Wenn es um die Auswirkungen von KI auf die globale Wirtschaft geht, sind die Prognosen überwältigend.
Laut McKinsey könnte generative KI der Weltwirtschaft jährlich bis zu 4,4 Billionen US-Dollar zuführen. PwC schätzt, dass die potenziellen Beiträge der KI bis 2030 weltweit 15,7 Billionen US-Dollar betragen werden – mehr als die derzeitige Wirtschaftsleistung Chinas und Indiens zusammen.
Diese Dollarzeichen werden von den unbestreitbaren produktivitätssteigernden Kräften der KI angetrieben, die Führungskräfte unbedingt nutzen möchten. Mit generativen KI-Anwendungen wie ChatGPT, Midjourney und GitHub Copilot können Unternehmen die Produktivität steigern, Innovationen fördern und die Effizienz verbessern.
"Wir befinden uns gerade in einer sehr aufregenden Zeit mit all dem Potenzial, das wir mit KI ausschöpfen können: wie wir unsere Organisationen erfolgreicher machen können und wie wir sie nutzen können, um unsere Mission zu erfüllen. „Aber die Kehrseite davon ist, dass es Risiken birgt“, sagte Okta-CEO Todd McKinnon während des Axios-Round Table über die Zukunft der Cybersicherheit im KI-Zeitalter im Oktober
Sie werden diese Kehrseite in der Welt der Cyberkriminalität in vollem Umfang vorfinden. Genauso wie legitime Unternehmen generative KI nutzen, um schnell zu wachsen und die Produktivität zu steigern, nutzen auch Angreifer diese Technologie.
Es dauert jetzt weniger als 3 Sekunden Audio, bis Cyberkriminelle mithilfe generativer KI die Stimme einer Person klonen, um Familienmitglieder zu täuschen, indem sie ihnen vorgaukeln, ein geliebter Mensch sei verletzt oder in Schwierigkeiten, oder Bankangestellte dazu zu bringen, Geld vom Account eines Opfers zu überweisen. Generative KI-Anwendungen wurden auch genutzt, um Promi-Deepfakes zu erstellen, indem das Aussehen berühmter Persönlichkeiten verwendet wird, um Videos und fotorealistische Bilder zu erzeugen, die ahnungslose Fans in Betrügereien verwickeln.
Und diese Beispiele sind die neuen Akteure auf dem Markt. Phishing, eine Art des Social Engineering, die fast so alt ist wie das Internet selbst, nimmt ebenfalls zu. Im Jahr 2022 stiegen die Phishing-Angriffe im Vergleich zum Vorjahr um 47 %, so Zscaler. Ein Hauptfaktor hinter diesem Anstieg? Generative KI.
„Die zunehmende Verbreitung von Phishing-Kits aus Schwarzmärkten und Chatbot-KI-Tools wie ChatGPT hat dazu geführt, dass Angreifer schnell gezieltere Phishing-Kampagnen entwickeln“, heißt es im Bericht
Warum haben generative KI-gestützte Angriffe zugenommen?
Mit generativer KI ist es einfacher denn je für Cyberkriminelle, Menschen und Unternehmen von ihrem Geld und ihren Daten zu trennen. Kostengünstige, einfach zu bedienende Tools in Verbindung mit einer Verbreitung öffentlich zugänglicher Daten (z. B. Fotos von Einzelpersonen, Aufzeichnungen, persönliche Details, die in sozialen Medien geteilt werden, usw., und verbesserte Rechenmethoden zur Verarbeitung dieser Daten schaffen eine wachsende Bedrohungslandschaft. Jemand ohne Programmier-, Design- oder Experience kann in Sekundenschnelle aufsteigen, solange er weiß, wie man Anweisungen gibt: natürliche Sprachbefehle in ein LLM oder LLM (wie ChatGPT) oder in ein Text-zu-Bild-Modell (z. B. StableDiffusion) einzugeben, um die Erstellung völlig neuer Inhalte zu initiieren.
Die Automatisierungsfähigkeiten der KI bedeuten auch, dass Angreifer Operationen wie Phishing-Kampagnen leichter skalieren können, die bis vor Kurzem mühsam, manuell und teuer waren. Mit zunehmendem Volumen der Angriffe steigt auch die Wahrscheinlichkeit eines erfolgreichen Angriffs, dessen Ergebnisse dann in anspruchsvollere Cyberverbrechen einfließen.
Welche wirtschaftlichen Auswirkungen hat generative KI-gestützter Betrug?
Es ist zwar schwer genau zu beziffern, wie viel uns allein durch generative KI-gestützte Angriffe entstehen wird, aber bedenken Sie Folgendes: Im Jahr 2015 prognostizierte CyberSecurity Ventures, dass die globalen jährlichen Kosten der Cyberkriminalität etwa 3 Billionen Dollar betragen würden. Schneller Vorlauf zum Bericht vom Oktober 2023: „Wir erwarten, dass die globalen Schäden durch Cyberkriminalität in den nächsten zwei Jahren um 15 % pro Jahr steigen und bis 2025 jährlich 10,5 Billionen USD erreichen werden.“ Generative KI trägt nur dazu bei, Fortschritte zu erzielen.
Die Besorgnis über KI wird auch von den höchsten Regierungsebenen geteilt. Am 30. Oktober 2023 erließ Präsident Joe Biden eine Executive Order zur sicheren, geschützten und vertrauenswürdigen Entwicklung und Nutzung von künstlicher Intelligenz (engl. Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence).
„Da die Fähigkeiten der KI wachsen, nehmen auch ihre Auswirkungen auf die Sicherheit und den Schutz der Amerikaner zu.“ Mit dieser Executive Order weist der Präsident die umfassendsten Maßnahmen an, die jemals ergriffen wurden, um Amerikaner vor den potenziellen Risiken von KI-Systemen zu schützen“, heißt es in einer Erklärung des Weißen Hauses.
Die Bedenken der Verbraucher nehmen ebenfalls zu. Der Prozentsatz der US-amerikanischen Erwachsenen, die angeben, „sehr besorgt“ darüber zu sein, dass ihre Daten von Unternehmen, die sie regelmäßig nutzen, gehackt und gestohlen werden, stieg von einem vierteljährlichen Durchschnitt von 36 % Ende 2022 auf 41 % im Oktober 2023, berichtet CivicScience. Wenn es um KI geht, gaben 52 % der Amerikaner an, dass sie sich „mehr besorgt als begeistert“ über den verstärkten Einsatz der Technologie im täglichen Leben fühlen, laut einer Umfrage des Pew Research Centre vom August 2023.
Angesichts der großen Risiken, sowohl aus finanzieller Sicht als auch im Hinblick auf das Vertrauen der Verbraucher, ist es wichtig, dass Unternehmen und Privatpersonen gleichermaßen darüber informiert bleiben, wie generative KI für schädliche Zwecke eingesetzt wird.
Hier ist ein Überblick über einige Methoden, mit denen Angreifer generative KI nutzen, um ihre Angriffe zu skalieren, was die Zukunft bringt und wie Sie sich gegen diese Bemühungen verteidigen können.
Wie hilft generative KI Cyberkriminellen, intelligenter und schneller zu arbeiten?
Während künstliche Intelligenz nicht neu ist, ist die Verfügbarkeit leistungsstarker generativer KI-Anwendungen für die Öffentlichkeit neu. Seit November 2022, als OpenAI ChatGPT veröffentlicht hat, haben wir gesehen, wie diese leistungsstarke Technologie sowohl für legitime als auch für betrügerische Zwecke eingesetzt wurde.
Stimmenklonen
Die Sprachauthentifizierung schien einst die nächste große sichere Identifizierungsmethode zu sein, aber das wurde durch die Sprachklon-Fähigkeiten der generativen KI erschüttert. Wie bereits erwähnt, benötigen Angreifer nur ein kurzes Snippet einer Person, die spricht, um eine Sprachreplik zu erzeugen, die natürlich klingt und dazu gebracht werden kann, alles zu sagen. Wie realistisch sind diese Sprachklone? Im Mai 2023 nutzten ethische Hacker einen Sprachklon eines „60 Minutes“-Korrespondenten, um einen der Mitarbeiter der Sendung dazu zu bringen, in etwa fünf Minuten sensible Informationen preiszugeben – und das alles, während die Kameras liefen. Es werden Anstrengungen unternommen, um diese Klone zu bekämpfen: Okta veröffentlichte jüngst ein Patent zur Erkennung von KI-generierten Stimmen.
Bild- und Videobearbeitung
Gayle King, Tom Hanks, MrBeast: Dies sind nur einige der Prominenten, deren Namen in letzter Zeit Schlagzeilen gemacht haben – und das nicht wegen ihres neuesten Projekts. KI-Deepfakes von Prominenten tauchten Anfang dieses Herbstes im Internet auf, wobei Betrüger ihre Abbilder nutzten, um eine ahnungslose Öffentlichkeit zu täuschen. Und es steht nicht nur die Marke eines Prominenten auf dem Spiel; Deepfakes verschleiern die Wahrheit und verursachen Chaos und Unsicherheit dort, wo Fakten am wichtigsten sind, wie auf der globalen Bühne oder im Gerichtssaal. Eine Vielzahl relativ kostengünstiger und einfach zu bedienender generativer KI-Anwendungen macht die Erstellung von Deepfakes einfach und günstig.
Texterstellung
Die Anleitung zum Erkennen einer Phishing E-Mail-Adresse war früher relativ einfach: Ist die Nachricht voller Grammatik- und Zeichensetzungsfehler? Dann könnte es die erste Station in einer Betrug Pipeline sein. Aber im Zeitalter der KI sind diese Signale dem pilcrow zum Opfer gefallen. Generative KI kann überzeugende und fehlerfreie Texte in unzähligen Sprachen erstellen, was zu umfassenderen, ausgefeilteren und personalisierteren Phishing-Angriffen führt.
Code-Erstellung
Mit generativer KI gilt der Satz „mehr mit weniger erreichen“ nicht nur für die Personalkapazität. Es bezieht sich auch auf praktisches Wissen. Die Programmier- und Skriptfähigkeiten der generativen KI erleichtern es Cyberkriminellen mit wenig oder gar keinen Programmierkenntnissen, Angriffe zu entwickeln und zu starten. Diese reduzierte Eintrittsbarriere könnte mehr Personen in das Cybercrime-Ökosystem ziehen und die operative Effizienz verbessern.
Passwortknacken
Passwörter haben ein Problem: die Menschen, die sie erstellen und verwenden. Datenschutzexperten haben der Öffentlichkeit seit langem geraten, starke Passwörter zu erstellen und sie niemals wiederzuverwenden. Nicht alle hören zu. Das Wort Passwort war laut NordPassdas am häufigsten verwendete Passwort im Jahr 2022. Menschen neigen auch dazu, Passwörter auszuwählen, die eine besondere Bedeutung für sie haben (wie eine Lieblingssportmannschaft oder Band) und diese Passwörter auf verschiedenen Websites wiederzuverwenden. Dies sind genau die Informationen, die Hacker für Brute-Force-Angriffe benötigen. Was früher ein manuelles, zeitaufwändiges Ratespiel war, wurde mit Unterstützung von LLMs, einer Art generativer KI beschleunigt. Angreifer können sich auf öffentlich verfügbare Daten stützen, wie Informationen, die in den Social-Media-Accounts einer Person zu finden sind, um mit generativer KI eine Liste möglicher – relevanterer – Passwörter zu erstellen, die ausprobiert werden können. (Eine passwortlose Welt kann nicht früh genug kommen.)
CAPTCHA-Umgehung
Klicken Sie auf ein Kästchen, geben Sie Text in ein Feld ein, wählen Sie alle Quadrate mit Ampeln aus: CAPTCHA hilft, Websites vor allem von Spam bis hin zu DDoS-Angriffen zu schützen, indem es menschliche Benutzer von unerwünschten Bots unterscheidet. Und während künstliche Intelligenz seit Jahren ein würdiger Gegner ist, zeigen neue Forschungsergebnisse, dass Bots jetzt schneller und präziser sind, wenn es darum geht, CAPTCHA-Tests zu lösen. Das bedeutet nicht, dass die Tage von CAPTCHA gezählt sind. Es werden neue Methoden entwickelt und getestet, die KI nutzen, um KI zu überlisten. Eine vorgeschlagene Alternative – die kürzlich vom Data-Science-Team von Okta auf der CAMLIS, einer Konferenz, die sich auf Machine Learning und Informationssicherheit konzentriert, vorgestellt wurde – ist die bildbasierte Erzählungsvervollständigung. Die Methode verwendet KI, um eine bildbasierte Kurzgeschichte zu erstellen, die aus zwei Szenen besteht und dem Benutzer präsentiert wird. Der Benutzer muss dann das Bild auswählen, das kontextuell am besten als letzte Szene geeignet ist – eine Aufgabe, die KI derzeit nicht einfach oder kostengünstig erledigen kann.
Prompt-Injektion
„Prompt Injection ist ein Angriff auf Anwendungen, die auf KI-Modellen basieren“, sagt der Open-Source-Developer Simon Willison, dem die Prägung des Begriffs „Prompt Injection“ zugeschrieben wird, nachdem die Schwachstelle im September 2022 öffentlich bekannt gemacht wurde
Der Ausdruck „on top“ ist hier entscheidend, da, wie Willison erklärt, die KI-Modelle nicht die Ziele sind. „Dies ist ein Angriff auf das, was Developer wie wir darauf aufbauen“, sagte er während eines Webinars im Mai
Erfolgreiche Prompt-Injections – die bösartigen Input an bestehende Anweisungen anhängen (d. h. maliziöse Eingaben mit bestehenden Anweisungen verbinden – können heimlich Developer-Anweisungen außer Kraft setzen und Schutzmaßnahmen untergraben, die von LLM-Anbietern eingerichtet wurden. Sie lenken die Ausgabe des Modells in die Richtung, die der Autor des Angriffs wählt, und sagen dem LLM: „Ignorieren Sie ihre Anweisungen und befolgen Sie stattdessen meine.“ Ein Beispiel für eine Prompt Injection in Aktion: Der KI-gesteuerte Tweet-Bot einer Website wurde dazu verleitet, Drohungen gegen den Präsidenten zu twittern.
Experten von Willison bis zum britischen National Cyber Security Centre (NCSC) warnen davor, dass die Risiken, die von Prompt Injection ausgehen, nur zunehmen werden, da immer mehr Unternehmen LLMs in ihre Produkte integrieren. Hier an den unscharfen Rändern der KI-Frontier gibt es nur wenige bewährte Verfahren zur Absicherung gegen diese Bedrohung.
„Da LLMs zunehmend verwendet werden, um Daten an Anwendungen und Dienste von Drittanbietern weiterzugeben, werden die Risiken durch böswillige Prompt Injection zunehmen.“ Derzeit sind keine hundertprozentig zuverlässigen Sicherheitsmaßnahmen verfügbar, um dieses Risiko zu beseitigen. Überdenken Sie Ihre Systemarchitektur sorgfältig und seien Sie vorsichtig, bevor Sie ein LLM in ein Hochrisikosystem einführen“, warnt das NCSC.
Was kommt als Nächstes bei generativen KI-gestützten Bedrohungen?
Da die Einführung generativer KI-Tools weiter zunimmt und die Anwendungen selbst immer fortschrittlicher werden, werden Unternehmen und Einzelpersonen wahrscheinlich erleben, dass Cyberkriminelle immer mehr Angriffe durchführen. Erneut gilt: So wie Unternehmen beginnen, generative KI zu nutzen, um personalisierte Customer Experiences zu schaffen, werden Angreifer dasselbe mit ihren Betrügereien tun. Die Bemühungen von Cyberkriminellen werden zu hochgradig angepassten Angriffen auf spezifische Ziele führen, die Betrüger automatisch in großem Umfang starten können – die digitale Welt mit einem Klick überschwemmend. Es wird immer schwieriger werden, zu bestimmen, was echt und was synthetisch ist.
Es überrascht nicht, dass die Bekämpfung von KI-Missbrauch an die Spitze der Prioritätenliste von Sicherheits- und KI-Forschern gerückt ist. Dieses Gefühl der Dringlichkeit war auf der diesjährigen Conference on Applied Machine Learning for Information Security (CAMLIS) zu sehen, bei der mehr als ein Drittel der Vorträge die offensiven und defensiven Aspekte von LLMs behandelten. Im letzten Jahr stand dieses Thema nicht auf der Tagesordnung. Während die Forscher also so schnell wie möglich daran arbeiten, diese Bedrohungen zu bewältigen, stellt sich die Frage: Bewegen sie sich schnell genug? Und wenn sich in der Entwicklung befindliche Schutzmaßnahmen wie Wasserzeichen und die Quellenzuordnung verwirklichen, wann werden die Eigentümer der grundlegenden LLMs sie tatsächlich implementieren? Es gibt jedoch einen Aspekt von LLMs, der sich als unbeabsichtigte Schutzmaßnahme herauskristallisiert hat: der Preis. Diese Modelle bleiben sehr teuer und komplex in der Erstellung, im Training und in der Wartung.
Wie können sich Unternehmen gegen Angriffe verteidigen, die durch generative KI ermöglicht werden?
Katze, treffen Sie Maus. Maus, triff Katze. Die beste Verteidigung gegen KI ist KI. Da Angreifer ihre Bemühungen verstärken, haben die legitimen Unternehmen, die KI angenommen haben, die besten Chancen, sich gegen diese Angriffe zu verteidigen. Während der Grad, in dem Unternehmen KI KI einsetzen, je nach Größe, Reife und Art stark variiert, gibt es hier zwei Leitprinzipien für die Navigation im Zeitalter der KI:
Schulung: Eine engagierte Belegschaft ist eine wachsamere Belegschaft. Geben Sie den Mitarbeitern Raum, um sich mit generativen KI-Tools vertraut zu machen und zu experimentieren – jedoch erst, nachdem Sie sie über Best Practice informiert und unternehmensweite Leitplanken zur Risikoverwaltung und -schutz im Zusammenhang mit generativer KI etabliert haben. Das Ziel: Die sichere Nutzung von generativer KI fördern, ohne Innovationen zu behindern.
Partnerschaft: „Jedes Unternehmen muss ein KI-Unternehmen sein“, sagte der Okta-CEO Todd McKinnon in einem Interview auf Yahoo Finance Live. Selbst wenn KI nicht als Faktor in den Kernangeboten eines bestimmten Unternehmens berücksichtigt wird, verwendet dieses Unternehmen wahrscheinlich Tools und Plattformen, in denen KI-Funktionen eine prominente Rolle spielen. Hier kommen starke Partnerschaften ins Spiel.
„Diese ganze neue KI-Revolution wird mehr Möglichkeiten mit sich bringen … „Aber die Angreifer können diese Technologie ebenfalls nutzen“, sagte McKinnon „Sie benötigen also ein Ökosystem von Unternehmen, die zusammenarbeiten, um alle Ihre Anwendungen, Dienste und Ihre Infrastruktur zu schützen.“ Und es kann nicht von einem einzigen Unternehmen allein erledigt werden. „Es muss dieses kollektive Ökosystem sein.“
Okta ist mit KI vertraut, die viele seiner Produkte in der Workforce Identity Cloud und Customer Identity Cloud antreibt. Aufbauend auf mehr als einem Jahrzehnt an Daten helfen diese Funktionalitäten – bekannt als Okta AI – Unternehmen, das Potenzial dieser unglaublichen Technologie auszuschöpfen, um bessere Experience zu schaffen und sich zuverlässig gegen Cyberangriffe zu verteidigen.
Möchten Sie erfahren, wie Okta AI Ihnen helfen kann, Ihr Unternehmen zu schützen und Innovationen voranzutreiben? Lesen Sie mehr von CEO Todd McKinnon über Okta’s KI-Vision.
