KI im Kampf gegen KI-gesteuerte Angriffe

Die Bedrohungslandschaft hat sich mit dem Aufkommen von KI-basierten Cyberangriffen drastisch gewandelt. Mit Hilfe von generativer KI können böswillige Akteure schneller als je zuvor personalisierte und maßgeschneiderte Angriffe erstellen. Sie erzwingen damit eine Reaktion von Organisationen, ihr Cyber-Risikomanagement ebenfalls durch den Einsatz von KI weiterzuentwickeln.

Viele Unternehmen haben bereits die Folgen von KI-gestützten Angriffen in Form von Deepfakes zu spüren bekommen. Erst im vergangenen Jahr nutzten Bedrohungsakteure KI, um die Stimme des CEOs Jay Chaudry nachzuahmen, um Mitarbeitende in die Falle zu locken. Die Angreifer meldeten sich mit einer aufgezeichneten Sprachnachricht und gaben sich als CEO aus. Der Malware-Akteur erklärte wegen schlechter Netzqualität per Textnachricht weiter kommunizieren zu müssen. Es folgte eine dringende Aufforderung, Geld an eine Bank im Ausland zu überweisen. Allerdings war der Mitarbeitende in diesem Fall aufmerksam genug und bemerkte den Phishing-Versuch. Dennoch ist es aufgrund solcher persönlich gestalteten Angriffsmuster nicht verwunderlich, wenn dergleichen Deepfakes zum Ziel führen. Deshalb müssen sich Organisationen wappnen und evaluieren, wie sich KI-Fähigkeiten auch zur Abwehr von Angriffen einsetzen lassen.

KI-Angriffe werden persönlicher

Eine einzige Eingabeaufforderung von einem Bedrohungsakteur kann rouge GenKI dazu veranlassen, das Internet nach öffentlich zugänglichen, anfälligen Geräten eines bestimmten Unternehmens zu durchsuchen. Die Suche ist auf den Diebstahl von Anmeldeinformationen ausgerichtet oder auf soziale Netzwerke, um eine kompromittierte Mitarbeiterpersona zu identifizieren. Mit der Nutzung dieser Tools verfolgen Malware-Akteure das vordringliche Ziel, in IT-Umgebungen einzudringen und geschäftskritische Daten zu stehlen.

Ebenso denkbar ist, dass rouge GPT angewiesen wird, soziale Medien nach Mitarbeitenden von Unternehmen in ihrem Visier zu durchsuchen und relevante Personas auszuspionieren (zum Beispiel ein Mitglied des Finanzteams), um diese für eine Spear Phishing E-Mail zu benutzen, die beispielsweise auf KI-/ML-Mitarbeitende abzielt. Durch die Verwendung der realen Mitarbeiteridentität wird sich auch der KI-/ML-Kollege oder die Kollegin eher dazu verleiten lassen, ein bösartiges Dokument anzuklicken und auf den Computer herunterzuladen. Ist eine solche Angriffsmasche erfolgreich, wird durch das Anklicken des Links Malware auf dem System installiert, die versuchen wird, sich lateral auszubreiten. Ziel ist es, die Rechte im System auszuweiten, um beispielsweise die gesamte Entwicklungs- oder ML-Umgebung zu infizieren. War früher diese Art von Phishing-Angriffsmustern mit einem enormen manuellen Aufwand verbunden, genügen heute mit GenKI ein paar gut formulierte Befehle, damit ein Bedrohungsakteur einen Angriff starten kann.

KI in die Schranken weisen

Um die Abwehr gegen diese neuen Arten hochentwickelter GenKI-Angriffe zu steigern, tun Unternehmen gut daran, ihre externe Angriffsfläche zu minimieren. Die Eliminierung von inbound VPNs für den Fernzugriff ist ein einfacher erster Schritt. Dieser sollte allerdings mit einer umfassenden Überarbeitung der Sicherheitsarchitektur durch einen Zero Trust-Ansatz einhergehen, um die Angriffsfläche effektiv einzudämmen. Die größte Gefahr eines KI-basierten Angriffs liegt in der Geschwindigkeit, mit der er sich auf der Suche nach sensiblen Daten durch das System eines Unternehmens bewegen kann. Diese laterale Bewegung macht den Unterschied zwischen einem punktuellen Vorfall und einer unternehmensweiten Eskalation. Die Ausbreitung im Netzwerk lässt sich durch eine granulare Zugriffskontrolle auf der Ebene einzelner Anwendungen vereiteln.

Eine solche Mikrosegementierung lässt sich durch das Prinzip des Least Privileged Access eines Zero Trust-Ansatzes erreichen. Dabei erhält der User aufgrund seiner Identität lediglich Zugang zu der für seine Arbeit benötigten Anwendungen und nicht mehr zum gesamten Netzwerk. Eine solche User-to-App-Segmentierung trennt kritische Anwendungen von Hochrisikobenutzergruppen vom allgemeinen Netzwerkzugang und verhindert damit die Infizierung der gesamten Infrastruktur. Dieser granulare Zugriff auf Basis von Zero Trust geschieht unabhängig davon, ob diese User remote oder im Büro arbeiten. Als weitere Verteidigungslinie gegen seitliche Bewegungen bietet sich die Positionierung von Honeypots im System an. Auf diese Weise erhalten IT-Teams die Chance, Eindringlinge im System zu erkennen, die mit Hilfe von KI einen einzelnen User überlistet haben.

Zusätzlich sollten die IT-Verantwortlichen auf dem Schirm haben, dass viele Unternehmen in der KI einen potenziellen Nutzen für ihr Geschäftsmodell sehen. Dementsprechend können verschiedene Abteilungen versuchen, ihre eigenen KI-basierten Anwendungen zu entwickeln. Aufgrund der großen Menge an sensiblen Informationen, die diese privaten KI-Anwendungen benötigen, stellen sie jedoch aus Sicht des Datenschutzes eine Goldgrube für böswillige Akteure dar. Die Absicherung solcher Anwendungen – und die Gewährleistung, dass geschützte Daten nur in einer kontrollierten Umgebung verwendet werden – sollte oberste Priorität haben, wenn Unternehmen KI aufgrund von Geschäftsvorteilen in Betracht ziehen.

Schutz durch künstliche Intelligenz

Der Versuch, KI als Cyber-Bedrohung oder Katalysator der digitalen Transformation zu ignorieren, kann Unternehmen langfristig Schaden zufügen. Anstatt KI-Anwendungen komplett zu blockieren, müssen Unternehmen ihre Sicherheitsverfahren so weiterentwickeln, dass ihre Belegschaft die Vorteile von LLMs nutzen können. Gleichzeitig gilt es sicherzustellen, dass sie ihr geistiges Eigentum und ihre Daten schützen. Und genau hier kann KI als Doppelagent im Cyberkrieg agieren.

Der Einfluss der generativen KI auf Zero Trust sollte bidirektional betrachtet werden. KI kann IT-Teams dabei unterstützen, die Aktivitäten in ihrer Umgebung viel detaillierter zu überwachen, als es ohne künstliche Assistenz der Fall ist. Mit Hilfe des durch KI gewonnenen Einblicks und die Fähigkeit zur raschen Korrelation von Informationen erhält das IT- oder Sicherheitsteam Empfehlungen, spezifische Richtlinien zu implementieren, die den Benutzerzugriff auf bestimmte Anwendungen einschränken können. Dies erfolgt auf der Grundlage der Anwendungen, die eine oder mehrere Personen in derselben Gruppe normalerweise verwenden.

Darüber hinaus kann die KI auch die geschäftlichen Auswirkungen der Aktivierung einer Sicherheitsrichtlinie vorhersagen. Damit lässt sich beispielsweise feststellen, ob die Richtlinie die Produktivität der Mitarbeitenden aktiv beeinträchtigen könnte. Diese Vorhersagen können durch ein KI-Modul unterstützt werden. IT-Teams erhalten dadurch Hilfestellung bei der effizienten Umsetzung von Sicherheitsrichtlinien, ohne negative Auswirkungen auf das gesamte Unternehmen zu riskieren.

Gleiche Ausgangsbedingungen

Die Welt erlebt eine KI-Revolution, in der Daten Gold sind und Unternehmen sich darauf konzentrieren sollten, die Sichtbarkeit ihrer Daten für LLMs zu reduzieren. Da Angreifer KI für komplexe Cyberangriffe nutzen, sollten IT-Teams auf KI-gestützte Zero Trust-Segmentierung setzen und auch darüber hinaus KI gegen KI-Angriffe einsetzen, um sich auf Augenhöhe mit den Angreifern zu verteidigen.

In Zukunft wird ein verstärkter Einsatz von generativer KI helfen, Unternehmen bei ihrer Zero-Trust-Transformation durch Automatisierung unterschiedlicher Prozesse zu unterstützen. Zeitgleich sind Zero Trust-Plattformen in der Lage, die sichere Einführung von KI in Unternehmen zu begleiten.