:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Neuer Stern am KI-Himmel ChatGPT: Mehr Fluch als Segen? Das sagt die Security-Branche
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Eine Verbreitung von ChatGPT über die Cloud: Das kündigte der Software-Riese Microsoft in einem Blog-Beitrag an. Doch das KI-Chatmodell sorgt nicht nur für einen Hype, sondern auch für Bedenken. Wie steht eigentlich die IT-Security-Branche dazu?
Spätestens seit Jahresende 2022 ist der durch Künstliche Intelligenz betriebene Chatbot ChatGPT, created by OpenAI, in aller Munde. Im November ging die Plattform live und zählte binnen weniger Tage Millionen Aufrufe. Der Bot beantwortet Wissensfragen umfangreich und in Sekundenschnelle und übernimmt lästige Büroarbeiten. Was zunächst attraktiv klingt, birgt auch Risiken. Auch im IT-Security-Umfeld ist der intelligente Neuling umstritten.
:quality(80)/p7i.vogel.de/wcms/ed/3d/ed3de35384f80e0afbd41c7ccc160669/0100127717.jpeg "Was macht ChatGPT so undurchschaubar und zugleich attraktiv für Skriptkiddies, Fuzzing und Seitenkanal-Attacken? (Bild: Vogel IT-Medien)")
Security-Insider Podcast – Folge 66
Features und Fehler der Blackbox ChatGPT
Ziemlich beste Freunde: ChatGPT und Microsoft
Die Google-KI hinter der Suchmaschine war Jahre lang unangetastet die Nummer Eins und bekommt nun gewaltig Konkurrenz. Und nicht nur das. ChatGPT soll zudem vermehrt Teil von Microsoft werden. Das Unternehmen möchte die OpenAI-Software den Kunden via Cloud zur Verfügung stellen und in Word, Powerpoint sowie in Outlook einbinden. Bereits 2019 investierte Microsoft eine Milliarde Dollar in OpenAI. Es folgten laut „New York Times“ nochmals zwei Milliarden und weitere Investitionen von zehn Milliarden Dollar seien angeblich im Gespräch. Microsoft könnte sich laut Expertenstimmen somit ein Drittel von OpenAI sichern. Die nächste Sprachversion GPT4 soll wohl im Frühjahr 2023 erscheinen.
Erleichterung im Alltag
ChatGPT bietet sicherlich Vorteile. „Generell kann das Aufkommen von nutzbarer Künstlicher Intelligenz an sich als eine gute Sache angesehen werden. Es gibt viele positive Aspekte. Leider sind viele Innovationen aus der Vergangenheit, die mit den besten Absichten entwickelt wurden, auch missbraucht worden – und dazu könnte auch KI gehören“, äußert sich Markus Grau, Principal Technologist bei Pure Storage.
„Insgesamt hat OpenAI den Vorteil, dass es von der gemeinnützigen OpenAI Inc. beaufsichtigt wird. Sie wird von Hunderten von Menschen beobachtet und analysiert, die nicht mit einem Unternehmen verbunden sind und daher voreingenommen sein könnten“, führt Grau weiter aus.
Ein wesentlicher Vorteil bei Nutzung der OpenAI-Integration sei sicherlich die Unterstützung und Zeitersparnis bei alltäglichen Aufgaben wie Dokumente zu verfassen oder Ansätze zu validieren. Daneben besteht allerdings die Herausforderung in der Frage nach dem Eigentümer des Ergebnisses. Wie können Nutzer künftig Texte von Menschen oder Maschinen unterscheiden und versuchten Betrug erkennen?
Das größte Fragezeichen wird sein, wie wir als Menschen in Zukunft unterscheiden können, ob eine Information von einem Menschen oder von einer KI erstellt wurde. Welchen Informationen sollten wir vertrauen? Bis jetzt haben wir als Gesellschaft noch kein Modell entwickelt, um Missbrauch zu verhindern, aber das müssen wir vielleicht eher früher als später tun.
OpenAI ist ein Unternehmen aus Kalifornien, geführt von Sam Altman. Der Fokus liegt auf der Erforschung Künstlicher Intelligenz. Es gehört zur Tochtergesellschaft OpenAI LP und wird durch das Non-Profit-Mutterunternehmen OpenAI Inc. kontrolliert.
Ende November 2022 ging mit ChatGPT eine neue Plattform live, die mittels KI Fragen aller Art beantwortet und Lösungen anbietet. Was ChatGPT von der Nutzerzahl in paar Tagen erreichte, schafft Google in einem Jahr.
Zu den Geldgebern, die die Gründung 2015 finanzierten, gehören die Tech-Prominenten Elon Musk, Peter Thiel und Reid Hoffman. Elon Musk zog sich 2018 aufgrund möglicher Interessenskonflikte mit Tesla aus dem Unternehmen zurück. Seitdem äußert er immer wieder Kritik an OpenAI.
Vielseitiger Nutzen, vielseitiger Missbrauch
Traurig aber wahr: KI hat den letzten Nagel in den Sarg des Endbenutzer-Sicherheitsbewusstseins geschlagen. Wir benötigen zunehmend intelligente Maschinen, um zu erkennen, wenn andere Maschinen versuchen, uns zu täuschen.
ChatGPT wäre also so schön praktisch, wenn Cyberkriminelle nicht auch hier nach Wegen suchen würden, Unwesen zu treiben. Im Rahmen des Check Point Research (CPR) deckte das Forschungsteam erste Fälle auf, in welchen Kriminelle OpenAI zur Entwicklung bösartiger Tools nutzten. Zwar sei der Entwicklungsstand noch nicht so hoch, raffinierte Bedrohungsakteure würden aber schnell darauf kommen, wie sie KI-basierte Tools zum Schaden anderer einsetzen.
Betrug mit allen Sinnen
„Natürlich lässt sich eine solche Technologie auch missbrauchen – etwa durch Cyberkriminelle, die mit Hilfe eines Chatbots Betrugsverbrechen begehen. Wo heute ganze Callcenter mit menschlichen Angestellten dazu eingesetzt werden, steht vielleicht eines Tages ein Computer oder ein Rechenzentrum“, erklärt Tim Berghoff, Security Evangelist bei G Data.
Und nicht nur das. „In Verbindung mit einer anderen Technologie aus dem Hause OpenAI mit dem Namen Vall-E ergeben sich hier geradezu erschreckende Möglichkeiten. Vall-E ist in der Lage, Stimmen täuschend echt zu imitieren, und das mit relativ wenig Ausgangsmaterial“, führt er weiter beispielhaft aus. „Im schlimmsten Fall könnte man nicht einmal mehr der Mail oder dem Anruf von Kollegen oder der Chefin trauen, weil die Stimme so täuschen echt gefälscht ist, dass es über das Telefon nicht auffällt.“
ChatGPT ist auch in der Lage, Programmcode zu schreiben. Eine einfache Anfrage genügt, und schon spuckt der Bot die gewünschten Codezeilen aus. Der generierte Code ist zwar funktional, aber die Sicherheit darf bezweifelt werden. Von Secure Coding hat ChatGPT nämlich keine Ahnung. Quellcode, der von einer KI generiert wurde, kann also Sicherheitslücken enthalten. Es hat sogar schon Versuche gegeben, ChatGPT zur Programmierung von Ransomware zu benutzen.
ChatGPT könnte sich in jegliche Tools drängen
Es steht fest, dass die Nutzung von ChatGPT trotz aller Sicherheitsbemühungen neue Herausforderungen mit sich bringt – das bestätigt auch Sophos. Folglich brauche es immer noch intelligente Maschinen, um zu erkennen, wenn andere Maschinen versuchen, die Nutzer zu täuschen.
Chester Wisniewski, Cybersecurity-Experte bei Sophos, sieht die Gefahr noch an anderer Stelle: „Eines der größten Risiken besteht darin, dass Angreifer diese Plattformen nutzen, um die Qualität ihrer Phishing-Köder erheblich zu verbessern. Damit sind Phishing-Angriffe selbst für aufmerksame Nutzer immer schwieriger zu identifizieren.“
ChatGPT sei Berichten zufolge bereits von gering qualifizierten Cyberkriminellen verwendet worden, um grundlegende Malware zu entwickeln. „Darüber hinaus kann es genutzt werden, um Phishing-Skripte zu entwickeln“, erklärt auch Satnam Narang, Senior Research Engineer bei Tenable.
:quality(80)/p7i.vogel.de/wcms/98/b4/98b417fd154c327be148c2adf2d66697/0109120526.jpeg "Die künstliche Intelligenz hinter dem textbasierten Dialogsystem ChatGPT zeigt, welche Möglichkeiten KI auch für Cybercrime bietet. (Bild: phonlamaiphoto - stock.adobe.com)")
Künstliche Intelligenz in Cyber-Angriffen
Phishing mit KI-Unterstützung durch ChatGPT
Letztendlich würden die immer intelligenteren Chatbots, den Experten nach, unter Umständen ein kostenloses Upgrade für alle Arten von Social-Engineering-Angriffen liefern. Programme wie ChatGPT könnten dazu genutzt werden, kriminell orientierte, sehr realistische und interaktive Gespräche via E-Mail zu führen oder Chat-Angriffe über Facebook Messenger, WhatsApp oder andere Chat-Apps zu starten. „Heute besteht die größte Gefahr für die englischsprachige Zielgruppe. Es ist aber wahrscheinlich nur eine Frage der Zeit, bis neue Versionen verfügbar sind, um glaubwürdige Texte in allen häufig gesprochenen Sprachen der Welt zu erstellen“, ergänzt Wisniewski.
Diese Entwicklung bilde eine Zäsur für bislang bestehende Standards im Bereich Mitarbeiterschulung und IT-Sicherheit. Die Zeiten, in denen sich Unternehmen darauf verlassen konnten, dass die Mitarbeiter eine aktive Rolle bei der Verteidigung gegen Cyberattacken spielen, seien den Experten nach vorbei. Rein auf Grammatik und Rechtschreibung oder merkwürdige Formulierungen zu achten, reiche nicht mehr aus.
(ID:49055053)
:quality(80)/p7i.vogel.de/wcms/c8/49/c849fca2e3169964961479df5f5d07fd/0110982130.jpeg "Kaspersky entdeckte eine Malware-Kampagne, die ChatGPT zm Diebstahl von Login-Daten nutzt. Aber auch andere Varianten machen Gebrauch vom Hype um den KI-Chatbot. Manche Fallen sehen ihm zum Verwechseln ähnlich. (Bild: lichtblitze - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/75/f6/75f6764b0db6aeedf060f9e7d819391d/0109123605.jpeg "ChatGPT ist der Prototyp eines hoch entwickelten, dialogorientierten KI-Chatbots, der seit Ende November 2022 für die Öffentlichkeit kostenlos zugänglich ist. (Bild: gemeinfrei)")