Der Schein trügt nicht mehr

Chatbots und ihr Einfluss auf die Cybersicherheit

Der Hype um Chatbots mit künstlicher Intelligenz ist groß. Allerdings bringt die Technologie auch Cyberkriminelle aufs Parkett, die sich die neuen Möglichkeiten zunutze machen. Chester Wisniewski, Cybersecurity-Experte bei Sophos, gibt dazu Statements und Beispiele.

(Bild: ©Stratocaster/stock.adobe.com)

Der auf künstlicher Intelligenz basierende Chatbot ChatGPT macht weltweit Schlagzeilen – dabei steht auch die IT-Sicherheit im Fokus der Diskussionen. Denn trotz aller Sicherheitsbemühungen des Herstellers bringt die breitere Verfügbarkeit des Tools neue Herausforderungen mit sich, etwa wenn es um Phishing-Köder oder dialogorientierte Betrugsmaschen wie Romance Scams oder geschäftlich ausgerichtete Kompromittierungsangriffe via E-Mail geht.

Phishing-Köder mit KI verbessern

„Eines der größten Risiken besteht darin, dass Angreifer diese Plattformen nutzen, um die Qualität ihrer Phishing-Köder erheblich zu verbessern. Damit sind Phishing-Angriffe selbst für aufmerksame Nutzer immer schwieriger zu identifizieren“, so Chet Wisniewski vom Cybersecurityspezialisten Sophos. „Letztendlich liefern die immer besseren KI-Chatbots ein kostenloses Upgrade für alle Arten von Social-Engineering-Angriffen.“ Programme wie ChatGPT könnten dazu genutzt werden, kriminell orientierte, sehr realistische, interaktive Gespräche via E-Mail zu führen oder Chat-Angriffe über Facebook Messenger, WhatsApp oder andere Chat-Apps zu starten, sagt Wisniewski. Die größte Gefahr bestehe heute für die englischsprachige Zielgruppe. Es sei aber wahrscheinlich nur eine Frage der Zeit, bis neue Versionen verfügbar sind, um glaubwürdige Texte in allen häufig gesprochenen Sprachen der Welt zu erstellen. „Wir haben ein Stadium erreicht, in dem Menschen immer öfter nicht in der Lage sind, maschinengenerierte Prosa von der von Menschen geschriebenen zu unterscheiden – im Besonderen, wenn wir das Gegenüber nicht gut kennen.“

Nach Ansicht des Cybersecurityspezialisten sind die Zeiten, in denen sich Unternehmen darauf verlassen konnten, dass die Mitarbeiter eine aktive Rolle bei der Verteidigung gegen Cyberattacken spielen, in dem sie auf Grammatik- und Rechtschreibfehler oder seltsame Formulierungen achten, vorbei. Eines der letzten effizienten Elemente von Schulungsprogrammen werde durch Chatbots wie ChatGPT ausgehebelt. Wie, das zeigen die folgenden Beispiele:

Der originale Ködertext eines BEC-Betrügers (Business E-Mail Compromise), der versucht, den Gehaltsscheck einer anderen Person auf das Konto des Angreifers umzuleiten, ist relativ einfach als ’nicht echt’ zu erkennen. Im Vergleich dazu steht im Anschluss eine Variante, die durch die Eingabe der entsprechenden thematischen Eckpunkte von ChatGPT geschrieben wurde.

Standard Betrugs-E-Mail:

Hi ….,

I changed my banks because of my old account is no longer good to accept dd payment and I’ll like to change my paycheck direct deposit details, can the change be effective for the current pay date?

Thanks, ….

Von ChatGPT geschriebener Text:

Dear HR,

I am writing to request that you update my direct deposit information in the company’s payroll system. My current bank account information is no longer valid and I will be switching to a new bank.

Could you please let me know what information you need in order to update my direct deposit information? I am happy to provide any necessary details.

I would also like to request that this update be made in time for the next payroll period. Is there anything else I need to do to ensure a smooth transition?

Thank you for your attention in this matter. I appreciate your help in ensuring that my paychecks are deposited into the correct account.

Sincerely,

[Your name]

Und auch das folgende Beispiel für einen Geschenkkartenbetrug zeigt, wie weit KI-Chatbots mittlerweile sind.

Standard Betrugs-E-Mail:

Please, I need you to purchase gift cards. We have a few clients I want to send gifts to. How quickly can you arrange these? Because I need to send them out in less than 1 hour. So can I tell you which product we will need and the amount?

Thanks.

Von ChatGPT geschriebener Text:

Hey [Employee]

I hope you’re doing well. I’m reaching out because I need your help with something really important.

I have a client who needs a gift card ASAP, and I don’t have time to get it myself. Would you be able to pick up a gift card from [store or e-gift card website] for [amount] and send it to me via email as soon as possible?

I know this might be a bit of inconvenience, but I really appreciate your help in getting this taken care of quickly. If you have any questions of need more info, just let me know.

Thanks a ton for your help.

Take care,

„Beide Beispiele klingen wie die E-Mail einer realen Person, haben gute Zeichensetzung, Rechtschreibung und Grammatik. Sind sie perfekt? Nein. Sind sie gut genug? Auf jeden Fall! Da Betrüger bereits Millionen mit ihren schlecht gefertigten Ködern verdienen, lässt sich die neue Dimension dieser KI-gepushten Kommunikation leicht vorstellen. Stellen sie sich vor, sie würden mit diesem Bot über WhatsApp oder Microsoft Teams chatten. Hätten sie die Maschine erkannt?“, sagt Wisniewski.

KI kann den Menschen täuschen

Nahezu alle Anwendungsarten im Bereich KI seien bereits an einem Punkt angelangt, an dem sie einen Menschen in fast 100 Prozent der Fälle täuschen können, so die Sophos-Experten. Die Qualität des ’Gesprächs’, das mit ChatGPT geführt werden könne, sei bemerkenswert. Und auch die Fähigkeit, gefälschte menschliche Gesichter zu erzeugen, die (für Menschen) von echten Fotos fast nicht zu unterscheiden sind, sei ebenfalls bereits Realität.

„Wir alle müssen unsere Iron-Man-Anzüge anziehen, wenn wir den immer gefährlicher werdenden Gewässern des Internets trotzen wollen“, so Wisniewski. „Es sieht zunehmend so aus, als würden wir Maschinen brauchen, um zu erkennen, wenn andere Maschinen versuchen, uns zu täuschen. Ein interessanter Proof of Concept wurde von Hugging Face entwickelt, das Texte erkennen kann, die mit GPT-2 generiert wurden – was darauf hindeutet, dass ähnliche Techniken verwendet werden könnten, um GPT-3-Ausgaben zu erkennen.“

„Traurig aber wahr: KI hat den letzten Nagel in den Sarg des Endbenutzer-Sicherheitsbewusstseins geschlagen. Will ich damit sagen, dass wir ganz damit aufhören sollten? Nein, aber wir müssen unsere Erwartungen zurückschrauben. Es schadet auf keinen Fall, die bislang und oftmals immer noch geltenden Best Practices in Sachen IT-Sicherheit zu befolgen. Wir müssen die Benutzer dazu animieren, noch misstrauischer als bislang zu sein und vor allem auch fehlerfreie Mitteilungen gewissenhaft zu überprüfen, die den Zugang zu persönlichen Informationen oder monetäre Elemente enthalten. Es geht darum, Fragen zu stellen, um Hilfe zu bitten und sich die wenigen Momente zusätzlicher Zeit zu nehmen, die notwendig sind, um zu bestätigen, dass die Dinge wirklich so sind, wie sie scheinen“, sagt Wisniewski.

Das könnte Sie auch interessieren

Delinea, ein Anbieter für Privileged Access Management (PAM), beobachtet einen Strategiewechsel bei Cyberkriminellen. Anstatt ein Unternehmen mit Ransomware lahmzulegen und als Geisel zu nehmen, werden sensible Daten heimlich exfiltriert. Cyberkriminelle drohen dann häufig damit, die Daten an den Meistbietenden zu verkaufen oder sie zu nutzen, um eine Cyberversicherungszahlung zu erhalten.‣ weiterlesen

Welche Voraussetzungen müssen erfüllt sein, damit Anwender KI-Anbietern vertrauen können und deren KI-Lösung nutzen? Diese Frage steht im Mittelpunkt des Forschungsprojektes ‘TrustKI’, das Anfang 2023 am Institut für Internet-Sicherheit – if(is) der Westfälischen Hochschule gestartet ist. Erste Antworten liefert eine kürzlich ­abgeschlossene Anwender-Studie.‣ weiterlesen

Gemeinsam mit dem Institute of Technology Management der University of St.Gallen hat das WZL den?Status quo von Datenanalysen in der produzierenden Industrie untersucht. Die Autoren betonen die wachsende Bedeutung für die Industrie, aber auch den weiteren Forschungsbedarf.‣ weiterlesen

Ein neues Fabriklayout sollte im finnischen Industrieunternehmen Hydroline für optimierte Arbeitsabläufe sorgen. Doch eine zweidimensionale Planung am Bildschirm wurde diesem Vorhaben nicht gerecht. Per VR-Simulation gelang es dem Fertiger, die Planung immersiv zu gestalten und auch Designfehler zu entdecken, die am Bildschirm vielleicht unbemerkt geblieben wären.‣ weiterlesen

Von der Kostensenkung bis hin zu neuen Geschäftsmodellen: In der Analyse von Daten steckt viel Potenzial. Dennoch zögern Unternehmen oft. Zu groß erscheinen beispielsweise technische Einstiegshürden. Wie Unternehmen eine Basis-Datenstrategie schaffen, beschreibt dieser Beitrag.‣ weiterlesen

Automatisierte Lagersysteme sind eines der Steckenpferde des Automatisierungsspezialisten Lenze. Zusammen mit dem Fraunhofer IEM entwickelte die Firma jetzt einen KI-basierten Wartungsassistenten für ihre Hochregallager. So vermeidet das Unternehmen ungeplante Stillstände und spart Zeit und Kosten. Künftig sollen auch Kunden dieses System für ihre Intralogistik erwerben können. Gefördert wurde die Zusammenarbeit der Lenze-Tochter Encoway mit dem Fraunhofer IEM im It's OWL-Projekt Easy.‣ weiterlesen

KI, Smart Factories und 4D-Druck: Björn Klaas, Vice President and Managing Director von Protolabs Europe, gibt seine Einschätzungen zu den Fertigungstrends für 2024 ab.‣ weiterlesen

Genauso wie Menschen haben auch große KI-Sprachmodelle Merkmale wie Moral- und Wertevorstellungen. Diese sind jedoch nicht immer transparent. Forschende der Universität Mannheim und des Gesis – Leibniz-Instituts für Sozialwissenschaften haben untersucht, wie die Eigenschaften der Sprachmodelle sichtbar werden können und welche Folgen diese Voreingenommenheit für die Gesellschaft haben könnte.‣ weiterlesen

Die Kunststoffproduktion kann komplexe Formen und umfangreiche Workflows annehmen. Sind die Ansprüche an Reporting und Schichtplanung eher einfach, kann eine Verwaltung auf Papier und per Excel noch gut funktionieren. Soll aber beispielsweise eine Automotive-Produktionslinie digitalisiert werden, spielen der Digitalisierungsgrad und die Kommunikationsmöglichkeiten jeder einzelnen Maschine eine große Rolle - Papier ist da eher hinderlich. Der folgende Beitrag gibt Tipps, wie dieser Umstieg gelingen kann.‣ weiterlesen

Viele Produzenten werden in den nächsten Jahren Energie-Labels und digitale Produktpässe einrichten müssen. Auch die Energiepreise treiben nachhaltigere Prozesse voran. Der digitale Zwilling rückt als Datenmodell in den Fokus.‣ weiterlesen

Laut den einschlägigen Statistiken liegt die Zahl der kleinen und mittleren Unternehmen (KMU), die Roboter zur Automation ihrer Prozesse einsetzen, prozentual weit im einstelligen Bereich (3 Prozent laut statistischem Bundesamt in 2022). Gründe dafür können die Unübersichtlichkeit des Marktes, fehlendes Knowhow und Angst vor der Komplexität von Roboteranwendungen sein. Doch es gibt einige Möglichkeiten, den Einstieg in die Automation mit Robotern zu vereinfachen.‣ weiterlesen