ChatGPT-gestütztes Phishing erkennen und abwehren
Der kometenhafte Aufstieg von ChatGPT und ähnlichen generativen KI-Tools ist die jüngste Entwicklung im konstanten Wettrüsten zwischen Cyberangreifern und -verteidigern. Leichter als je zuvor lassen sich nun täuschend echte Phishing-Nachrichten erzeugen, die nicht mehr durch schlechte Rechtschreibung erkennbar sind. ChatGPT-Attacken sind dennoch nicht die ultimative Hiobsbotschaft für Sicherheitsverantwortliche, die selbst auf KI setzen: Large Language Models erkennen derart generierte Texte und schützen so Unternehmen und Mitarbeiter.
ChatGPT hat die Welt seit Ende November im Sturm erobert und berechtigte Sorgen über sein Potenzial ausgelöst, die Komplexität der Cyberbedrohungen massiv zu erhöhen. Der Aufstieg generativer KI-Tools bedeutet also auch eine weitere Eskalation im konstanten Wettrüsten zwischen Cyberangreifern und -verteidigern. Werkzeuge wie ChatGPT heben die Bedrohung durch Phishing und Social Engineering auf ein neues Level. Höchste Zeit für Unternehmen, ihre Sicherheitsstrukturen zu überprüfen und entsprechend aufzurüsten – und das gilt für Mensch wie Maschine gleichermaßen.
Spätestens jetzt sollten Organisationen bei ihrer Cyberabwehr auf künstliche Intelligenz und maschinelles Lernen setzen und die Kriminellen sozusagen mit ihren eigenen Waffen schlagen. Neben der technischen Komponente darf außerdem eine andere kritische Schwachstelle nicht übersehen werden: der Faktor Mensch. Durch gezielte und regelmäßige Mitarbeiterschulungen zur Sensibilisierung für Cyberbedrohungen lässt sich das Risiko für menschliche Fehler erheblich reduzieren.
Automatisiertes Phishing ist keine Wunderwaffe
Die meisten "herkömmlichen" Phishing- und Social-Engineering-Angriffe beruhen auf allgemeinen Vorlagen, die gängige Schlüsselwörter und Zeichenfolgen enthalten und leicht von Sicherheitstools erkannt und blockiert werden. Diese Kampagnen – ob sie nun per E-Mail oder über Collaboration-Tools wie Slack und Microsoft Teams zur Ausführung kommen – verfolgen oft einen Spray-and-Pray-Ansatz. Das Resultat ist meist eine niedrige Erfolgsquote.
Mit generativen KI-Tools wie ChatGPT können Cyberkriminelle jedoch nun das Large Language Model (LLM) des Systems nutzen, um von universellen Formaten abzuweichen und stattdessen das Erstellen völlig einzigartiger Phishing-Mails mit perfekter Grammatik und natürlichen Sprachmustern zu automatisieren, die auf das jeweilige Ziel zugeschnitten sind. Dieser hohe Grad an Raffinesse lässt jeden E-Mail-Angriff weitaus glaubwürdiger erscheinen und erhöht die durchschnittliche Erfolgsquote der Attacken deutlich.
Auch wenn die Aussichten für die IT-Teams in Unternehmen damit düsterer denn je erscheinen: Generative KIs wie ChatGPT sind dennoch nicht die ultimative Hiobsbotschaft für Cybersecurity-Verantwortliche. Denn diese Tools stellen lediglich die jüngste Entwicklung in einem kontinuierlichen Zyklus von sich weiterentwickelnden Taktiken und Methoden der Cyberkriminellen dar. Und auch diese lassen sich analysieren, angehen und mildern. Was ChatGPT von vorherigen Technologien unterscheidet, ist die einfache Nutzung und der freie Zugang. Die Verteidigung gegen Angriffe durch generative KI-Tools wird daher letztendlich auf eine Schlüsselvariable hinauslaufen: Feuer mit Feuer zu bekämpfen.
ChatGPT mit seinen eigenen Waffen schlagen
Sicherheitsteams müssen ihre eigenen KI-gestützten LLMs nutzen, um ChatGPT-basiertes Phishing zu bekämpfen. LLMs sorgen für verbesserte Erkennungseffizienz, optimierte Arbeitsabläufe und automatisierte Reaktionsmaßnahmen. Ein LLM, das in die richtige Sicherheitsplattform für Unternehmen integriert ist, ist beispielsweise so programmierbar, dass es hochentwickelte Social-Engineering-Vorlagen erkennt, die von ChatGPT oder ähnlichen Tools generiert werden. Innerhalb von Sekunden, nachdem das LLM ein verdächtiges Muster identifiziert und kategorisiert hat, kennzeichnet die KI es als Anomalie, benachrichtigt einen menschlichen Experten mit empfohlenen Korrekturmaßnahmen und teilt diese Bedrohungsdaten dann in Echtzeit mit dem gesamten Sicherheits-Ökosystem des Unternehmens.
Diese Vorteile sind den Unternehmen mittlerweile nicht mehr fremd, sodass sich der Einsatz von künstlicher Intelligenz und maschinellem Lernen im Bereich der Cybersicherheit in den letzten Jahren beschleunigt hat. Laut dem IBM-Bericht "Cost of a Data Breach 2022" konnten im vergangenen Jahr Unternehmen, die ein KI-gesteuertes Sicherheitstool einsetzten, Angriffe im Durchschnitt 28 Tage schneller abwehren und den finanziellen Schaden um mehr als 3 Millionen US-Dollar reduzieren. Dementsprechend gaben auch in Mimecasts aktuellem Lagebericht zur E-Mail-Sicherheit "State of Email Security" 95 Prozent der befragten Unternehmen in Deutschland an, dass sie bereits KI in ihren Sicherheitsarchitekturen einsetzen oder dies in naher Zukunft planen. Diesem Trend, mit einem besonderen Fokus auf dem großflächigen Einsatz von KI-gesteuerten LLMs, sollte ausnahmslos jedes Unternehmen folgen. Es ist die einzige Möglichkeit, mit der Geschwindigkeit und Raffinesse der ChatGPT-Angriffe Schritt zu halten.
Durch KI verbesserte Penetrationstests
Der Einsatz von KI-gesteuerten LLMs kann auch die Effizienz von Blackbox-, Graybox- und Whitebox-Penetrationstests verbessern, die sonst einen erheblichen Zeit- und Personalaufwand erfordern. Angesichts des momentanen Fachkräfte- und Personalmangels entlastet der Einsatz von KI die IT-Teams merklich. Gerade die Zeit ist im Kampf gegen sich ständig weiterentwickelnden Cyberbedrohungen ein entscheidender Faktor, und LLMs bieten eine effektive Methode zur Rationalisierung von Pentesting-Prozessen. Sie automatisieren die Identifizierung optimaler Angriffsvektoren und Netzwerklücken, ohne sich auf frühere Exploit-Modelle zu verlassen, die oft veraltet sind, wenn sich die Bedrohungslandschaft weiterentwickelt.
In einer simulierten Umgebung kann ein "gegnerisches" LLM beispielsweise einen maßgeschneiderten E-Mail-Text erstellen, um die Social-Engineering-Abwehr des Unternehmens zu testen. Wenn dieser Text die Erkennung umgeht und sein Ziel erreicht, können die Daten wiederverwendet werden, um das verteidigende LLM darin zu schulen, ähnliche Muster in realen Umgebungen zu erkennen. Gleichzeitig erhalten IT-Teams so ein genaues Bild der Sicherheitslage des Unternehmens, das es ihnen ermöglicht, Schwachstellen zu schließen, bevor Angreifer diese ausnutzen.
Der Faktor Mensch
Es gilt jedoch stets zu bedenken, dass die Investition in Best-of-Breed-Ansätze kein Allheilmittel ist, um Unternehmen vor raffinierten Social-Engineering-Angriffen zu schützen. Inmitten der gesellschaftlichen Annahme von cloudbasierten, hybriden Arbeitsstrukturen hat sich der Faktor Mensch als kritische Schwachstelle des modernen Unternehmens herausgestellt. Mehr als 95 Prozent der heutigen Sicherheitsverletzungen, von denen die meisten auf Social-Engineering-Angriffe zurückzuführen sind, beruhen in gewissem Maße auf menschlichem Irrtum. Und da erwartet wird, dass ChatGPT den Umfang und die Geschwindigkeit solcher Angriffe erhöht, sollte es als unverhandelbar gelten, alle Mitarbeiter für die Gefahren zu sensibilisieren – unabhängig davon, ob sie remote, hybrid oder vor Ort im Büro arbeiten.
Der aktuelle Sicherheitsreport von Mimecasts zeigt, dass Mitarbeiter, die regelmäßig an Awareness-Trainings teilnehmen, bösartige Links mit fünfmal höherer Wahrscheinlichkeit erkennen. Laut dem Forrester-Bericht "Security Awareness and Training Solutions" aus dem vergangenen Jahr wiederum wissen viele Sicherheitsverantwortliche jedoch nicht, wie sie eine solche Awareness-Kultur aufbauen können, und greifen auf statische, einheitliche Mitarbeiterschulungen zurück. Dieser Ansatz ist weitgehend ineffektiv. Damit Trainingsmodule Anklang finden, müssen sie skalierbar und personalisiert sein, mit ansprechenden Inhalten und Quizfragen, die auf die Anwendungsgebiete und Lernstile der Mitarbeitenden abgestimmt sind.
Fazit
Die aktuelle Cyberbedrohungslandschaft entwickelt sich stetig und rasant weiter. Neue Technologien stellen Sicherheitsverantwortliche in Unternehmen immer wieder vor Herausforderungen, denn die Kriminellen gehen mit den Trends. Eine dieser neuen, bahnbrechenden Entwicklungen sind generative KI-Tools wie ChatGPT. Um hier mit den Angreifern Schritt zu halten, sollten auch Unternehmen auf künstliche Intelligenz und maschinelles Lernen setzen. Neben der technologischen Komponente sollten Unternehmen jedoch auch immer den Faktor Mensch in ihre Sicherheitsstrategie miteinbeziehen. Mit einem solchen kombinierten, mehrschichtigen Ansatz sind Sicherheitsverantwortliche auch in Zukunft gut gegen KI-gestützte Phishing- und Social-Engineering-Angriffe gewappnet.
ln/Alexander Peters, Senior SE Manager bei Mimecast