KI macht Angriffe auf Unternehmen einfacher – und gefährlicher

Ein Unternehmen in den USA suchte einen Programmierer für sein KI-Team. Es schrieb die Stelle aus, sichtete Bewerbungen und Lebensläufe, führte (Online-)Bewerbungsgespräche, checkte Angaben und Referenzen, stellte schließlich einen Entwickler ein und schickte diesem einen Firmenrechner.

Doch sobald der neue Mitarbeiter die Workstation erhalten hatte, begann er, dort Malware aufzuspielen. Das Sicherheitsteam bemerkte das und fragte beim Neuzugang an, ob er Unterstützung brauche – da verschwand der Mann vom Radar. Eine Untersuchung ergab: Der Neuling war ein Industriespion aus Nordkorea. Er hatte die Standardprüfungen vor der Einstellung ohne Beanstandung durchlaufen, und zwar mittels einer gestohlenen Identität aus den USA und einem per KI manipulierten Portraitfoto. Eine Infiltration konnte gerade noch gestoppt werden.

Die besondere Pointe an diesem Vorfall: Das Unternehmen ist einer der größten Anbieter von Security-Awareness-Trainings, also von Schulungen, um Mitarbeitende für die Methoden von Cyberkriminellen zu sensibilisieren. Deshalb sollte diese Geschichte uns allen eine Warnung sein: Wenn die Personalabteilung eines renommierten Security-Awareness-Spezialisten auf KI-gestützten Betrug hereinfällt, dann kann das jedem anderen Unternehmen auch passieren!

Schon seit den Anfangszeiten der IT waren zwei der Hauptrisiken Phishing (betrügerische E-Mails oder Messages) und Social Engineering (das Ausnutzen sozialer Verhaltensweisen wie Höflichkeit, Neugier oder auch der Angst, sich unbeliebt zu machen). So erlangte z.B. der berühmte Hacker Kevin Mitnick Ende der 1970er-Jahre den Quellcode von DEC (damals einer der wichtigen IT-Ausrüster) – nicht etwa durch aufwendiges Hacking, sondern durch Social Engineering: Er hatte einfach den Systemmanager kontaktiert und vorgegeben, der Chefentwickler des Betriebssystems zu sein und sein Passwort vergessen zu haben.

Derartiges Vorgehen – ob es auf Finanzbetrug abzielt, auf Industriespionage oder Sabotage – wird für Cyberkriminelle dank KI nun viel einfacher. Wir alle wissen inzwischen, wie schnell z.B. ChatGPT Texte verfassen kann – und für eine Phishing-E-Mail braucht eine KI auch nicht länger als für ein Shakespeare-Sonett. ChatGPT-Entwickler OpenAI hat zwar Hürden gegen Missbrauch eingebaut, doch Angreifern gelingt es, diese regelmäßig zu umgehen: entweder durch geschickt formulierte Anweisungen (Prompts) oder durch eines der vielen Angebote im Darkweb, die dafür konzipiert sind, Missbrauchsbeschränkungen auszuhebeln.

KI erleichtert Cyberkriminellen ihre Angriffe nicht nur, sondern beschleunigt sie auch. Manches lässt sich sogar automatisieren. Das bedeutet: Kein Unternehmen ist vor KI-gestützten Phishing- oder Ransomware-Angriffen gefeit. Das Argument „Wir sind als Unternehmen viel zu klein, als dass Cyberkriminelle uns ins Visier nehmen würden“ hat längst ausgedient. Es ist der schier grenzenlosen Skalierbarkeit von Cloud- und KI-Ressourcen zum Opfer gefallen.

Gleiches gilt auch für die Sprachbarriere. Lange Zeit konnten Unternehmen sich hierzulande zumindest vor dem Großteil gezielter Cybercrime-Operationen sicher wähnen, nämlich wenn solche Angriffe eine gute Kenntnis der deutschen Sprache voraussetzten. Doch auch hier krempelt KI alles um: Wer DeepL oder Google Translate kennt, der weiß, welch hohes Niveau KI-gestützte Übersetzungen heute erreichen – und von hier ist es nur ein kleiner Schritt zur KI als Echtzeit-Dolmetscher. Laut einem Bericht des Security-Spezialisten Trend Micro kursieren im Darkweb bereits diverse KI-Werkzeuge, um Aussehen, Stimme und Sprache bei Online-Konferenzen für Betrugszwecke zu fälschen.