Zweischneidige Cyberwaffe:

Künstliche Intelligenz hilft beim Hacken – und beim Abwehren

Künstliche Intelligenz (KI) ist zur doppelten Cyberwaffe geworden: Sie kommt in Unternehmen bei der Verteidigung gegen Attacken zum Einsatz – aber auch beim Angriff auf deren Systeme. Während KI-basierte Tools Hackern helfen, Schwachstellen schnell zu erkennen und auszunutzen sowie Angriffe zu optimieren, setzen Sicherheitsexpertinnen und -experten sie ein, um Prozesse zu automatisieren, Analysen durchzuführen sowie Bedrohungen frühzeitig zu erkennen und abzuwehren. Organisationen, die für die Cybersicherheit keine intelligenten Programme einsetzen, fallen beim digitalen Wettrüsten zurück.

Bereits seit Jahrzehnten wird KI im Bereich Cybersicherheit eingesetzt – anfangs vor allem zur Erkennung außergewöhnlicher Aktivitäten. Erst in den letzten Jahren hat sich die Entwicklung von KI und ihre Durchdringung von Wirtschaft und Gesellschaft nahezu verselbstständigt. Dank der Möglichkeiten des Einsatzes von KI-Technologie, wie der Automatisierung und Optimierung von Prozessen und der Analyse enormer Datenmengen, ist sie aus Berichterstattung, Industrie und Alltag nicht mehr wegzudenken. Doch eines ist immer noch wie zu den KI-Anfangszeiten in den 80er-Jahren: Ohne menschliches Eingreifen geht es nicht – zumindest noch nicht. Das heißt aber auch, dass KI nicht nur für positive Zwecke zum Einsatz kommt. In der Cybersicherheit bedeutet das, dass Cyberkriminelle die innovative, intelligente Technologie anwenden, um Schaden anzurichten, Unruhe zu stiften, Daten abzugreifen, Geld zu erbeuten und vieles mehr.

Partners in Crime: Wie KI Bedrohungsakteuren hilft

Vor allem Large Language Models (LLM) und Generative KI (GenAI) entwickeln sich rasant weiter und kommen umfassend zum Einsatz – auch für Cyberangriffe: KI erleichtert Bedrohungsakteuren zum Beispiel die Entwicklung von Malware, das Verfassen von Phishing-Mails und die Automatisierung von Angriffen. So haben sich die Geschwindigkeit, Reichweite und Raffinesse der Angriffe erheblich verbessert – bis zu dem Punkt, an dem Phishing-Mails und ähnliche Social-Engineering-Methoden schlicht nicht mehr als solche zu erkennen sind.

Erhielten Adressaten vor ein paar Jahren noch E-Mails in holperigem Deutsch mit vielen Rechtschreibfehlern, die die Empfänger mit einer fadenscheinigen Geschichte dazu veranlassen sollten, auf Links zu klicken oder Geld zu überweisen, ist es heute zum Beispiel die Mail vom mutmaßlichen Chef, der einen etwa anweist, sich vor einem Treffen Anhänge durchzulesen, Kontodaten zu ändern oder Transaktionen auszuführen. KI-Unterstützung ermächtigt Cyberkriminelle also dazu, fehlerfreie, maßgeschneiderte Texte und überzeugende Phishing-Mails zu verfassen und versenden oder auch Bild-, Ton- und Videoaufnahmen unter anderem von Vorgesetzten oder anderen Autoritätspersonen zu erzeugen. Und diese audiovisuellen Täuschungen nehmen stetig zu. Nur wenige Fotos reichen inzwischen aus, um täuschend echte Deepfakes für Videoanrufe mit imitierten Stimmen und Gesichtern zu generieren oder Videos und Bilder etwa von Politikern zu erstellen, um Verwirrung zu stiften und Menschen zu manipulieren.

Ein erschreckendes aktuelles Beispiel ist die mutmaßliche Nutzung von Deepfakes von Marco Rubio. Ein Bedrohungsakteur erstellte Text- und Audionachrichten des US-Außenministers und kontaktierte hochrangige US-Politiker sowie Außenminister weiterer Länder. Wie dieses Ereignis verdeutlicht, können Cyberkriminelle und politisch motivierte Akteure Deepfakes erstellen, um dem Ansehen von Politikerinnen und Politikern zu schaden, Falschmeldungen und Unwahrheiten zu verbreiten und so die Gesellschaft zu destabilisieren. Es gilt unbedingt, Inhalte rasch und zuverlässig auf Echtheit zu prüfen, ansonsten besteht die Gefahr, dass politische Entscheidungen von großer Tragweite auf Basis gefälschter Inhalte getroffen werden oder weitere ähnliche Szenarien stattfinden könnten.

Ein intelligentes Schild: KI-Einsatz in der Cybersicherheit

Nicht nur Angreifer nutzen KI für ihre Zwecke, auch die Verteidiger sollten sich mit intelligenten Algorithmen wappnen. So könnte KI auch im Kampf gegen Deepfakes eingesetzt werden. Dazu würde die künstliche Intelligenz Merkmale authentischer und gefälschter Identitäten lernen und so Deepfakes aufspüren, indem Bild- und Videoinhalte nach Ungenauigkeiten und Anomalien – etwa Glitches in Gesichtsstrukturen – untersucht und weitere Abweichungen von echten Bildern, Videos und Audioaufnahmen analysiert werden.

Aber KI kann auf der Verteidigerseite noch viel mehr: Vor allem der Einsatz von Machine Learning (ML) und LLM kann Sicherheitsexperten unterstützen und entlasten, indem diese Technologien Abläufe verbessern – etwa bei der Erkennung von abweichendem Verhalten und der Analyse von Bedrohungen. Greift zum Beispiel ein Marketing-Mitarbeitender aus Frankfurt plötzlich auf Buchhaltungsdaten zu, wird Alarm ausgelöst. Wichtig für diesen Einsatz von KI ist, dass sie kontinuierlich mit den aktuellen Daten der Mitarbeitenden trainiert wird.

Auch bei Sicherheitsvorfällen kann KI unterstützend tätig werden: So gibt die Technologie bei Problemen Handlungsempfehlungen – basierend auf vorherigen Ereignissen und Reaktionen. Diese Maßnahmenvorschläge ähneln den Kaufempfehlungen von Amazon, nur eben für Sicherheitsmaßnahmen. Das sieht etwa folgendermaßen aus: Sicherheitsverantwortliche, die ähnliche Vorfälle bearbeitet haben, haben folgende Reaktionen durchgeführt. So ermächtigt die KI-Technologie auch IT-Teams mit limitierten Cybersecurity-Kenntnissen.

Weitere Einsatzgebiete für KI sind Phishing- und Malware-Erkennung, Risikobewertung und User Management. Das Schwachstellenmanagement profitiert ebenfalls von künstlicher Intelligenz – und das ist unbedingt notwendig, denn die Zahl der bekannten Schwachstellen steigt rapide: von knapp 6.500 im Jahr 2015 auf mehr als 40.000 im Jahr 2024. Ein zusätzlicher Vorteil der Nutzung von KI für die Cybersicherheit ist die Optimierung der Mensch-Maschine-Kommunikation. Dies bedeutet, dass etwa durch LLM die Interaktion zwischen den menschlichen Mitarbeitenden und den IT-Systemen verbessert wird. Denn anstelle komplexer Sicherheitsabfragen können Security-Verantwortliche Anfragen in natürlicher Sprache stellen und erhalten ebenso leicht verständliche Antworten. Dies ist vor allem für Teams ohne tiefergehende Sicherheitsexpertise ein entscheidender Faktor.

Eine Zentrale für die Verteidigung: KI-Einsatz im SOC

Im Security Operation Center (SOC), also in der Schaltzentrale für Sicherheitsmaßnahmen und -analysen, ergeben sich weitere Möglichkeiten für den Einsatz von KI. So erhalten die Sicherheitsexperten durch die Nutzung von KI Threat Reports in natürlicher Sprache aus IT-Forensik-Artefakten, die Sicherheitsvorfällen entspringen und den Verantwortlichen wichtige Erkenntnisse bieten. Zudem lassen sich mit KI Sicherheitsalerts im SOC nach Ursachen gruppieren und strukturiert abarbeiten.

Datenschutz: Vorsicht vor Kollegin ChatGPT

Aber Mitarbeitende und Sicherheitsverantwortliche sollten bei der Nutzung von LLM Vorsicht walten lassen, denn: Jede Information, die in ein frei verfügbares LLM eingegeben wird, wird der Trainingsmasse hinzugefügt. Dies bedeutet, dass, wie bei allen Webservices, hochgeladene Daten auf die eine oder andere Weise genutzt werden. So erfolgt im Fall von LLM die Bereitstellung der eingegebenen Informationen für andere User. Vertrauliche Daten sollten also zu keiner Zeit in eine öffentliche LLM kopiert werden. Denn die Regel hierbei lautet: Wenn die Nutzung frei ist, zahlen die Nutzerinnen und Nutzer mit ihren Daten. Und Administratoren, die ihre gesamte Konfiguration auf ChatGPT stellen, um bei der Behebung von IT-Problemen unterstützt zu werden, erhalten dafür ebenfalls früher oder später die Rechnung präsentiert.

KI unter Aufsicht: Ohne den Menschen geht es nicht

Zudem gilt: Was KI im Einsatz bei Angriff und Verteidigung gemeinsam hat, ist, dass es ohne den Zugriff menschlicher „Kolleginnen und Kollegen“ nicht geht. Smarte Algorithmen können unter anderem Prozesse optimieren und Analysen anfertigen, die Last der Alarmflut minimieren sowie Empfehlungen abgeben. Die finale Entscheidung über Maßnahmen liegt jedoch weiterhin bei den menschlichen Expertinnen und Experten.

Fazit: Mensch und Maschine im Einklang für eine effiziente Verteidigung

Die Cyberabwehr wird schon heute von KI-Technologien erschwert, die etwa bekannte Schwachstellen aufspüren. In Zukunft wird alles aber noch komplizierter: Die nächste Evolutionsstufe KI-gestützter Schwachstellenaufspürung wird darin bestehen, mithilfe verbesserter logischer Fähigkeiten völlig neue Angriffspunkte zu entdecken. Von den Entwicklungen bei Deepfakes und ähnlichem ganz zu schweigen. Die gute Nachricht: Was Angreifer jetzt und in Zukunft nutzen, kann auch der Verteidigung dienen. Viele Unternehmen setzen zunehmend auf KI-basierte Sicherheitslösungen – ob für Datenanalyse, Bedrohungserkennung oder Automatisierung von Reaktionen. Laut einer Studie zum Thema Mensch-KI-Zusammenarbeit glauben 64 Prozent der IT-Entscheiderinnen und -Entscheider an das Potenzial von KI zur Verbesserung der Sicherheitslage. 45 Prozent der Unternehmen sehen in KI sogar den zentralen Hebel ihrer Cybersecurity-Strategie.

Die Zukunft erfolgreicher Cyberabwehr liegt in einer strategischen Zusammenarbeit zwischen Mensch und Maschine. Wer beides sinnvoll kombiniert, wird nicht nur Bedrohungen besser erkennen und abwehren, sondern ist auch besser gerüstet für das, was die kommenden Jahre in Hinsicht auf Cyberrisiken und -angriffe bringen.