Von Robert Wortmann, Principal Security Strategist bei Trend Micro

Für Sicherheitsverantwortliche stellt künstliche Intelligenz eine doppelte Herausforderung dar: Sie ist einerseits ein mächtiges Hilfsmittel im Kampf gegen steigende Cyberbedrohungen, andererseits eröffnet sie neue Angriffsflächen und bringt zusätzliche Risiken mit sich. Laut einer aktuellen Bitkom-Studie setzt bereits jedes fünfte deutsche Unternehmen auf KI, und drei Viertel der Befragten planen, in den nächsten Jahren weiter in diese Technologie zu investieren.

Doch auch Cyberkriminelle haben das Potenzial der KI erkannt – sowohl als Mittel für Angriffe als auch als Werkzeug, um ihre Attacken noch gezielter und schneller auszuführen. Wie können Unternehmen ihre KI-Anwendungen effektiv absichern, und warum wird der Einsatz von künstlicher Intelligenz in der Sicherheitsbranche zunehmend unverzichtbar?

Während Security-Anbieter aufrüsten und ihre Lösungen um immer mehr KI-Funktionalität erweitern, haben auch Cyberkriminelle die Vorteile der neuen Technologie längst für sich entdeckt. Bisher nutzen sie KI vor allem, um Angriffe zu skalieren, ihre Effizienz zu steigern und Betrugsmaschen zu optimieren. Vollautomatisierte mit KI durchführte Cyberangriffe sehen wir noch nicht – vermutlich deshalb, weil der initiale Aufwand dafür noch zu hoch ist. Solange Cyberkriminelle mit einfacheren Mitteln viel Geld verdienen können, haben sie keine Notwendigkeit, in die Entwicklung eigener KI-Malware zu investieren. Gerne missbrauchen sie aber öffentlich zugängliche KI-Modelle für ihre Zwecke und hebeln dafür integrierte Security-Richtlinien aus.

Dem gegenüber stehen kleine IT- oder IT-Security-Teams, wenn nicht gar Einzelpersonen, die mit einer Flut von Warnmeldungen, einer wachsenden Angriffsfläche und steigenden regulatorischen Anforderungen konfrontiert sind. Sie müssen nicht nur ihre eigene IT-Umgebung, sondern auch ihre Lieferketten im Blick behalten. Gleichzeitig erwartet die Geschäftsleitung klare Aussagen für das Cyber-Risikomanagement, um etwa NIS2-Vorgaben zu erfüllen oder eine Cyberversicherung abzuschließen. Ohne KI-Unterstützung können Security-Teams die wachsenden Anforderungen nicht mehr stemmen. Zumal auf der anderen Seite auch Cyberkriminelle bereits künstliche Intelligenz einsetzen, um ihre Attacken zu skalieren und ihre Effizienz zu steigern.

Auf folgende Szenarien sollten sich Security-Teams einstellen:

KI generierte Phishing-Angriffe

Cyberkriminelle nutzen LLMs, um automatisiert Phishing-Mails zu erstellen. Die KI ermöglicht es ihnen nicht nur, mit geringem Aufwand groß angelegte Kampagnen durchzuführen, sondern auch Sprachbarrieren zu überwinden. Denn ChatGPT & Co. erstellen auf Knopfdruck korrekte Texte für verschiedene Zielgruppen in verschiedenen Sprachen. Damit fallen gängige Erkennungsmerkmale wie Rechtschreib- und Grammatikfehler weg. So wird es für die Opfer immer schwieriger, Betrugsmails aufzudecken. Mithilfe von KI-Tools können Cyberkriminelle außerdem automatisiert Informationen zu einer Zielperson sammeln und hochgradig personalisierte Phishing-Angriffe konzipieren. Indem sie ein LLM mit den öffentlichen Social-Media-Posts einer Person trainieren, können sie sogar deren Schreibstil nachahmen.

Betrug und Erpressung mit Deepfakes

Mithilfe von generativer KI können Cyberkriminelle täuschend echt wirkende, manipulierte Bild-, Ton- und Videoaufnahmen erstellen. Das eröffnet vielfältige Betrugs- und Erpressungsmöglichkeiten, darunter Identitätsdiebstahl oder kompromittierende Deepfake-Fotos und -Videos. In einer von Trend Micro durchgeführten Studie gaben 36 Prozent der Verbraucher an, schon einen Betrugsversuch mittels Deepfake erlebt zu haben. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor gefälschten Identitäten . Obwohl Deepfake-Betrug vorwiegend ein Problem im Consumer-Bereich ist, können solche Angriffe auch Auswirkungen auf Unternehmen haben, etwa wenn Cyberkriminelle einen Mitarbeiter mit rufschädigenden Fotos erpressen. Mittlerweile gibt es zahlreiche Deepfake-Services im Darknet, die zwischen zehn US-Dollar pro Bild und 500 US-Dollar pro Video-Minute kosten. Außerdem bieten Cyberkriminelle bereits Dienste an, um mit Deepfakes und gestohlenen Ausweisdaten digitale KYC-Systeme (Know your Customer) zu überlisten. Viele Banken und Finanzdienstleister nutzen zum Beispiel Foto- oder Video-Ident-Verfahren, um die Identität neuer Kunden zu verifizieren.

LLM generierte Exploits

ChatGPT & Co. generieren nicht nur Texte, sondern auch Software-Code. Cyberkriminelle können diese Fähigkeit nutzen, um Malware und Exploits zu entwickeln. Zwar versuchen die KI-Anbieter solchen Missbrauch durch integrierte Security-Richtlinien zu verhindern. Mithilfe von Jailbreaking-Techniken gelingt es Angreifern aber immer wieder, die Schutzmaßnahmen zu durchbrechen. Ganz ohne Vorkenntnisse geht es allerdings nicht. Man kann der KI nicht einfach sagen: „Schreib mir einen Exploit für eine neue Windows-Schwachstelle.“ Cyberkriminelle brauchen zumindest einen Proof of Concept, wie sich die Schwachstelle ausnutzen lässt, und den Source-Code vergleichbarer Malware, aus dem die KI lernen kann. Sind diese Voraussetzungen erfüllt, können die Angreifer allerdings sehr schnell Zero-Day-Schwachstellen ausnutzen.

Gezielte Datenexfiltration

LLMs erweisen sich für Cyberkriminelle auch bei Ransomware-Attacken als nützlich. Bisher exfiltrierten die Angreifer meist im großen Stil Daten, um anschließend in Ruhe zu prüfen, was sich als Erpressungsmaterial eignet. Solche extensiven Datenbewegungen sind jedoch auffällig und werden in der Regel von Monitoring-Systemen entdeckt. Mithilfe von KI können die Hacker dagegen unter dem Radar bleiben und fokussierter vorgehen. Dafür installieren sie während des Angriffs ein kleines lokales LLM im Netzwerk des Opfers. Die KI scannt die Daten in der Umgebung und ermittelt, welche am wertvollsten sind. So können die Angreifer gezielt die Goldstücke exfiltrieren und länger unbemerkt bleiben

KI als Schlüssel für ein ganzheitliches Security-Konzepts

Die KI-Transformation steht noch am Anfang, und die zukünftige Sicherheitslage ist schwer vorherzusagen. Fest steht jedoch, dass mit der Einführung von KI-Infrastrukturen auch die Angriffsfläche wächst und die Wahrscheinlichkeit steigt, dass Cyberkriminelle mit KI-Unterstützung Schutzmaßnahmen überwinden. Daher ist es entscheidend, KI-Sicherheit von Beginn an in ein umfassendes Security-Konzept zu integrieren. Dazu gehören kontinuierliches Cyber-Risikomanagement, präventive Maßnahmen, schnelle Angriffserkennung und effektive Incident Response.

Ein Plattform-Ansatz, der alle relevanten Sicherheitsfunktionen vereint und KI-gestützte Automatisierung ermöglicht, ist dabei unerlässlich. Auch Lösungen von Drittanbietern sollten integrierbar sein. So können Unternehmen ihre IT- und KI-Umgebung zentral überwachen, Daten ganzheitlich auswerten und schnell auf neue Risiken reagieren – unabhängig von der zukünftigen Entwicklung.