Künstliche Intelligenz ist in vielen Aspekten unseres Lebens anzutreffen, und zwar seit Jahrzehnten. Ein Ende ist nicht abzusehen, ob uns das gefällt oder nicht. Da künstliche Intelligenz immer leistungsfähiger und in weiten Teilen unseres täglichen Lebens akzeptierter Bestandteil wird, müssen sich Unternehmen und andere Organisationen unvoreingenommen mit den damit verbundenen Vor- und Nachteilen auseinandersetzen.
Mit KI können sowohl gute als auch schlechte Absichten schneller und in größerem Maßstab umgesetzt werden.
Das in der Wirtschaft weit verbreitete maschinelle Lernen ist Hilfsmittel und Zielscheibe zugleich.
Der Hype um KI kann Risiken in den Hintergrund treten lassen.
Das Spektrum neuer Bedrohungen ist sehr groß und vielfältig.
Zur Abwehr KI-basierter Bedrohungen sind KI-gestützte Sicherheitskonzepte erforderlich.
Leider ist eine nüchterne Prognose der Auswirkungen von generativer KI kaum möglich. Schuld daran ist der aufgeregte Hype, der sie umgibt. „KI“ ist ein Schlagwort, dessen Inhalt völlig zu verschwimmen droht. Wollen Veranstalter von Tech-Konferenzen ihre Säle füllen, genügt das Wort „KI“ im Vortragstitel. Soll eine Softwarefunktion beworben werden, die auf maschinellem Lernen basiert, heißt sie plötzlich „KI“. Das Problem ist, dass dieser Hype die Realität verschleiert. Vorteile und Risiken dieser Technologie werden überspitzt dargestellt, sodass die einen alarmiert sind und die anderen dem Thema gegenüber abstumpfen.
Erschwerend kommt hinzu, dass viele – vor allem Techniklaien – gar nicht genau wissen, was KI eigentlich ist.
Einfach gesagt, ist künstliche Intelligenz ebendies: Computersysteme, die die Abläufe menschlicher Intelligenz imitieren.
Beispiele: Verarbeitung von Sprache, Spracherkennung, Expertensysteme und Computer Vision.
Von Algorithmen gesteuerte Computersysteme werden mit einem Datensatz trainiert und sind dann in der Lage, automatisch daraus zu lernen und sich anzupassen.
Beispiele: Algorithmen für Inhaltsempfehlungen, prädiktive Analysen, Bilderkennung.
Dieser Begriff bezeichnet eine Methode des maschinellen Lernens, bei der mehrschichtige Algorithmen und Recheneinheiten ein neuronales Netzwerk simulieren, wie Menschen es auch besitzen: das Gehirn.
Beispiele: Large Language Models (große Sprachmodelle), Übersetzung, Gesichtserkennung
Content authenticity
Identity manipulation
Phishing with dynamite
Prompt injection
Machine Hallucinations
Attack sophistication
Custom malware
Poisoned data
Privacy leaks
Authentisch wirkende Inhalte
Generative KI kann Originalinhalte äußerst realistisch kopieren. Wenn KI in guter Absicht zur Inhaltserstellung eingesetzt wird, drohen dadurch eventuell Urheberrechtsverletzungen. Nutzern mit schlechten Absichten bietet sich die Chance, mit gestohlenen Daten überzeugende Kopien der Inhalte als Eigenkreationen auszugeben oder weitere Angriffe einzuleiten.
Identitätsmanipulation
In Sekundenschnelle kann generative KI ultrarealistische Bilder und Videos erstellen und sogar Videos während der Aufnahme verändern. Das kann das Vertrauen in eine Reihe kritischer Systeme – wie Gesichtserkennungssoftware, juristische Videobeweise und politische Informationskanäle – und praktisch jede Form des visuellen Identitätsnachweises erschüttern.
Dynamit-Phishing
Mit generativer KI lassen sich Gesichter, Stimmen und Schreibstile, aber auch Unternehmens- und Markenidentitäten so gut simulieren, dass sie in äußerst effektiven, schwer aufzudeckenden Phishing-Angriffen eingesetzt werden können.
Prompts als Einfallstore
Viele Unternehmen nutzen GenAI-Modelle „von der Stange“ und laufen bei deren Training oder praktischen Verwendung Gefahr, Opfer von Prompt Injection zu werden. Damit bringen böswillige Akteure die beliebten Tools dazu, vertrauliche Informationen preiszugeben. Unternehmen müssen ihre Modelle streng absichern und regelmäßig aktualisieren, um Exploits zu entgehen, die auf das jeweilige Basismodell abgestimmt sind.
Halluzinationen
Die von KI so schnell generierten Erwiderungen oder Texte sind in der Regel überzeugend, aber inhaltlich nicht immer korrekt. Dies stellt gerade für Organisationen ein Problem dar, die mittels KI Informations- oder Hilfetexte für Nutzer erstellen oder die für die Bedrohungserkennung maschinelles Lernen einsetzen. An solchen Stellen können Fehler besonders teuer werden.
Raffiniertere Angriffe
KI erstellt blitzschnell einsatzbereiten Code, der für breitgefächerte Angriffe von bisher unerreichter Geschwindigkeit und Komplexität genutzt werden kann. Gleichzeitig kann KI Schwachstellen in einer kompromittierten Codebase ausmachen, Angreifern den Zugang erleichtern und die Angriffsfläche dadurch vergrößern.
Individuelle Malware
Beliebte Large Language Models (LLM) sind in gewissem Maß gegen Nutzer geschützt, die damit Schadcode erstellen wollen. Ein Angreifer muss allerdings nur ein wenig raffinierter vorgehen, dann bröckelt die Abwehr. Diese Sicherheitsvorkehrungen lassen sich aus gestohlenen oder kopierten Modellen entfernen, sodass Bedrohungsakteure schnell sehr gut verschleierte, äußerst flexible Exploits entwickeln können.
Manipulierte Daten
Angriffe müssen nicht unbedingt auf die KI selbst abzielen. Mit der Absicht, den Output zu verfälschen, können es Angreifer auch auf die Daten abgesehen haben, mit denen Modelle des maschinellen Lernens trainiert werden. Dieses Einfallstor wird dann genutzt, um Exploits im Modell selbst zu platzieren (z. B. gefälschte DNA-Sequenzen im Strafregister) oder für das betroffene Unternehmen schädliche Ergebnisse zu erzeugen.
Datenlecks
KI, die mithilfe von sensiblen Daten trainiert wird oder solche Daten nutzt, kann diese Daten preisgeben, sei es durch einen Fehler – so geschehen bei mehreren der bekannten kommerziellen Modelle – oder durch eine gezielte Attacke.
Wir baten ChatGPT, die größten Bedrohungen aufzulisten, die generative KI mit sich bringt. Das ist die Antwort:
Generative KI birgt ein beträchtliches Potenzial für Innovationen und Kreativität, doch sie ist auch von besonderen Herausforderungen und Bedrohungen im Bereich der Cybersicherheit begleitet. Hier sind einige davon:
Dieselben Funktionen, die KI so nützlich für Angreifer machen, können bzw. müssen zur Verstärkung der Cybersicherheitsmaßnahmen genutzt werden. Dadurch gelingt es Unternehmen, effektivere und agilere Cybersicherheitstechnologien zu entwickeln und besser mit der „Schwachstelle“ Mensch umzugehen.
Vorbereitung auf das Post-Quanten-Zeitalter
Identifizieren kryptografischer Ressourcen in Vorbereitung auf das Quantenzeitalter
Gartner-Bericht 2022 zu Post-Quanten-Kryptografie