:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cb/83cbc8b48e4cbb70cf7ec5bd5880d9cc/0110309438.jpeg "Mit einem Zero-Trust-Konzept, einem intensiven Monitoring aller Datenströme und einer Single Sign-On (SSO)-Authentifizierungsmethode lassen sich die neuen Anforderungen der Arbeitswelt mit denen der IT-Security in Einklang bringen. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/67/7e67a44843941beee4d1a47ad333a80b/0109769083.jpeg "Im Projekt entwickeln die Forscher Technologien zur drahtlosen Quantenkommunikation zwischen mehreren Geräten innerhalb eines Raumes. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/cc/4cccb0da2d73a5ae0728d58e59140aaf/0110379345.jpeg "Native Cloud-Technologien ermöglichen es Unternehmen, die Flexibilität zu nutzen, die erforderlich ist, um in der aktuellen Wettbewerbslandschaft mithalten und neue Geschäftsmodelle entwickeln zu können. (Bild: kanpisut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/94/29/942929c3785964880e17ce7285b47044/0109553991.jpeg "Auch wenn der Quellcode für die ganze Welt offen ist, ist Open-Source-Code nicht frei von Nutzungsbeschränkungen. (Bild: © – cacaroot – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Neuer Stern am KI-Himmel ChatGPT: Mehr Fluch als Segen? Das sagt die Security-Branche
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
Eine Verbreitung von ChatGPT über die Cloud: Das kündigte der Software-Riese Microsoft in einem Blog-Beitrag an. Doch das KI-Chatmodell sorgt nicht nur für einen Hype, sondern auch für Bedenken. Wie steht eigentlich die IT-Security-Branche dazu?
Spätestens seit Jahresende 2022 ist der durch Künstliche Intelligenz betriebene Chatbot ChatGPT, created by OpenAI, in aller Munde. Im November ging die Plattform live und zählte binnen weniger Tage Millionen Aufrufe. Der Bot beantwortet Wissensfragen umfangreich und in Sekundenschnelle und übernimmt lästige Büroarbeiten. Was zunächst attraktiv klingt, birgt auch Risiken. Auch im IT-Security-Umfeld ist der intelligente Neuling umstritten.
:quality(80)/p7i.vogel.de/wcms/ed/3d/ed3de35384f80e0afbd41c7ccc160669/0100127717.jpeg "Was macht ChatGPT so undurchschaubar und zugleich attraktiv für Skriptkiddies, Fuzzing und Seitenkanal-Attacken? (Bild: Vogel IT-Medien)")
Security-Insider Podcast – Folge 66
Features und Fehler der Blackbox ChatGPT
Ziemlich beste Freunde: ChatGPT und Microsoft
Die Google-KI hinter der Suchmaschine war Jahre lang unangetastet die Nummer Eins und bekommt nun gewaltig Konkurrenz. Und nicht nur das. ChatGPT soll zudem vermehrt Teil von Microsoft werden. Das Unternehmen möchte die OpenAI-Software den Kunden via Cloud zur Verfügung stellen und in Word, Powerpoint sowie in Outlook einbinden. Bereits 2019 investierte Microsoft eine Milliarde Dollar in OpenAI. Es folgten laut „New York Times“ nochmals zwei Milliarden und weitere Investitionen von zehn Milliarden Dollar seien angeblich im Gespräch. Microsoft könnte sich laut Expertenstimmen somit ein Drittel von OpenAI sichern. Die nächste Sprachversion GPT4 soll wohl im Frühjahr 2023 erscheinen.
Erleichterung im Alltag
ChatGPT bietet sicherlich Vorteile. „Generell kann das Aufkommen von nutzbarer Künstlicher Intelligenz an sich als eine gute Sache angesehen werden. Es gibt viele positive Aspekte. Leider sind viele Innovationen aus der Vergangenheit, die mit den besten Absichten entwickelt wurden, auch missbraucht worden – und dazu könnte auch KI gehören“, äußert sich Markus Grau, Principal Technologist bei Pure Storage.
„Insgesamt hat OpenAI den Vorteil, dass es von der gemeinnützigen OpenAI Inc. beaufsichtigt wird. Sie wird von Hunderten von Menschen beobachtet und analysiert, die nicht mit einem Unternehmen verbunden sind und daher voreingenommen sein könnten“, führt Grau weiter aus.
Ein wesentlicher Vorteil bei Nutzung der OpenAI-Integration sei sicherlich die Unterstützung und Zeitersparnis bei alltäglichen Aufgaben wie Dokumente zu verfassen oder Ansätze zu validieren. Daneben besteht allerdings die Herausforderung in der Frage nach dem Eigentümer des Ergebnisses. Wie können Nutzer künftig Texte von Menschen oder Maschinen unterscheiden und versuchten Betrug erkennen?
Das größte Fragezeichen wird sein, wie wir als Menschen in Zukunft unterscheiden können, ob eine Information von einem Menschen oder von einer KI erstellt wurde. Welchen Informationen sollten wir vertrauen? Bis jetzt haben wir als Gesellschaft noch kein Modell entwickelt, um Missbrauch zu verhindern, aber das müssen wir vielleicht eher früher als später tun.
OpenAI ist ein Unternehmen aus Kalifornien, geführt von Sam Altman. Der Fokus liegt auf der Erforschung Künstlicher Intelligenz. Es gehört zur Tochtergesellschaft OpenAI LP und wird durch das Non-Profit-Mutterunternehmen OpenAI Inc. kontrolliert.
Ende November 2022 ging mit ChatGPT eine neue Plattform live, die mittels KI Fragen aller Art beantwortet und Lösungen anbietet. Was ChatGPT von der Nutzerzahl in paar Tagen erreichte, schafft Google in einem Jahr.
Zu den Geldgebern, die die Gründung 2015 finanzierten, gehören die Tech-Prominenten Elon Musk, Peter Thiel und Reid Hoffman. Elon Musk zog sich 2018 aufgrund möglicher Interessenskonflikte mit Tesla aus dem Unternehmen zurück. Seitdem äußert er immer wieder Kritik an OpenAI.
Vielseitiger Nutzen, vielseitiger Missbrauch
Traurig aber wahr: KI hat den letzten Nagel in den Sarg des Endbenutzer-Sicherheitsbewusstseins geschlagen. Wir benötigen zunehmend intelligente Maschinen, um zu erkennen, wenn andere Maschinen versuchen, uns zu täuschen.
ChatGPT wäre also so schön praktisch, wenn Cyberkriminelle nicht auch hier nach Wegen suchen würden, Unwesen zu treiben. Im Rahmen des Check Point Research (CPR) deckte das Forschungsteam erste Fälle auf, in welchen Kriminelle OpenAI zur Entwicklung bösartiger Tools nutzten. Zwar sei der Entwicklungsstand noch nicht so hoch, raffinierte Bedrohungsakteure würden aber schnell darauf kommen, wie sie KI-basierte Tools zum Schaden anderer einsetzen.
Betrug mit allen Sinnen
„Natürlich lässt sich eine solche Technologie auch missbrauchen – etwa durch Cyberkriminelle, die mit Hilfe eines Chatbots Betrugsverbrechen begehen. Wo heute ganze Callcenter mit menschlichen Angestellten dazu eingesetzt werden, steht vielleicht eines Tages ein Computer oder ein Rechenzentrum“, erklärt Tim Berghoff, Security Evangelist bei G Data.
Und nicht nur das. „In Verbindung mit einer anderen Technologie aus dem Hause OpenAI mit dem Namen Vall-E ergeben sich hier geradezu erschreckende Möglichkeiten. Vall-E ist in der Lage, Stimmen täuschend echt zu imitieren, und das mit relativ wenig Ausgangsmaterial“, führt er weiter beispielhaft aus. „Im schlimmsten Fall könnte man nicht einmal mehr der Mail oder dem Anruf von Kollegen oder der Chefin trauen, weil die Stimme so täuschen echt gefälscht ist, dass es über das Telefon nicht auffällt.“
ChatGPT ist auch in der Lage, Programmcode zu schreiben. Eine einfache Anfrage genügt, und schon spuckt der Bot die gewünschten Codezeilen aus. Der generierte Code ist zwar funktional, aber die Sicherheit darf bezweifelt werden. Von Secure Coding hat ChatGPT nämlich keine Ahnung. Quellcode, der von einer KI generiert wurde, kann also Sicherheitslücken enthalten. Es hat sogar schon Versuche gegeben, ChatGPT zur Programmierung von Ransomware zu benutzen.
ChatGPT könnte sich in jegliche Tools drängen
Es steht fest, dass die Nutzung von ChatGPT trotz aller Sicherheitsbemühungen neue Herausforderungen mit sich bringt – das bestätigt auch Sophos. Folglich brauche es immer noch intelligente Maschinen, um zu erkennen, wenn andere Maschinen versuchen, die Nutzer zu täuschen.
Chester Wisniewski, Cybersecurity-Experte bei Sophos, sieht die Gefahr noch an anderer Stelle: „Eines der größten Risiken besteht darin, dass Angreifer diese Plattformen nutzen, um die Qualität ihrer Phishing-Köder erheblich zu verbessern. Damit sind Phishing-Angriffe selbst für aufmerksame Nutzer immer schwieriger zu identifizieren.“
ChatGPT sei Berichten zufolge bereits von gering qualifizierten Cyberkriminellen verwendet worden, um grundlegende Malware zu entwickeln. „Darüber hinaus kann es genutzt werden, um Phishing-Skripte zu entwickeln“, erklärt auch Satnam Narang, Senior Research Engineer bei Tenable.
:quality(80)/p7i.vogel.de/wcms/98/b4/98b417fd154c327be148c2adf2d66697/0109120526.jpeg "Die künstliche Intelligenz hinter dem textbasierten Dialogsystem ChatGPT zeigt, welche Möglichkeiten KI auch für Cybercrime bietet. (Bild: phonlamaiphoto - stock.adobe.com)")
Künstliche Intelligenz in Cyber-Angriffen
Phishing mit KI-Unterstützung durch ChatGPT
Letztendlich würden die immer intelligenteren Chatbots, den Experten nach, unter Umständen ein kostenloses Upgrade für alle Arten von Social-Engineering-Angriffen liefern. Programme wie ChatGPT könnten dazu genutzt werden, kriminell orientierte, sehr realistische und interaktive Gespräche via E-Mail zu führen oder Chat-Angriffe über Facebook Messenger, WhatsApp oder andere Chat-Apps zu starten. „Heute besteht die größte Gefahr für die englischsprachige Zielgruppe. Es ist aber wahrscheinlich nur eine Frage der Zeit, bis neue Versionen verfügbar sind, um glaubwürdige Texte in allen häufig gesprochenen Sprachen der Welt zu erstellen“, ergänzt Wisniewski.
Diese Entwicklung bilde eine Zäsur für bislang bestehende Standards im Bereich Mitarbeiterschulung und IT-Sicherheit. Die Zeiten, in denen sich Unternehmen darauf verlassen konnten, dass die Mitarbeiter eine aktive Rolle bei der Verteidigung gegen Cyberattacken spielen, seien den Experten nach vorbei. Rein auf Grammatik und Rechtschreibung oder merkwürdige Formulierungen zu achten, reiche nicht mehr aus.
(ID:49055053)
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934657/original.jpg "In Multi-Cloud-Architekturen ist ein lückenloses Backup eine nicht zu unterschätzende Herausforderung. (© vectorfusionart - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883439/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Security-Insider-Preisträger: (Vogel IT-Medien)")