wladimir1804 - stock.adobe.com
Dank KI-Tools haben auch Angreifer leichtes Spiel
Anstatt KI mit KI zu bekämpfen, wird es Zeit, dass Unternehmen die Regeln neuschreiben und das Problem an der Wurzel packen – und das sind traditionelle Anmeldemethoden.
Generative KI kann die Arbeit vieler Menschen enorm erleichtern. Allerdings sind Texter und Grafikdesigner, die sich von neuen Tools wie ChatGPT oder Midjourney inspirieren lassen, bei Weitem nicht die Einzigen, die von dem aktuellen Hype profitieren – dasselbe gilt auch für Cyberkriminelle. Schon lange vor dem kometenhaften Aufstieg von Large Language Models (LLMs) und generativer KI war Phishing zu einem Problem geworden, das Unternehmen kaum mehr bewältigen konnten. Dank der neuen Möglichkeiten ist es nun jedoch nahezu unmöglich, schädliche E-Mails zu identifizieren. Dass inzwischen mehr als 90 Prozent der Cyberangriffe auf Phishing-Methoden zurückzuführen sind, ist daher nicht verwunderlich.
Die Gefahr, die von Hacker ausgeht, steigt von Jahr zu Jahr, doch seit der breiten Verfügbarkeit von KI-Tools sind die Zahlen nahezu explodiert. Aus dem Report „The State of Phishing 2023“ geht hervor, dass der Anstieg von Phishing-E-Mails seit der Veröffentlichung von ChatGPT um 1.265 Prozent zugenommen hat – ein klares Signal für die neue Cybercrime-Ära, die aufgrund der neuen Möglichkeiten generativer KI angebrochen ist.
In der Vergangenheit konnten Phishing-Angriffe meist aufgrund schlechter Rechtschreibung und Grammatik identifiziert werden. Manchmal waren die Anfragen auch so unrealistisch, dass selbst ungeübte Empfänger die Betrugsmasche ohne Weiteres durchschauen konnten. Dank KI-Tools wie ChatGPT haben Cyberkriminelle nun aber eine neue, mächtige Waffe in die Finger bekommen, die Phishing-Nachrichten sehr viel überzeugender wirken lassen. Inzwischen sind im Dark Web sogar Weiterentwicklungen wie FraudGPT verfügbar, die jegliche Sicherheitsbeschränkungen der frei zugänglichen Versionen umgehen und speziell dem Angriff von Unternehmen dienen. Das bedeutet: Ein Problem, das ohnehin schon riesig war, wird nicht nur noch größer – es ist auch smarter geworden.
Mit KI auf KI zu schießen, ist nicht effektiv
Bei der Frage, wie in Zukunft mit dieser wachsenden Problematik umgegangen werden soll, liegt für viele die Lösung auf der Hand. Sie wollen KI mit KI bekämpfen und setzen entsprechende Tools ein, um künstlich generierte Phishing-Nachrichten herauszufiltern. Allerdings birgt diese Methode einige Fallstricke: Einerseits sind Scanning-Tools keine Garantie, andererseits würde sich daraus ein Wettrüsten auf beiden Seiten ergeben – dass Angreifer Unternehmen meist einen Schritt voraus sind, weil sie ihre Betrugsmaschen ständig anpassen, ist dabei ein unbequemer, aber nicht zu vernachlässigender Faktor.
Um der Herausforderung selbstbewusst entgegentreten zu können, müssen die Regeln neu geschrieben werden. Das Problem liegt im Ansatz selbst. Weder regelmäßige Schulungen noch die beste Erkennungssoftware der Welt werden dazu führen, dass es sich nachhaltig auflösen lässt. Führungskräfte, die für die Cybersicherheit ihres Unternehmens verantwortlich sind, müssen erkennen, dass sie sich bei dem Versuch, beides in Einklang zu bringen, stets an den Spielregeln der Kriminellen orientieren – und dabei können sie nicht gewinnen. Deshalb muss damit jetzt Schluss sein. Es wird Zeit, das Problem aus einer anderen Perspektive zu betrachten.
„Für die Sicherheitsverantwortlichen der Unternehmen gibt es nun eine Menge zu tun. Die Ablösung von traditionellen Anmeldeverfahren aufzuschieben, grenzt an Fahrlässigkeit.“
Dr. Rolf Lindemann, Nok Nok Labs
Beim Social Engineering geht es meistens darum, das Opfer zu überzeugen, seine Anmeldedaten auf einer scheinbar sicheren Website einzugeben. Der Angriff auf das US-Unternehmen Cloudflare bildet ein eindrucksvolles Beispiel: Hier erhielten 76 Mitarbeiter zeitgleich eine Nachricht von einer angeblichen IT-Abteilung, die sie dazu aufforderte, auf einer verlinkten Website ihr Passwort zu ändern. Die betrügerische Seite ähnelte der unternehmenseigenen IT-Plattform bis ins Detail, weshalb einige Teammitglieder ihre Zugangsdaten bedenkenlos an die Hacker weitergaben. Doch nicht nur Cloudflare sind auf diese Masche hereingefallen – tatsächlich hat der Ansatz im vergangenen Jahr bei etwa jedem zweiten betroffenen Unternehmen funktioniert. Um dem vorzubeugen, ist es wichtig, das Problem an der Wurzel zu packen und sensible Daten bereits im Vorfeld unangreifbar zu machen.
Die Lösung ist die Eliminierung des Passworts
Die gute Nachricht ist, dass es bereits passwortlose Verifizierungsmethoden gibt, mit denen Mitarbeiter sich sicherer authentifizieren können, als es mit herkömmlichen Zugangsdaten bisher möglich war. Ein Beispiel hierfür sind Passkeys. Sie nutzen Kryptografie in Verbindung mit biometrischen Daten oder PINs, die viele bereits von der Nutzung ihres Notebooks oder Smartphones kennen. So haben Nutzer auch an der Arbeit die Chance, sich mittels eines Fingerabdrucks oder Gesichtsscans in ihre Konten einzuloggen, ohne befürchten zu müssen, ihre Anmeldedaten unwissentlich an Betrüger weiterzugeben. Das bedeutet im Umkehrschluss: Selbst für den Fall, dass Mitarbeiter dem Link zu einer betrügerischen Website folgen, können keine Passwörter gestohlen werden – und das aus dem simplen Grund, dass es keine gibt. Ebenso wenig ist es möglich, dass Cyberkriminelle nach den biometrischen Daten der Nutzer fragen, da die zugehörigen Anmeldedaten sicher auf dem jeweiligen Endgerät beziehungsweise Security Key gespeichert sind. Und: Unternehmen wie Microsoft, Google und Apple setzen sich ebenfalls für Passkeys ein, die auf offenen Standards der FIDO Alliance und der W3C WebAuthn Community basieren, da sie maßgeblich an der Entwicklung dieser Standards beteiligt waren. Eine breite Anwendung ist also ohne weiteres möglich.
Für die Sicherheitsverantwortlichen der Unternehmen gibt es nun eine Menge zu tun. Die Ablösung von traditionellen Anmeldeverfahren aufzuschieben, grenzt an Fahrlässigkeit – nicht nur, weil moderne Lösungen zur Absicherung des eigenen Unternehmens bereits verfügbar sind, sondern auch, weil sich die Bedrohungslage drastisch verschärft. Sind sensible Informationen einmal in die Hände von Hacker gelangt, können sie damit anstellen, was sie wollen. Wer dies bisher nicht selbst erleben musste, hatte Glück. Aber sicher ist, dass das bei Untätigkeit nicht mehr lange so bleiben wird.
Über den Autor:
Dr. Rolf Lindemann ist VP Products bei Nok Nok Labs und Mitglied der FIDO Alliance.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.