:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wie Hacker KI austricksen, um an Daten zu kommen Verraten vom Chatbot
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Die Entwicklungen in der künstlichen Intelligenz (KI) sind sehr spannend. Viele Nutzer testen Apps wie ChatGPT oder Bard. Manche zum Spaß, andere, um ihre Arbeit langfristig effizienter zu machen. Immer mehr Unternehmen integrieren KI-basierte Chatbots und Assistenten in ihre Produkte und Prozesse. Dabei zeigt sich, dass man KI dazu verleiten kann, sensible Informationen weiterzugeben und so ernsthafte Sicherheitslücken zu schaffen.
Die Notwendigkeit, den Einsatz von KI zu regeln, ist daher nicht nur mit ethischen und rechtlichen Aspekten verbunden, sondern zunehmend auch eine Frage der Cybersicherheit. Dass KI-Sicherheitsrisiken ernst genommen werden müssen, haben einige der weltweit größten Wirtschafts-, Finanz- und Rechtsunternehmen bereits erkannt und die interne Nutzung von ChatGPT eingeschränkt oder sogar verboten.
Chatbots lassen sich dazu verleiten, sensible Daten offenzulegen
KI-basierte Chatbots wie ChatGPT und Chat-Assistenten auf Webseiten sammeln nicht nur automatisch die persönlichen Daten, die die Nutzer ihnen mitteilen, sondern auch Informationen über ihre Zugangsgeräte, ihre Standorte und sogar die Aktivitäten in sozialen Medien. Gemäß der Datenschutzerklärung, der die Nutzer bei der Anwendung von ChatGPT zustimmen, verpflichtet sich der Eigentümer, die Daten zu schützen, ohne sie an Dritte weiterzugeben. Trotzdem dürfen die Informationen zum Beispiel für individualisierte Werbung verwendet werden.
Was viele Nutzer nicht wissen ist, dass Chatbots keine Datenschutzmechanismen wie Verschlüsselung, Data Loss Prevention, Zugangsbeschränkungen und -logs bieten und damit Cyberverletzungen Tür und Tor öffnen können. Und genau das ist die große Schwachstelle, die Hacker in letzter Zeit verstärkt ausnutzen. Das derzeitige Niveau der Datensicherheit von Chatbots ist sowohl für die Endnutzer als auch für Unternehmen, die sie in ihre Services integrieren, höchst unzureichend. Niemand sollte daher vertrauliche Informationen in KI-Assistenten oder Chats eingeben.
Wenn Chatbots direkt nach persönlichen Daten oder vertraulichen Geschäftsinformationen gefragt werden, werden sie natürlich keine Antwort geben. Aber durch geschickte Manipulation der Suchanfrage und eine ausgeklügelte Formulierung können Hacker alle Arten von sensiblen Informationen extrahieren. Dazu gehören Kontakt- und Standortdaten, Präferenzen, Geschäftsverbindungen und -partner und sogar Benutzerdaten sowie Passwörter.
Bewaffnet mit diesen Einblicken können Kriminelle eine Unmenge von hochgradig personalisierten und gezielten Angriffen auf Einzelpersonen und Unternehmen durchführen. Bei diesen Attacken kann es sich um Phishing-Kampagnen handeln, die auf Fake-Websites locken, um Ransomware und maßgeschneiderten bösartigen Code; sowie um Account-Impersonation oder -Übernahme, die oft zu Business E-Mail Compromise führt.
Wie kann KI für die Erstellung äußerst wirksamer Cyberangriffe genutzt werden?
1. Ransomware, Malware und Spam
ChatGPT wird von vielen Entwicklern zum Schreiben von Code verwendet. Selbst Hacker haben einen Weg gefunden, die Guardrails, also die Kontrollmechanismen, so zu manipulieren, dass ihre Schadcodeanfragen nicht als solche erkannt werden. Experten schätzen, dass ChatGPT das Potenzial hat, unerkennbaren Schadcode zu schreiben, der Code Injections und Mutationen ermöglichen kann.
Der KI-generierte Schadcode spart Zeit und reduziert den Aufwand. Damit verschafft er auch unerfahrenen Hackern einen schnellen Zugang zu einem leistungsfähigen Malware-Code. Spezialisten zufolge ist ChatGPT in der Lage, einen Ransomware-Code zu erstellen, der nicht nur einen Teil, sondern das gesamte System eines Unternehmens verschlüsseln kann. Außerdem lassen sich Spam-Kampagnen mit Hilfe von KI zur Verbesserung des Arbeitsablaufs und zur Optimierung der Texterstellung effizienter als je zuvor durchführen.Auch KI-basierte virtuelle Assistenten sind nicht von Missbrauch verschont. Sie werden durch indirekte Prompt-Injektion manipuliert, bei der das Verhalten der KI mit Hilfe eines von Hackern auf der Website versteckten Textes geändert wird. Auf diese Weise kann die Datenschutzrichtlinie des Assistenten umgangen werden, sodass er die Weitergabe sensibler Daten zulässt.
2. Phishing-Angriffe
Einer der wichtigsten Erfolgsfaktoren eines Phishing-Angriffs ist seine Personalisierung und Glaubwürdigkeit. Gegenwärtig erkennt man eine Phishing-E-Mail am besten an der schlechten Grammatik und Zeichensetzung, der seltsamen Wortwahl, den fehlenden Haftungsausschlüssen und Fußzeilen sowie der oft komischen Absenderadresse. Mit Hilfe von KI generieren Kriminelle saubere E-Mails, die schlüssig und fehlerfrei geschrieben sind und die Sprachwahl eines Profis – z. B. eines Bankangestellten oder Kundenbetreuers – perfekt imitieren. Um das Phishing weiter zu verfeinern und zu personalisieren, bringen die Hacker das Social Engineering auf ein neues Level, indem sie von der KI ermittelte private Details hinzufügen, um die Glaubwürdigkeit zu erhöhen.
Inzwischen gibt es bereits eine Art von Phishing-Angriffen, die so genannten ChatGPT-Angriffe, deren Ziel es ist, die Opfer zur Preisgabe ihrer Zugangs- oder persönlichen Daten zu verleiten. So erstellen Hacker beispielsweise ein falsches Kundensupport-Konto auf einer beliebten Chat-Plattform und nehmen über dieses Kontakt zu den Opfern auf, um ihnen Hilfe bei einem Problem anzubieten. Dann leiten sie das Opfer auf eine bösartige Website weiter, die wiederum die Anmeldedaten erfasst. Auf diese Weise verschaffen sich die Hacker leichten Zugang.
3. Identitätsmissbrauch und Kontokaperung
Je mehr Informationen die KI über Webseiten, Social-Media-Profile und -Posts, Chats sowie Online-Verhalten sammelt, desto authentischer kann eine böswillig imitierte E-Mail aussehen. So kann ein Mitarbeiter eine E-Mail von der üblichen Kontaktperson eines Partnerunternehmens erhalten, in der eine Geldüberweisung für ein Ereignis angefordert wird, das tatsächlich stattgefunden hat.
Mit der gleichen Leichtigkeit, mit der ChatGPT Text erzeugen kann, kann es auch die Stimme und den Ausdruck einer Person imitieren. So wird es zum Kinderspiel, einen hochrangigen Manager zu imitieren. Dies geschieht dann zum Beispiel, um eine E-Mail oder eine Chat-/Sprachnachricht an die Finanzabteilung zu senden, in der eine Zahlung gefordert oder um vertrauliche Daten gebeten wird. Im Gegensatz zur Imitation ist das Account-Hijacking eine echte Übernahme des E-Mail-Kontos, die wiederum von Hackern genutzt wird, um an Insider-Informationen zu gelangen oder bösartige Aktionen auszulösen.
4. Business E-Mail Compromise
Die oben beschriebenen Angriffe sind häufig Teil einer Business E-Mail Compromise (BEC), deren Zielpersonen meist Führungskräfte sind. Sie werden daher auch Whaling-Angriffe genannt. Aufgrund der Muster, die normale BECs aufweisen, können sie von Anti-Malware leicht erkannt werden. Die Raffinesse und der Grad der Personalisierung eines KI-basierten BECs machen ihre Erkennung jedoch deutlich schwieriger.
So schützen Sie das Unternehmen vor KI-basierten Cyberangriffen
Eine hundertprozentige Prävention von KI-basierten Cyberangriffen ist kaum möglich, aber das Zusammenspiel starker Sicherheitsmaßnahmen sowie Awareness Trainings gewährleistet für die meisten Unternehmen einen optimalen Schutz. Für die eingehende Kommunikation sind Firewalls und moderne Virenschutzprogramme eine absolut unverzichtbare Grundausstattung, ergänzt durch starke Passwörter, Multi-Faktor-Authentifizierung und Zugangskontrolle.
Um ausgehende E-Mails vor Spionage und Missbrauch zu schützen, sollte Verschlüsselung zum Standard gehören, ebenso wie die Data Loss Prevention-Technologie. Unverzichtbarer Bestandteile der Sicherheitsstrategie sollte zudem die regelmäßige Modernisierung der Software und die Aktualisierung von Sicherheits-Patches sowie – für die besonders Anfälligen – Pen-Tests sein. Durch die Überwachung des E-Mail-Verkehrs und der E-Mail-Konten können Unternehmen Schwachstellen erkennen und datengestützte Entscheidungen zur Optimierung der Sicherheitsmaßnahmen treffen.
Über den Autor: Uwe Dingerkus ist Security Service Owner bei GBS Europa, einer Tochterfirma von DIGITALL.
(ID:49725832)
:quality(80)/p7i.vogel.de/wcms/9e/a9/9ea922addbf6bb7686604dff6994eeb0/0111475794.jpeg "In seiner Keynote für die ISX ISX IT-Security Conference 2023 zeigt Candid Wüest von Acronis, wie Cyberkriminelle schon heute KI-Systeme für ihre Zwecke nutzen und beantwortet die Frage, ob wir schon bald mit einer sich selbst anpassenden Terminator-Ransomware rechnen müssen. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")