Künstliche Intelligenz im Fokus von Cyberkriminellen Spear Phishing und KI – Eine gefährliche Kombination

Von Dr. Niklas Hellemann

Während Künstliche Intelligenz immer leichter einzusetzen und damit gebräuchlicher wird, müssen Organisationen mit einer neuen Generation von Spear-Phishing-Angriffen rechnen. Mit nur wenig Aufwand werden Cyberkriminelle schon bald höchstindividualisierte Mails in großer Anzahl verschicken können. Davor schützen kann ebenso individuelles Awareness-Training, das die aktuellsten Angriffstaktiken aufgreift und Mitarbeitende entsprechend sensibilisiert.

Firmen zum Thema

Unternehmen müssen sich präventiv vor KI-basierten Spear-Phishing-Mails schützen.
Unternehmen müssen sich präventiv vor KI-basierten Spear-Phishing-Mails schützen.
(© peshkov - stock.adobe.com)

Die aktuelle Cyber-Bedrohungslage ist angespannt: Nie wurden mehr Phishing-Mails verschickt als im vergangenen Jahr. Die meisten Angriffe sind dabei zwar automatisiert, aber sehr simpel gehalten. Vor kurzem stellte nun ein Forschungsteam von Singapurs Government Technology Agency erschreckende Ergebnisse auf einer Security-Konferenz in Los Angeles vor. In einer Studie fanden sie heraus, dass Künstliche Intelligenz (KI) bessere Phishing-Mails als Menschen schrieb. Sie verschickten einerseits selbst erstellte, andererseits von KI generierte Spear-Phishing-Mails an 200 Kolleginnen und Kollegen. Das Ergebnis: Die KI-Varianten wurden häufiger geklickt.

Die Phishing-Mails wurden dabei unter anderem mit OpenAI’s GPT-3 Tool erstellt – einer KI-as-a-Service-Plattform, die in limitiertem Umfang öffentlich zugänglich ist. Obwohl die Studie klein angelegt war und deshalb keine repräsentativen Ergebnisse lieferte, untermauern die Befunde eine allgemeine Entwicklung: Künstliche Intelligenz ist längst nicht mehr nur versierten Codern vorbehalten. Auch Laien werden die Modelle schon bald mit einfachen Mitteln und eingeschränktem Technikwissen trainieren können. Das hat bereits der Vormarsch von Audio- und Video-Deepfakes für Cyberangriffe gezeigt. Die IT-Sicherheit von Organisationen wird nun auch durch den Missbrauch von KI-Sprachmodellen für Spear-Phishing-Attacken unausweichlich auf die Probe gestellt werden.

Künstliche Intelligenz macht Spear Phishing massentauglich

Viele Cyberkriminelle setzten in der Vergangenheit auf Masse statt Klasse: Sie versendeten schnell aufgesetzte, manchmal unsauber formulierte Phishing-Mails an eine Vielzahl von Empfängerinnen und Empfängern. Die Chance auf einen erfolgreichen Hack stieg so linear mit der Menge an versendeten Mails, bis ein unvorsichtiger Klick einer Empfängerin oder eines Empfängers zum Ziel führte. In den letzten Jahren haben viele Hacker allerdings die Chancen von Spear Phishing entdeckt. Dabei werden die Mails individuell angepasst und spielen gezielt mit Emotionen. Sie enthalten persönliche Informationen oder greifen aktuelle Entwicklungen aus dem Unternehmen auf, erwecken so beispielsweise Neugier oder erzeugen Druck. Die Insider-Informationen sammeln Cyberkriminelle dabei über soziale Netzwerke oder andere öffentlich zugängliche Quellen. Dieses Vorgehen macht Phishing wesentlich erfolgsversprechender – und damit auch profitabler. Das einzige Manko: Bisher war die Individualisierung sehr arbeitsintensiv.

Wie die genannte Studie zeigt, können mit KI nun in sehr absehbarer Zukunft und in kürzester Zeit Massen von überzeugenden individualisierten Phishing-Mails erstellt werden – eine gefährliche Wendung für Organisationen. Wir warnten schon 2019 auf dem BSI-Kongress vor diesen Möglichkeiten. Die neuen Forschungsergebnisse aus Singapur bestätigen nun die Befürchtung. Tools wie GPT-3, die KI als Service anbieten, erleichtern den Cyberkriminellen die Arbeit. Sie analysieren und verstehen Verhaltensmuster und produzieren sehr legitim wirkende Nachrichten. Die Social-Engineering- und Spear-Phishing-Taktiken der Cyberkriminellen werden so massentauglich.

Viele technische Filter erkennen KI-basierte Texte nicht

Für die IT-Sicherheit offenbart sich mit der Popularisierung von KI ein echtes Dilemma. Denn KI-Modelle werden längst nicht nur für bösartige Zwecke genutzt, sondern beispielsweise auch für die Redaktion von Texten und für Sprachassistenten, um Arbeitsabläufe zu erleichtern. Mit der dadurch steigenden Anzahl und Qualität von künstlich generierten Texten wird es allerdings auch mit Screening-Tools und Spamfiltern technisch immer schwieriger, die „Guten“ von den „Bösen“ zu unterscheiden. Zumal dies mit der laufenden Verbesserung der Modelle selbst für die Menschen hinter den Bildschirmen immer schwieriger wird. Die Forscherinnen und Forscher aus Singapur haben genau hier angesetzt und versuchen mittlerweile, ein Framework zu entwickeln, das dieses Problem lösen soll. Ziel ist es dabei, künstlich generierte Phishing-Inhalte in Mails schon frühzeitig als solche zu markieren und herauszufiltern. Mit Blick auf die dynamische Entwicklung der Modelle könnte sich das als eine komplizierte Angelegenheit herausstellen.

Wie Organisationen sich vor KI-basierten Angriffen schützen

Solange die Forschung noch in den Kinderschuhen steckt und Künstliche Intelligenzen gleichzeitig laufend weiterentwickelt werden, liegt es an Organisationen und ihren Mitarbeitenden sich vor den komplexen Cyberangriffen zu schützen. Denn nur mit einem geschulten Auge lassen sich die Spear-Phishing-Mails frühzeitig erkennen und die Angriffe abwehren. Organisationen sollten deshalb auf stets aktuelle und kontinuierliche Trainings ihrer Mitarbeitenden setzen, um diese für schädliche Inhalte zu sensibilisieren. Moderne IT-Sicherheitsschulungen setzen dabei vor allem auf Lerninhalte, die passgenau auf die individuellen Bedürfnisse der Organisation und der Mitarbeitenden sowie die derzeitige Angriffslage zugeschnitten sind. So wird eine gezielte Lernerfahrung ermöglicht. Auch die Simulation spezifischer und aktueller Angriffsszenarien, darunter auch Spear Phishing, ist sinnvoll, um realitätsnah das Verhalten im Umgang mit Cybergefahren und den neuesten Social-Engineering-Taktiken zu trainieren. Für die Umsetzung von E-Learnings und Co. bietet KI sogar Vorteile: Sie wird es ermöglichen, in Zukunft diese Trainings noch individueller und damit effektiver für die User zu machen. IT-Sicherheitsverantwortliche sollten die Trends aufmerksam beobachten. Denn auch Awareness-Training muss sich laufend weiterentwickeln und mit den Ansätzen der Cyberkriminellen Schritt halten.

Fazit: Mit Awareness vor KI-basiertem Spear Phishing schützen

Künstliche Intelligenz wird uns in den kommenden Jahren vieles erleichtern. Aber die Weiterentwicklung der Technik birgt wie in jedem anderen Bereich auch neue Tücken, die frühzeitig adressiert werden müssen. Im Hinblick auf die IT-Sicherheit von Organisationen heißt es nun, sich präventiv vor überzeugenden KI-basierten Spear-Phishing-Mails zu schützen. Denn es ist nur noch eine Frage der Zeit, bis diese Taktik für Cyberkriminelle zum Alltag wird. Insbesondere, solange technische Mittel zum Schutz vor den Taktiken nur eingeschränkt bereitstehen, sollten IT-Sicherheitsverantwortliche auf eine gezielte Schulung der Mitarbeitenden setzen. Moderne und kontinuierliche Awareness-Trainings, die sich den neuen Gegebenheiten laufend anpassen und stets aktuelle, passgenaue Inhalte bieten, schützen gezielt auch vor neuartigen Angriffstaktiken – und Organisationen damit vor kostspieligen Vorfällen.

Über den Autor: Dr. Niklas Hellemann ist Diplom-Psychologe, langjähriger Unternehmensberater und Geschäftsführer der Firma SoSafe Cyber Security Awareness. Als Experte für Social Engineering und Security Awareness beschäftigt er sich mit innovativen Methoden der Mitarbeitersensibilisierung.

(ID:47814334)