Cyberkriminelle gefährden die Sicherheit und verursachen von Jahr zu Jahr höhere Schadenssummen in der Wirtschaft. Betrugen nach einer Berechnung des Marktforschers Cybersecurity Ventures die weltweiten Kosten der Cyber-Kriminalität noch zu Beginn der Corona-Krise sechs Billionen US-Dollar pro Jahr, stiegen sie schon drei Jahre später 2023 auf über 11 Billionen US-Dollar. Immerhin prognostizieren die Experten für 2025 einen leichten Rückgang auf 10,5 Billionen US-Dollar.
Steigende Bedrohung durch KI
Durch den verstärkten Einsatz von KI vor allem im Bereich Social Engineering nimmt die Bedrohung für die Unternehmens drastisch zu. Der Druck erhöht sich vor allem durch identitätsbasierte Cybersecurity-Risiken. Dies betrifft die Identität von Personen in einem Netzwerk oder einer Organisation. Diese Risiken entstehen etwa durch Fehlkonfigurationen, Schwachstellen in Identitätsmanagement-Systemen oder durch menschliches Fehlverhalten. Die steigenden Gefahren der IT-Sicherheit zeigt die jährlich erscheinende Studie „Identity Security Threat Landscape“ von CyberArk. Der Hoffnungsschimmer: KI kann nicht nur als Angriffswaffe, sondern auch als Abwehr-Instrument eingesetzt werden.
So gut wie alle der 2.300 befragten weltweit tätigen Cybersecurity-Verantwortlichen (99 Prozent) beobachten verstärkte identitätsbasierte Angriffe auf ihre Unternehmen Die Ursachen sind nach Auffassung der Befragten in ökonomischen und geopolitischen Faktoren sowie in der Zunahme von Remote Work und der Einführung neuer Systeme wie Cloud-Anwendungen zu suchen.
94 Prozent gehen davon aus, dass ihr eigenes Unternehmen dabei von KI-basierten Angriffsformen betroffen sein wird. Malware ist die größte Bedrohung. So fürchten zwei Drittel der Befragten neben externen Angriffe besonders interne Einbrüche in ihre Systeme durch unzufriedene ehemalige Mitarbeitende. SaaS-Tools, die den Zugang zu sensiblen Daten erlauben, verstärken das Risiko.
Mangelnde Übersicht über Schwachpunkte und Lücken in der Sicherheit der eigenen Softwareprodukte sind eine weitere Herausforderung. Das große Problem: Einen Angriff aus den eigenen Systemen heraus können 61 Prozent der Befragten gar nicht erkennen, geschweige denn unterbinden.
KI nimmt Mitarbeiter*innen ins Visier
Die Aktivitäten von Cyberkriminellen richten sich vor allem auf die Mitarbeiter in den Unternehmen. Dabei stoßen sie auf eine offene Schwachstelle. Denn deutlich mehr als die Hälfte der Studienteilnehmenden (61 Prozent) geben zu, dass sie die Identitäten in ihrer eigenen Organisation nicht ausreichend schützen können. Sicherheitskontrollen für einen wirkungsvollen Schutz von geschäftskritischen Anwendungen sind immerhin bei 44 Prozent im Einsatz. Als Identity-Security-Strategien setzen die IT-Verantwortlichen beispielsweise Zero Trust (im Netzwerk ist nichts vertrauenswürdig) ein. Unterstützt wird diese Strategie durch Fokus auf das Identitätsmanagement und die Endgerätesicherheit, wie zwei Drittel der Befragten angeben.
Zudem kommen bei einem Drittel der IT-Verantwortlichen Least-Privilege-Prinzipien zum Einsatz. Hier erhalten Benutzer nur diejenigen Zugriffsrechte, die sie für die Erfüllung ihrer Aufgaben benötigen.
KI-Attacken und KI-Abwehr
Doch im Falle eines identitätsbasierten KI-Angriffs kann auch KI zur Abwehr verwendet werden. Denn KI analysiert Verhaltensmuster menschlicher Nutzer und ist damit in der Lage, ein „normales“ Verhalten von Abweichungen zu unterscheiden. Sobald sich KI-gestützte Angriffe nicht in diesem Muster bewegen, wird dies von den Abwehrsystemen sofort erkannt und durch Gegenmaßaktionen bekämpft.
Solche Konzepte werden auch bei der Unternehmens-IT-Sicherheitssoftware gegen die ständige Bedrohung durch Cyberkriminelle verwendet. Das KI-System lernt von seinen vorherigen Analysen und optimiert sich ständig selbst, um bessere Prognosen liefern zu können. Dazu dienen Technologien des maschinellen Lernens (ML) und des tiefen Lernens (DL). Sie erkennen Muster und Anomalien in großen Datenmengen, die menschlichen Analysten häufig entgehen. Bei der Anomalie-Erkennung bewähren sich KI-Systeme in der Sicherheitssoftware. Sie machen ungewöhnliche Muster im Netzwerkverkehr ausfindig, die auf mögliche Cyber-Angriffe hindeuten könnten. Zudem lassen sich KI-Algorithmen zur Erkennung von Phishing und Ransomware einsetzen.
Die Abwehr von Cyber-Angriffen durch KI setzt auf automatische Reaktionssysteme, die nicht nur Attacken erkennen, sondern auch blockieren. Zudem helfen KI-gestützte Tools bei der proaktiven Suche nach Bedrohungen, die Netzwerke auf Sicherheitslücken und potenzielle Gefahrenquellen untersuchen.
KI-gesteuerte Attacken sind für IT-Sicherheitsexperten in deutschen Unternehmen noch nicht erkennbar – zumindest nicht im vergangenen Jahr, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht „KI und gegenwärtige Cyberbedrohungen“ hervorhebt. „Ein KI-basiertes Ausnutzen von Softwareschwachstellen konnte bis Mitte 2024 nicht beobachtet werden. Auch bleiben neue, durch KI effektivere und schwerer erkennbare Malware-Varianten bislang Theorie.“
Verwirrung und Phishing mit KI
Daher steht für die Autoren der Untersuchung fest, dass „KI derzeit keine neuen, eigenen Tactics, Techniques & Procedures (TTPs) hervorbringt. Vielmehr werden bisherige, klassische Techniken vereinfacht und beschleunigt. KI ist als Mittel für Angreifergruppen effektiv dort nutzbar, wo es um Ausnutzung von Vertrauen geht, etwa bei Social Engineering und Desinformation.“
Diese Entwicklung wird sich in den kommenden eineinhalb Jahren verstärken. In diesem Zeitraum „ist wahrscheinlich mit qualitativen Fortschritten bei multimodalen KIs auszugehen, die verschiedene Medien wie Texte, Bilder und Videos miteinander kombinieren.“ Diese zunehmend ‚menschlichen‘ Ergebnisse von Large Language Modellen (LLMs) können nach Prognose der BSI-Experten die „Authentizitätswirkung von KI-assistiertem Phishing“ steigern.
Was KI bei Angriff und Verteidigung kann
Generative KI, vor allem LLMs (large language models) wie ChatGPT oder Google Gemini, senkt die Einstiegshürden und erhöht Umfang und Geschwindigkeit bösartiger Handlungen wie Malware und Social-Engineering-Angriffen. Dies führt zu fähigeren Angreifern und qualitativ besseren Angriffen – also einer höhere Gefahr für die betroffenen IT-Systeme.
Durch den Einsatz von LLMs erzielen Angreifer und Verteidiger Produktivitätssteigerungen, etwa für die Aufklärung und Open-Source-Intelligenz durch das Crawlen und Analysieren von Websites und sozialen Medien oder die Codegenerierung durch Programmierassistenten.
Bekannt sind Projekte, die KI für die autonome Generierung und Mutation von Malware einsetzen. Öffentlich verfügbare Modelle sind bisher noch nicht einsatzfähig.
Noch nicht aktiv sind Agenten, die eigenständig IT-Infrastrukturen beschädigen. Solche Tools werden nach Einschätzung von Experten wahrscheinlich auch in naher Zukunft nicht existieren. Allerdings werden LLM-basierte Agenten, die Teile eines Angriffs automatisieren, schon bald ihr Unwesen treiben.
KI unterstützt bei der automatischen Erkennung von Sicherheitslücken. Hier sind mehrere Open-Source-Tools sowie kommerzielle Produkte verfügbar. Für Open-Source-Projekte wird es von entscheidender Bedeutung sein, diese Tools proaktiv zu nutzen, bevor böswillige Akteure dies tun.
Quelle: Bundesamt für Sicherheit in der Informationstechnik
Was gegen KI-Attacken hilft
Die Bedrohungslandschaft verändert sich. Daher muss die Cybersicherheit Tempo und Umfang der Abwehr erhöhen.
Instrumente der Abwehr sind beispielsweise: ein verbessertes Patchmanagement, der Aufbau einer resilienten IT-Infrastruktur, genauere Angriffserkennung, Verstärkung der Social-Engineering-Prävention (wie Sensibilisierungsschulungen, Multi-Faktor-Authentifizierung, Zero-Trust-Architektur) sowie die Nutzung der allgemeinen Vorteile der KI für Verteidigungsmaßnahmen (Erkennung von Bedrohungen und Schwachstellen).
Quelle: Bundesamt für Sicherheit in der Informationstechnik
