Feind in der Maschine: Wie generative KI die Arbeit der Cyberkriminellen optimiert

Die fortschreitende Entwicklung künstlicher Intelligenz (KI) unterstützt in vielen Bereichen, allerdings werden neue Technologien immer auch an Orten zum Einsatz kommen wo sie von vornherein nicht vorgesehen war – und auch KI wird bereits von Cyberkriminellen genutzt und die Nutzung wird in Zukunft vermutlich noch stark zunehmen. Wenn man sich die Frage stellt, wie generative KI die Arbeit Cyberkrimineller unterstützen kann, ist man auch in der Lage über Gegenmaßnahmen nachzudenken und auch die Auswirkungen auf die Versicherungslandschaft abzuschätzen.

Für alle jene, die in den letzten Monaten von den Nachrichten rund um OpenAIG, ChatGPT, Dall-E  verschont geblieben sind: Generative KI ist eine Methode innerhalb des maschinellen Lernens, die darauf abzielt, aus einem gegebenen Input einen neue Output zu generieren. Ein gutes Beispiel hierfür sind so genannte „Deepfake“-Videos, bei denen Personen auf den Aufnahmen Dinge sagen oder tun, die sie nie getan haben. Dies wird erreicht, indem zunächst eine große Menge an Daten gesammelt wird, die die Person in verschiedenen Situationen zeigt, und dann ein Algorithmus entwickelt wird, der in der Lage ist, diese Daten zu imitieren und neue Inhalte zu generieren – d.h. die KI erstellt aus bekanntem Bildmaterial neues Bildmaterial, welches allerdings in der Form niemals bestanden hat.

Cyberkriminelle haben das Potential der generativen KI bereits erkannt und nutzen sie für ihre illegalen Aktivitäten. Durch den Einsatz dieser fortgeschrittenen Technologie können sie beispielsweise gefälschte Dokumente, Videos, E-Mails erstellen, die so überzeugend sind, dass sie kaum von echten zu unterscheiden sind. Vorbei sind die Zeiten von Phishing- Mails, welche auf den ersten Blick als solche zu erkennen sind. Das wird über kurz oder lang zu einer deutlichen Zunahme von raffinierteren Cyberangriffen führen.

Eine KI-generierte Phishing-Mail – nur der Anfang?

Als Beispiel wurde hier von einer KI (ChatGPT 3.5) ein EMail mit einer Voranmeldung zur Weihnachtsfeier generiert – wir haben das von der KI erstellte Mail unbearbeitet belassen:

Anforderung an die KI, der sogenannte Prompt:

Schreibe ein Mail mit einem Link zu einer Voranmeldung zur Weihnachtsfeier, welche bei der Firma XYZ am 17.12.2023 stattfindet. Die EMail soll in einem formellen kollegialen Tonfall gehalten sein und vom Geschäftsführer Max Mustermann stammen.

Output der KI:

Sehr geehrte Mitarbeiterinnen und Mitarbeiter,

ich hoffe, dass Sie alle in bester Stimmung und Gesundheit sind. Mit diesem E-Mail möchte ich Ihnen eine vorzeitige Ankündigung machen, die sicherlich Ihre Vorfreude auf die kommende Weihnachtszeit steigern wird.

Ich freue mich, Ihnen mitteilen zu können, dass die diesjährige Weihnachtsfeier der Firma XYZ am 17. Dezember 2023 stattfinden wird. Diese Veranstaltung bietet uns die Möglichkeit, gemeinsam in einer festlichen Atmosphäre das vergangene Jahr Revue passieren zu lassen und uns auf die bevorstehenden Feiertage einzustimmen.

Um sicherzustellen, dass wir eine unvergessliche Feier organisieren können, bitten wir Sie, sich schon jetzt vorab anzumelden.

Bitte nutzen Sie dazu den folgenden Link: [Hier klicken für die Voranmeldung zur Weihnachtsfeier]

Bitte beachten Sie, dass die Anzahl der Plätze begrenzt ist und die Teilnahme nach dem Prinzip „First come, first serve“ erfolgt. Daher empfehle ich Ihnen, sich so früh wie möglich anzumelden, um sicherzustellen, dass Sie dabei sind.

Ich freue mich schon jetzt auf einen wunderbaren Abend, an dem wir alle zusammenkommen und den Geist der Weihnacht gemeinsam feiern können. Weitere Details zur Veranstaltung werden Ihnen rechtzeitig zugesendet.

Bei Fragen oder Anmerkungen stehe ich Ihnen gerne zur Verfügung. In der Zwischenzeit wünsche ich Ihnen eine produktive und angenehme Arbeitszeit.

Mit freundlichen Grüßen

Max Mustermann
Geschäftsführer, Firma XYZ

Auch wenn die formulierte EMail nicht perfekt ist, ist nicht auf den ersten Blick erkennbar, dass es sich hier nicht um eine legitime Mail handeln könnte. Schon jetzt sind die „Erfolgs“-Quoten bei gut gemachten generischen Phishing-Mailkampagnen bei knapp 10% – Generative KI erlaubt es jedoch, entsprechende Aufgaben beinahe grenzenlos zu skalieren, sodass für jedes Unternehmen, für jeden Mitarbeiter passende Angriffsvektoren individuell erstellt werden können, welche für die Adressaten nur mehr sehr schwer zu erkennen sind.

Generell lassen sich mit KI folgende Angriffsvektoren stark verbessern:

1. Phishing-Angriffe: Generative KI kann wie oben demonstriert für die Erstellung von überzeugenden gefälschten E-Mails und Websites verwendet werden, um Nutzer zur Preisgabe vertraulicher Informationen zu verleiten.

2. Malware-Generierung: Generative KI könnte verwendet werden, um neue Arten von Malware zu entwickeln. Generative KI ist bereits heute in der Lage, Code zu schreiben und mit den passenden Eingaben durchaus auch brauchbaren Code. Bei bekanntwerden von Sicherheitslücken kann somit noch schneller wirksamer Schadcode entwickelt werden.

3. Social-Engineering-Angriffe: Generative KI könnte dazu genutzt werden, glaubwürdige Social-Media-Profile zu erstellen, um Vertrauen zu gewinnen und Informationen über potenzielle Opfer zu sammeln. Diese Profile wären durchaus interaktiv, d.h. sie können plausibel auf Anfragen antworten und selbständig Postings absetzen. Dies könnte bei gezielten Angriffen oder dem Eindringen in Unternehmensnetzwerke zum Einsatz kommen.

4. Recherche der Angriffsziele: KI kann dazu verwendet werden, zeitsparend lohnende Angriffsziele zu ermitteln bzw. Unternehmensinformationen für die Angreifer aufzubereiten. Im Zusammenhang mit automatisierten Schwachstellenanalysen lassen sich somit schnell Angriffsprofile erstellen und dies weitgehend automatisiert.

5. Sprachbasierte Angriffe: Generative KI könnte genutzt werden, um menschenähnliche Sprachsynthese zu ermöglichen und Opfer zu täuschen, indem sie beispielsweise Telefonanrufe von einer vertrauenswürdigen Quelle simuliert.

6. Bilder können Behauptungen als Tatsachen erscheinen lassen: Wussten Sie, dass Bill Gates kürzlich in Wien am Stephansplatz war?

Bild generiert mit Custom Model basierend auf Stable Diffusion

Das Bild ist leicht als Fake zu identifizieren, da wir einerseits kein Interesse daran hatten, ein hyperrealistisches Bild zu generieren und daher zeigt es es auch die Schwächen der aktuellen KI-Modelle – ist Ihnen die Hand mit nur 4 Fingern aufgefallen und die Artefakte im Hintergrund? Aber auch in diesem Bereich werden die Modelle immer besser und auch spezialisierter – wie weit das gehen kann, zeigt auch das verlinkte  Beispiel.

Man sollte sich daher gut überlegen, ob man auf Social Media eigene Fotos postet – in Zukunft übernehmen das ja eventuell unsere virtuellen Doppelgänger.

7. Fake President mittels Video-Calls: Der Videoanruf aus dem Urlaub vom vermeintlichen Chef ist durchaus denkbar und in naher Zukunft werden auch die generierten Echtzeitbilder kaum mehr von echten Live-Streams zu unterscheiden sein.

Generative KI kann somit die Intensität und Reichweite von Cyber-Attacken erheblich erhöhen, was unvermeidlich zu einer größeren Anzahl von Cyber-Vorfällen und somit auch zu einem noch weiter erhöhten Versicherungsbedarf in diesem Bereich führen wird.

Wie kann man dem entgegenwirken?

So wie es aussieht, ist die Technologie der generative KI gekommen, um zu bleiben. Wir werden uns darauf einstellen müssen und dies kann durch die Einführung von modernen Sicherheitsmaßnahmen und eine umfassendere Abdeckung von Policy-Inhalten erreicht werden. Um das Risiko zu verstehen ist es notwendig, dass wir uns mit der Technologie auseinander setzen. Voraussichtlich wird KI auch bei der Abwehr von KI-gesteuerten Angriffen eine große Rolle spielen – der technologische Wettlauf wird hier also weiter gehen.

Die wachsende Verbreitung generativer KI in der Cyberkriminalität ist eine ernstzunehmende Herausforderung, welcher wir uns wohl oder übel stellen müssen. Insbesondere die Geschwindigkeit, mit der die Entwicklung im Bereich KI voranschreitet, darf mit etwas Sorge betrachtet werden. Technologie selbst ist weder gut noch böse und kann wie immer produktiv oder destruktiv eingesetzt werden.