutzen fortschrittliche Technologien wie KI und maschinelles Lernen, um Anomalien und potenzielle Cyberbedrohungen in Echtzeit zu identifizieren. Sie bieten eine proaktive Bedrohungserkennung, können schnell auf Sicherheitsvorfälle reagieren und stellen detaillierte Analysen bereit, um zukünftige Angriffe zu verhindern.
Fazit: KI-Bedrohungen proaktiv in Schach halten
Es ist altbekannt, dass Hacker KI nutzen, um damit ihre klassischen Angriffsversuche zu optimieren. Neue Angriffsvektoren entstehen, wenn Unternehmen betriebsintern zur Optimierung und zur Beschleunigung von Arbeitsabläufen KI-Systeme einsetzen. Das ist zwar wichtig für die Wettbewerbsfähigkeit, bringt aber ganz neue Risiken mit sich, die Verantwortliche von Anfang an berücksichtigen sollten. Weiterhin ist es sinnvoll, KI in der Bedrohungsabwehr einzusetzen. Wer inhouse nicht über das notwendige Know-how verfügt, kann sich externe Expertise von Spezialisten einkaufen. Diese nutzen fortschrittliche Tools mit darin enthaltenen Technologien wie KI und maschinelles Lernen, um Bedrohungen in Echtzeit zu erkennen und zu bekämpfen. KI verspricht wie alle disruptiven Technologien enormes Potenzial, birgt aber auch enorme Risiken. Wer sich über potenzielle Gefahren bewusst ist und jetzt proaktiv handelt, kann seinem Unternehmen zukünftig einen entscheidenden Wettbewerbsvorteil verschaffen.