Tatort: Online – Cyberangriffe mit KI

OÖW: Wie gehen Täter bei Cybercrime unter Einsatz von künstlicher Intelligenz (KI) vor? 

Jilka: Die eigentliche Frage dazu ist, wie Cyberkriminelle ihr Geld verdienen. Kriminelle Organisationen, wie z.B. Lockbit, Ragnar oder Conti, haben ein Geschäftsmodell, dass den Diebstahl sowie die Verschlüsselung von relevanten Daten in den Fokus legt, denn dort lässt sich viel Geld von den Unternehmen erpressen. Hinter all diesen Aktionen stehen kriminelle Hacker und Partner von diesen Gruppen, die mit ihren Tools in die Unternehmen eindringen und dann die Erpressung starten. 

Aktuell ist die Qualität und der Informationsgewinn durch Hacker-KI-Tools noch nicht auf einem Niveau, dass diese flächendeckend zum Hacken eingesetzt werden. Die Hacker befinden sich genauso wie Wirtschaftsbetriebe in einer Evaluierungs- und Lernphase. Hacker haben  aber de facto ChatGPT kopiert und haben in gleicher Qualität WormGPT im Einsatz. Das Ergebnis von WormGPT sieht man bei perfekt generierten Phishing E-Mails, SMS und Chats. Mittlerweile sind Absendeadressen, Logos, Kontaktdaten sowie deutsche und englische Texte korrekt und zum Teil individualisiert. Die jüngsten Beispiele wie u.a. gefakte Paypal-Mails zeigen dies beeindruckend. Selbst als IT-Experte sind solche Texte nicht mehr auf den ersten Blick erkennbar. Hier bedarf es mehrere Sicherheitsmaßnahmen in Unternehmen, wie z.B. DMARC, um eine gesicherte Kommunikation zwischen Unternehmen zu gewährleisten (Anm. der Redaktion: DMARC ist ein Instrument zur Authentifizierung von E-Mails). 

OÖW: Wie häufig kommen Betrugsfälle mit KI vor? Wie viele Unternehmen sind in OÖ davon betroffen?

Jilka: Die Feststellung von Vorfällen ist schwierig und die Dunkelziffer unbekannt. Aktuelle Studien, wie z.B. von KPMG, bestätigen aber einen starken Anstieg der Hacking-Angriffe unter Verwendung von Deepfakes in Form von Sprach- und Videonachrichten. Innerhalb des letzten Jahres haben sich diese Fälle mehr als verdoppelt (+119 Prozent). Generell hat sich auch  die Trefferquote der Angreifer gegenüber dem Vorjahr alarmierend erhöht. Jeder sechste Cyberangriff führt zum Ziel. Jedes dritte Unternehmen (33 Prozent) hat zumindest einmal die Lösegeldforderung im Zusammenhang mit einem Ransomwareangriff bezahlt.

Grundsätzlich kann man sagen, dass jedes Unternehmen jeder Größe mit relevanten Daten interessant für eine Cyberattacke ist und das Eindringen immer dort passiert, wo es am leichtesten ist. Auch Hacker wollen sich nicht anstrengen. Dazu werden zuerst die IP-Adressen von Unternehmen automatisiert durch Tools von extern gescannt, anschließend die dahinterliegenden Versionen von z.B. Firewalls und deren Schwachstellen geprüft und dann der Angriff gestartet.

OÖW: Was ist in Zukunft zu erwarten?

Jilka: Wenn man sich die Entwicklungen der GPT-Versionen von 2021 bis Mai 2024 (Version 4) ansieht, stellt man eine Steigerung von ca. 25 Prozent fest. Das ist über einen Zeitraum von drei Jahren überschaubar, doch was mit der GPT Version für November 2024 kommt, ist ein sprunghafter Anstieg der Leistungsungsfähigkeit von über 100 Prozent in gerade einmal knapp 6 Monaten.

Videos des neuen GPT zeigen die hohe Qualität einer Unterhaltung mit intelligenter Interaktion in Bild, Text und Ton. Die KI reagiert so individuell und schnell wie ein Mensch auf das Gesagte. Weiters erkennt die KI auch, wo der Gesprächsteilnehmer sitzt, und kann daraus Rückschlüsse ziehen. Das ist ein beeindruckender Fortschritt, der zum Guten wie zum Bösen verwendet werden kann.

Zudem gibt es bereits unterschiedliche Anwendungen, wie z.B. HyGen.com, wo ein täuschend echter künstlicher Avatar von jeder Person erstellt werden kann. Dort kann man für sich selbst ausprobieren, ob man seine eigene künstliche Stimme und Bild wiedererkennen würde. Mit diesen Beispielen kann man sich bestens vorstellen, wie sich Cyberkriminelle diese Werkzeuge ebenso zunutze machen werden. Voriges Jahr gab es punktuelle Missbräuche, wie zum Beispiel ein Deepfake von Elon Musk, worin er zum Kauf von Produkten auffordert. Bereits dieses Jahr gab es eine intelligente Sprachnachricht in einem WhatsApp-Chat, wo ein Manager in einem asiatischen Konzern eine Zahlungsanweisung freigibt. Dort war die Kombination aus Chat und Audionachricht das Neue. Der Manager wurde überigens zur Audionachricht befragt und bestätigte, dass das definitiv seine Stimme ist, er dies allerdings nie gesagt hat. Noch sind die Vorfälle dazu vereinzelt, doch man kann davon ausgehen, dass diese in den nächsten Monaten stark zunehmen werden. 

OÖW: Wie können sich Unternehmen davor am besten schützen?

Jilka: Wichtig ist, das IT-Risiko im Unternehmen zu kennen. Dazu gehören Informationen über Geräte, Anwender, Kundensysteme, Server, Betriebssysteme, Apps oder Cloud Dienste – überall dort stehen Daten bereit. Wichtig dabei ist das Risiko für Cyberattacken (= CyberRisk) sichtbar, messbar und klar zu machen, sprich verständlich für den Manager und die IT-Teams und zwar unternehmesweit und systemübergreifend. Folgende Vorgehensweisen senken das Risiko:

1. Kontinuierliches CyberRisk-Management mit täglichen Live-Daten im gesamten Unternehmen (innerhalb von 24 Stunden, vollautomatisch ein Risikobild)

2. Die Umsetzung von Standards wie dem KSÖ, dem IT-Sicherheitshandbuch und den BSI-Vorgaben sowie die Einhaltung von Vorschriften wie dem EU Cyber Resilience Act und der NIS-2-Richtlinie und Zertifizierungen wie ISO 27001 und TISAX.

3. Einbinden von externen Experten zum Quick-Check der IT-Sicherheit (huddlex.at/experts-groups/experts-
group-it-security)

Zudem kann jeder für sich ganz einfach privat und beruflich prüfen, ob für den Zugang bei Cloud-Diensten neben Login und Kennwort auf eine zweite Sicherheitsstufe mit Multi-Faktor-Authentifizierung (= MFA) aktiviert ist. Jeder sollte für jeden seiner Cloud Dienst unbedingt MFA aktivieren. So wird ein wertvoller Beitrag zur Sicherheit geleistet, denn Cyber-Attacken erfolgen mittlerweile gezielt über Social Media und private Accounts.