KI-Heilsbringer oder Bedrohung?

Künstliche Intelligenz (KI) beschäftigt die Cybersecurity und das Cyber Risk Management nicht erst seit der Veröffentlichung von ChatGPT im November 2022. Vielmehr sind Technologien, die auf Machine Learning (ML) basieren, in Systemen wie End Point Protection, Next Generation Firewalls und Security and Information and Event Management (SIEM) schon geraume Zeit im Einsatz. Warum also müssen sich Management und Experten mit dem Thema KI in der Cybersecurity und dem Cyber Risk Management „ganz neu“ auseinandersetzen

Bedrohung durch KI – Kein Tag ohne Horrormeldung

Der Videocall
“Finance worker pays out $25 million after video call with deep-fake ‘chief financial officer’”, berichtete CNN am 4. Februar 2024. Wie die Hongkonger Polizei mitteilte, hatte ein Finanzmitarbeiter des betroffenen Unternehmens zunächst eine E-Mail erhalten, die angeblich vom CFO des Unternehmens aus UK stammte. In dieser E-Mail war von einer geheimen Transaktion die Rede. Das ließ den Mitarbeiter misstrauisch werden. In der Folge wurde der Finanzmitarbeiter zu einer Videokonferenz eingeladen, an der mehrere, durch Deepfake generierte Personen – vermeintliche Mitarbeiter des Unternehmens – teilnahmen. Aufgrund der Annahme, er spräche mit realen Personen, überwies er anschließend die geforderten HK$ 200 Millionen (ca. US$ 25 Millionen).

Die Ankündigung
OpenAI verkündete am 29. März 2024 in ihrem Blogpost „Navigating the Challenges and Opportunities of Synthetic Voices” die freie Nutzung ihrer Voice Engine an. Diese benötigt nunmehr nur noch ein 15 Sekunden lange Tonaufnahme, um daraus eine „emotionale und realistische Stimme“ zu generieren. Die Hürden für Angreifer werden also immer niedriger, Technologien einzusetzen, bei denen Opfer nicht mehr ohne Weiteres zwischen Mensch und Maschine unterscheiden können – die Kehrseite der schönen neuen KI-Welt.

Die Hilflosigkeit
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt in Bezug auf die Maßnahmen gegen Deepfakes fest, dass ein Problem darin bestehe, „dass diese entweder nicht in allen Situationen angewendet werden können und in der Regel keinen vollständigen Schutz bieten.“

Der Rettungsversuch
Entgegengesetzt zu kriminalistischen Motiven, lässt sich KI jedoch auch zur Kriminalitätsbekämpfung einsetzen. Wie die Association of Certified Fraud Examiners (ACFE) in ihrem aktuellen Anti-Fraud Technology Benchmarking Report aufzeigt, wird erwartet, dass sich die Nutzung von KI und ML in der Betrugsbekämpfung in den nächsten zwei Jahren verdreifacht. Laut ACFE werden bis zu 83% der Unternehmen den Einsatz von generativer KI als Teil ihrer Betrugsbekämpfung einsetzen. Es kann also erwartet werden, dass in den nächsten Jahren ein immenser Anstieg der konkreten Nutzung von KI und ML in der operativen Fraud Detection und Prevention stattfindet. Damit wird sich KI in der Betrugserkennung mit hoher Wahrscheinlichkeit zu einer State-of-the-art-Technologie entwickeln – ein echter Lichtblick.

Bedrohliche Aussichten
Doch nicht nur bei Deepfakes setzen Hacker auf KI. In vielen anderen Bereichen hat KI den Hackern neue Möglichkeiten eröffnet, um große Datenmengen aufzuarbeiten. Sowohl beim Data Mining, als auch beim Social Engineering und Phishing setzen Hacker auf KI. Die KI unterstützt bei der Analyse großer öffentlich oder im Darknet verfügbarer Datenmengen, um z. B. personalisierte Phishing-E-Mails zu erstellen. Die KI-gestützten Sprachmodelle heben die Formulierungen dabei auf ein nie erahntes Niveau, das Betrugsversuche noch überzeugender macht. Die Daten aus sozialen Netzwerken und anderen verfügbaren Quellen liefern den Hackern persönliche Anknüpfungspunkte und Hinweise auf das persönliche Umfeld. Auf diese Weise erstellte Phishing-E-Mails können selbst durch versierte Anwender nur äußerst schwer erkannt werden. Auch bei der Malware Detection Evasion setzen Hacker auf die selbstlernenden Fähigkeiten von KI. Diese ermöglichen es aktueller Malware, sich anzupassen, weiterzuentwickeln und so
ihre Präsenz zu verschleiern. Diese stetige transformative Weiterentwicklung macht es immer schwieriger Malware mit statischen Tools zu entdecken.

Auch wenn KI nach dem freiwillig anzuwendenden „Artificial Intelligence Risk Management Framework“ der NIST (National Institute of Standards and Technology) um verantwortungsvollen Design, Entwicklung und Nutzung eingesetzt wird, sind die KI-Modelle nicht gänzlich vor Bedrohungen gefeit. Egal ob im Business oder in der Cybersecurity– KI kann gehackt, ungewollt beeinflusst werden und es kann zu ungewolltem Datenabfluss kommen. Die Schäden können, je nach Anwendung, beträchtlich sein. Die MITRE Adversarial Threat Landscape for Artificial-Intelligence Systems (ATLAS) bildet als Wissensbasis mehr als 50 Taktiken und Techniken von Angreifern gegen KI-gestützte Systeme ab, die größtenteils auf realen Angriffen beruhen.

Auch auf Seiten der Angreifer wird also stetig weiter „aufgerüstet“ – die Aussichten für einen sicheren Einsatz von KI sind also weiterhin trüb und der potenzielle Einsatz mit deutlichen Risiken behaftet.

KI als Heilsbringer

KI macht Security effizienter
Am 13. März 2024 stellte Microsoft mit „Copilot for Security“ die nach eigenen Angaben branchenweit erste generative KI-Lösung für Security-Experten in Aussicht. Copilot basiert demnach auf Daten aus mehr als 78 Billionen Sicherheitssignalen, die von Microsoft täglich verarbeitet werden. Laut der Microsoft-Studie “Randomized Controlled Trial for Copilot for Security” konnten durch den Einsatz von Copilot for Security signifikante Verbesserungen bei der Effizienz und Effektivität von Aufgaben im Bereich Analyse, Incidents und Response erzielt werden.

Auch bei Endpoint Detection and Response sowie Security Incident and Event Management Systemen (SIEM) der führenden Anbieter wird bereits seit längerem auf Machine Learning und seit einiger Zeit auch auf generative KI gesetzt, um die Anomalie-Erkennung zu verbessern und automatisiert die Ausführung von schadhaftem Code zu unterbinden oder den Security-Experten möglichst effiziente Handlungsoptionen zu liefern. Eine Vollautomatisierung wird in diesem Bereich noch nicht in breiterem Maße angewandt – eventuell auch aufgrund möglicher Einschränkungen bei der Herleitung von Entscheidungen bei generativer KI.

Tatsache ist, die Komplexität der IT-Landschaft, die Menge und Varianz an Logdaten in großen Netzwerken sowie die Geschwindigkeit der sich verändernden Angriffe, machen den Einsatz von KI in aktuellen IT-Landschaften unverzichtbar. KI hat sich als „Manager der Komplexität“ in einer breiten Masse an aktuellen Sicherheitslösungen bewährt und vereinfacht die Arbeit der Security-Experten maßgeblich

KI macht Risk Management einfacher und schlauer
Laut des “Global Risk Survey 2023” der Wirtschaftsprüfungsgesellschaft PWC sehen deutsche Unternehmen Cyber-Risiken mit 48 Prozent als größte Bedrohung für ihre Organisation. Gleichzeitig sehen 64 Prozent der deutschen Unternehmen generative KI als Chance für die eigene Organisation. 50 Prozent der Befragten wollen in den nächsten ein bis drei Jahren in Künstliche Intelligenz, Machine Learning und Automation investieren, um Risiken zu mitigieren.

Warum also auf KI setzen? Im Risikomanagement-Prozess haben Unternehmen immer wieder mit einer Reihe von Challenges wie unklarem Risikokontext, nicht definiertem Risikoappetit, unzureichender Risikoidentifizierung, Subjektivität, Komplexität, fehlenden Ressourcen und unzureichenden Informationen zu kämpfen. Hierdurch wird das Risikomanagement als maßgeblich steuerndes Element der Cybersecurity in Unternehmen vor stetige Herausforderungen gestellt und wird im schlimmsten Fall selbst zum Risiko für die Business Continuity.

Ein KI-gestütztes Risikomanagement kann bei der Identifizierung und Bewertung von Risiken unterstützen. Beispielsweise können Muster und Korrelationen historischer Projektdaten als Basis für die Identifizierung und Ermittlung der Eintrittswahrscheinlichkeit von Risiken bei aktuellen Projekten verwendet werden.

Des Weiteren können auf Basis historischer Projekt- und Prozessdaten sowie ergänzender Daten zu relevanten externen Faktoren Prognosemodelle zur prädiktiven Risikoerkennung erstellt werden. In KI-basierten Szenarioanalysen können Risikominderungsstrategien erarbeitet werden, indem verschiedene Szenarien simuliert und deren potenzielle Auswirkungen analysiert werden.

KI im Risikomanagement wird den Risk Manager in Zukunft also maßgeblich bei der Objektivierung und Verringerung der Komplexität im Risikomanagement-Prozess unterstützen. Wird also mithilfe von KI doch alles besser?

Der bedrohliche Heilsbringer
Auch auf Seiten der Angreifer wird stetig weiter „aufgerüstet“ – die Aussichten für einen sicheren Einsatz von KI sind also weiterhin bedrohlich. Gleichzeitig bietet KI die Möglichkeit, die gestiegene Komplexität und Menge der Informationen zu managen und eröffnet neue Möglichkeiten in der Security und im Risikomanagement.

Klar ist, dass Unternehmen ohne den Einsatz von KI keinen dauerhaften Bestand gegen die KI-basierten Bedrohungen haben werden. Dabei kommt bei generativer KI dem Human-in-the-Loop eine signifikante Rolle zu – bei kritischen Entscheidungen ist weiterhin die Möglichkeit eines manuellen Eingriffs von Security- oder Risk-Management-Experten vonnöten, um falsche Entscheidungen der KI (basierend auf den statistischen Methoden) zu vermeiden.

CIOs, CISOs, Risk Manager und Information Security Manager sollten sich zwingend und zeitnah mit beiden Seiten des bedrohlichen Heilsbringers KI auseinandersetzen. Auch die Beratung des Business in Bezug auf die mit der Nutzung von KI einhergehenden Risiken zählt zu einer der wichtigsten Aufgaben zur Sicherung der Business Continuity.

Entsprechend gilt: Begegnen Sie der Bedrohung mit Innovation!