Für viele Unternehmen sind fortschrittliche Programme wie ChatGPT eine echte Arbeitserleichterung – die künstliche Intelligenz optimiert Prozesse quasi von selbst. Doch die technische Entwicklung versetzt Experten in Alarmbereitschaft. „Auch den Hackern nimmt ChatGPT zum Teil die Arbeit ab und kann die Quantität und Qualität von Attacken deutlich erhöhen“, mahnt Florian Dalwigk.
„Wer die richtigen Befehle kennt, kann KI auch für illegale Aktivitäten nutzen – Hacker werden ohne Zweifel Gebrauch davon machen. Um sich schützen zu können, müssen Unternehmen begreifen, auf welche Art und Weise solche Angriffe ablaufen.“ Florian Dalwigk ist Leiter der IT-Security in der Developer Akademie, die jährlich hunderte junge Talente zu IT-Spezialisten ausbildet. Im folgenden Artikel zeigt er auf, wie Hacker ChatGPT für ihre Zwecke nutzen – und wie man sich vor der neuen Gefahr schützen kann.
Phishing und Co: Wie künstliche Intelligenz den Datenraub unterstützt
Eine Bank teilt in einer dringenden Mail ihren Kunden mit, dass sie die Zugangsdaten für ihr Online-Banking ändern müssen. Die Mail sieht seriös aus, ist in fehlerfreiem Deutsch verfasst, das Logo ist vertraut. Und das Beste: Um weitergeleitet zu werden, müssen die Empfänger nur kurz auf einen Button klicken, um die Sache schnell zu erledigen. Und schon ist es passiert. Nutzer, die einer solchen E-Mail vertrauen, könnten Hackern die Möglichkeit geben, ihr Konto leerzuräumen.
Die Methode dahinter heißt Phishing. Hacker geben sich als seriöse Kommunikationspartner aus, um an sensible Daten wie Pins und Passwörter zu gelangen. Ähnlich funktioniert das Typo Squatting. Jedem unterlaufen hin und wieder Tippfehler. Wer nicht aufpasst, kann in einem Shop landen, der „Amazob“ heißt, statt „Amazon“ – und dort ahnungslos seine Zugangsdaten eingeben. Der Hintergrund: Hacker reservieren Domains mit Tippfehlern, die häufig vorkommen, um an Kundendaten zu gelangen.
Tricks wie diese sind keine Erfindung der künstlichen Intelligenz. Sie sind durch ChatGPT nur um vieles leichter umzusetzen. Denn das Programm braucht nur ein paar einfache Befehle, um die Webseiten vertrauter Branchenriesen zu klonen oder täuschend echte E-Mails zu generieren, die den Empfängern Vertrauen einflößen. ChatGPT generiert Listen mit häufig vorkommenden Tippfehlern, fügt Logos und Buttons ein und brilliert mit natürlicher und fehlerfreier Sprache, die nicht mehr als das Ergebnis einer Übersetzungsmaschine am anderen Ende der Welt zu identifizieren ist. Für Hacker ist es durch die technische Entwicklung also so einfach wie nie, ahnungslose Nutzer im Internet in die Irre zu führen.
Cyberkriminalität wandert auch ins reale Leben
Für viele Menschen ist es inzwischen selbstverständlich, Social Media wie ein Tagebuch zu benutzen. Fabian Schmidt postet über seine Leidenschaft für Handball, träumt öffentlich von einem Urlaub auf den Malediven und natürlich kann bei Facebook jeder sehen, wo er arbeitet und wie seine Lebensgefährtin heißt. ChatGPT sammelt all diese Daten, um Listen mit Passwörtern zu erstellen, die er wahrscheinlich verwenden würde. Hacker brauchen also keine große Rechnerleistung mehr, um mit Zufallsgeneratoren in langwierigen Verfahren Passwörter zu knacken – oft reicht eine einfache, schnelle Recherche mit der KI.
Noch schlimmer wird es, wenn der Enkel-Trick ins Spiel kommt. Betrüger können sich als Freunde Fabians ausgeben und seine Oma am Telefon in Angst und Schrecken versetzen – und sie bitten, schnell ihr Erspartes zu überweisen, weil Fabian dringend Hilfe braucht. Eine glaubwürdige Geschichte generiert schließlich ChatGPT mit den Fakten, die Fabian selbst veröffentlicht hat.
Wenn die KI selbst gehackt wird
Eine ganz neue Art des Hackens entsteht für Angreifer mittlerweile mit der sogenannten „Prompt Injection“. Hierbei werden KI-Anwendungen selbst gehackt, indem bei der KI ein Fehlverhalten ausgelöst wird. An einem Beispiel soll dies verdeutlicht werden: Ein Hacker möchte an Verschlusssachen von Teslas Software gelangen. Er gibt sich ChatGPT gegenüber nun als Elon Musk aus und schafft es, die Filtermechanismen zu hintergehen und an die Daten zu gelangen. Unternehmen sollten daraus eine wichtige Lektion ziehen: KI-Anwendungen niemals den Zugriff auf zu viele Informationen zu gewähren.
Der beste Schutz gegen Cyberkriminalität ist „Awareness“
Je leichter es wird, uns auszutricksen, umso wichtiger ist Wachsamkeit. Ein Bewusstsein dafür zu entwickeln, dass Misstrauen im Internet angebracht ist, ist der beste Schutz. Längst nicht alle privaten Details müssen auf Social Media geteilt werden. Hacker könnten sie gegen uns verwenden. Aber auch wohlmeinende Menschen können ChatGPT nutzen – um sich zu schützen.
So kann das Programm zum Beispiel E-Mails analysieren und Phishing-Mails entlarven. Für die Betreiber von Webseiten ist die KI ebenfalls hilfreich. Denn ChatGPT wurde mit unzähligen Codes gefüttert und erkennt Sicherheitslücken schneller als jeder erfahrene Programmierer. Und Senioren darüber aufzuklären, dass nicht jeder, der am Telefon eine traurige Geschichte erzählt, auch gute Absichten hat, ist wichtiger denn je.
Über Florian Dalwigk:
Florian Dalwigk ist ein erfahrener Hacker und Leiter für die IT Security Schulungen in der Developer Akademie. Die Developer Akademie bildet Quereinsteiger zu Software Entwicklern innerhalb von wenigen Monaten weiter. Außerdem gibt es für IT-Affine spezialisierte Schulungen zu IT-Sicherheitsexperten. An der Developer Akademie bilden die IT-Experten Menschen aus allen Branchen aus, die sich für die IT begeistern, sich einen Job mit Zukunftsperspektive wünschen und ihr berufliches Potenzial voll entfalten möchten. Auf dem Arbeitsmarkt sind gut ausgebildete Software Entwickler und IT-Sicherheitsexperten überall gesucht. Die Quereinsteiger sind im Schnitt bereits nach sechs bis neun Monaten Weiterbildung bei den IT-Experten bereit für den Arbeitsmarkt. Weitere Informationen dazu unter: https://developerakademie.com.