Generative KI: Die neue Waffe der Angreifer - was CISOs jetzt wissen müssen

Angreifer haben eine neue Geheimwaffe: Generative Künstliche Intelligenz (KI). Täuschend echte Deepfake-Videos, perfekt formulierte Phishing-Mails und KI-generierte Schadsoftware stellen jeden CISO vor nie dagewesene Herausforderungen. Laut einer aktuellen Studie der KPMG¹ waren 54 % der Unternehmen in Österreich in den letzten 12 Monaten Opfer von Desinformationskampagnen mit KI-generierten Inhalten. Zusätzlich haben sich Deepfake-Angriffe auf österreichische Unternehmen im Jahr 2024 im Vergleich zum Vorjahr mehr als verdoppelt¹. Die Tendenz? Steigend.

Für Sie bedeutet das: Herkömmliche Abwehrstrategien greifen nicht mehr. Die neuen, KI-basierten Angriffstechniken sind schneller, intelligenter und schwerer zu erkennen als je zuvor. Wer noch glaub, dass klassische Firewalls und Spamfilter ausreichen, um sein oder ihr Unternehmen zu schützen, könnte schon bald selbst Opfer eines KI-Angriffs werden.

[1] https://kpmg.com/at/de/home/insights/2024/04/cybersecurity-studie-2024.html

Deepfakes, KI-Phishing, automatisierte Exploits – die unsichtbare Gefahr für Ihr Unternehmen

Generative KI ermöglicht es böswilligen Akteuren, Angriffe in einer Qualität und Geschwindigkeit auszuführen, die bis dato undenkbar war. Unternehmen werden neuartigen Bedrohungen ausgesetzt, die nicht mehr nur auf technologische Schwachstellen, sondern gezielt auf Emotionen, sprich Menschen und deren Entscheidungsprozesse abzielen. Ein Beispiel dafür sind Deepfake-Technologien, die sich in den letzten Jahren stark weiterentwickelt haben. Heutzutage reicht eine Sprachprobe oder ein öffentlich zugängliches Video, um täuschend echte Fälschungen zu erzeugen:

CEO-Fraud durch Identitätsmanipulation: CEO-Fraud erreicht insbesondere durch die Kombination aus Video- und Audio-Deepfakes eine neue Dimension – Mitarbeiter erhalten scheinbar persönliche Anweisungen ihres Vorgesetzten, ohne zu ahnen, dass es sich um eine simulierte Stimme oder ein manipuliertes Video handelt und geben im guten Glauben Überweisungen frei oder vertrauliche Informationen preis.
Manipulation von Authentifizierungsmechanismen: Auch biometrische Sicherheitslösungen, die auf Stimme oder Gesichtserkennung setzen, sind durch generative KI gefährdet. Deepfake-Audioaufnahmen und veränderte Gesichtsaufnahmen können Sicherheitssysteme täuschen und moderne Erkennungsalgorithmen umgehen.
KI-gesteuerte Desinformation: Mit generativer KI lässt sich Desinformation einfach und in großem Maßstab verbreiten. Auch Unternehmen werden zunehmend Zielscheibe von gezielten Kampagnen, die deren Image beschädigen oder politische bzw. wirtschaftliche Unsicherheit auslösen sollen.
KI-optimiertes Phishing: Phishing-Mails, die noch bis vor kurzer Zeit durch auffallend schlechte Grammatik und merkwürdige Formulierungen auffielen, sind inzwischen nahezu perfekt. Generative KI kann den Schreibstil von Kollegen, Vorgesetzten oder Kunden imitieren und damit gezielt auf eine Zielperson zugeschnittene Nachrichten erstellen. Selbst gut geschulte Mitarbeiter tun sich schwer, echte und gefälschte Nachrichten zu unterscheiden.
Automatisierte Malware-Generierung: KI revolutioniert weiters die Art, wie Malware entwickelt wird. Wo früher versierte Hacker mit tiefgehendem Programmierwissen erforderlich waren, reicht nun der gezielte Einsatz von generativer KI, um relativ schnell funktionalen Schadcode zu erzeugen oder bestehende Malware anzupassen. Dadurch können selbst unerfahrene Akteure gefährliche Exploits generieren und Sicherheitslücken ausnutzen.
Zero-Day-Exploits in Rekordzeit: Nicht nur zur Generierung von Malware, auch zur systematischen Echtzeit-Analyse von unbekannten Software-Schwachstellen kann generative KI eingesetzt werden. Erkannte Schwachstellen können anschließend automatisiert ausgenutzt und Schadcode innerhalb von Sekunden angepasst werden.

Der AI-Act: Europas Versuch zur Regulierung von KI-Systemen

Die Europäische Union reagiert auf die wachsende Bedrohungslage mit dem Versuch, den Einsatz künstlicher Intelligenz zu regulieren. Mit dem 2024 in Kraft getretenen und sich derzeit in der Übergangsphase befindlichen AI-Act wurde ein regulatorischer Rahmen geschaffen, der klare Leitlinien für den Einsatz und die Sicherheit von KI setzt. Für CISOs bedeutet das allerdings, dass beim Einsatz von KI-Systemen neben den erwähnten Bedrohungen zusätzlich noch Compliance-Aspekte beachtet werden müssen. Um eine risikobasierte Bewertung zu ermöglichen, unterteilt der AI-Act KI-Systeme in insgesamt vier Risikostufen:

Inakzeptables Risiko: KI-Anwendungen, die eine klare Gefahr für grundlegende Menschenrechte, Sicherheit oder Demokratie darstellen, sind in der EU verboten. Dazu gehören beispielsweise soziale Bewertungssysteme und KI-basierte Manipulationstechniken zur intransparenten Beeinflussung von Personen.
Hohes Risiko: KI-Anwendungen mit hohem Risiko für Gesundheit, Sicherheit oder Grundrechte von Personengruppen müssen ein funktionierendes Risikomanagementsystem nachweisen, Datenmanagementanforderungen einhalten, die technische Dokumentation aktuell halten, Ereignisse protokollieren, transparente Informationen für Nutzer bereitstellen, durch Menschen überwacht werden und ein angemessenes Maß an Cybersicherheit erfüllen. Hierunter fallen u.a. Systeme, die in kritischen Infrastrukturen, in der Bildung als Prüfungsbeurteilungssystem, zur Filterung von Bewerbungen oder bei biometrischen Identifizierungen eingesetzt werden.
Begrenztes Risiko: Hierzu zählen KI-Anwendungen, die durch direkte Interaktion mit Menschen gewisse Risiken bergen, wie beispielsweise Chatbots oder biometrische Kategorisierungssysteme. In Zukunft müssen Anbieter daher sicherstellen, dass die Nutzer klar darüber informieren werden, dass sie mit einem KI-System interagieren.
Niedriges Risiko: Für in diese Risikoklasse fallende KI-Anwendungen, wie automatisierte Übersetzungstools oder Spam-Filter, sind keine rechtlichen Anforderungen vorgesehen, es ist allerdings eine technische Dokumentation und Risikobewertung notwendig.

Sechs Sofortmaßnahmen für CISOs

Dies stellt CISOs vor eine doppelte Herausforderung: Zum einen müssen sie ihre Unternehmen vor KI-basierten Bedrohungen schützen und zum anderen sicherstellen, dass die eigenen KI-Anwendungen den gesetzlichen Anforderungen entsprechen. Die folgenden Maßnahmen können dabei unterstützen:

#1 Regulatorische Compliance

Ist Ihr Unternehmen bereits AI-Act-konform? Falls nicht, könnten bald hohe Bußgelder drohen! Der AI-Act fordert Transparenz und Risikobewertungen für viele KI-Systeme. CISOs müssen daher dringend überprüfen, welche internen Systeme betroffen sind, und die notwendigen Dokumentations- und Sicherheitsmaßnahmen umsetzen, um Strafen und Haftungsrisiken zu vermeiden.

Prüfen Sie die Anforderungen des EU Artificial Intelligence (AI) Acts 2024/1689
Schulen Sie Ihre MitarbeiterInnen für die Nutzung von KI
Berücksichtigen Sie KI in Ihren Informationssicherheits-Richtlinien, die passenden Vorlagen finden Sie hier

#2 Security Awareness 2.0

Mitarbeiter müssen durch personalisierte, simulierte Kampagnen gezielt auf KI-gestützte Bedrohungen wie Deepfake-Betrug und personalisierte Phishing-Mails sensibilisiert werden.

Berücksichtigen Sie Deepfake Video und simulierte Stimme, Whaling, Phishing sowie Smishing in den Security Awareness Kampagnen
Planen Sie einen Phishing-Test durch eine Phishing-Simulation Ihrer MitarbeiterInnen, gerne unterstützen wir mit einer Phishing-Simulation

#3 KI-gestützte Phishing-Filter

Angreifer nutzen KI, um E‑Mails perfekter zu fälschen – CISOs müssen auf gleicher Höhe mitziehen und auf KI-basierte Sicherheitslösungen setzen, die nicht nur regelbasierte Erkennung nutzen, sondern auch Verhaltensmuster analysieren und verdächtige Kommunikation in Echtzeit blockieren.

Prüfen Sie, ob die eingesetzte Spam-Lösung den zukünftigen Anforderungen entspricht und ergänzen Sie diese ggfls. um weitere Schutzmaßnahmen.

#4 Deepfake-Erkennung

Der Einsatz KI-gestützter Erkennungstools ist essenziell, um gefälschte Videos und Audiodateien zu identifizieren und gezielt abzuwehren, bevor diese Schaden anrichten können.

Empfehlen Sie Ihren MitarbeiterInnen Tools wie z.B. DEEPFAKE TOTAL von Fraunhofer AISEC.
Eine gute Sammlung von Tools und Techniken zur Erkennung von Deepfakes finden Sie unter Unite.AI.

#5 Zero-Trust-Architektur

KI ist in der Lage, Identitäten täuschend echt nachzubilden. Eine Zero-Trust-Strategie sorgt dafür, dass jede Interaktion, jeder Zugriff und jede Identität unabhängig verifiziert wird, bevor Zugriff auf kritische Systeme gewährt wird.

Prüfen Sie den Einsatz von Zero-Trust-Technologie, speziell für die Benutzer-Endgeräte. Dies inkludiert Strategien zur permantenen Benutzer- und Endgeräteidentifikation und oft auch Always-on VPN.
Zero-Trust erfordert verstärkten Einsatz von (Netzwerk) Segmentierung und stringenten Access-Control Regeln.

#6 Threat Intelligence für KI-Bedrohungen

Wer die neuesten Angriffstechniken kennt, kann sich besser davor schützen. Daher ist es für CISOs essenziell, aktuelle KI-Bedrohungsberichte aktiv zu verfolgen.

Als CISO lesen Sie Fachbeiträge zum Thema generative KI und Cyberbedrohungen durch KI.
Geben Sie Ihrem IT-Security Team die erforderliche Zeit, sich mit KI und KI-Bedrohungen zu beschäftigen.
Nutzen Sie die Maschine-Learning (ML) Präventionsmaßnahmen ihrer bestehenden Security-Produkte, um Anomalien und neue Bedrohungen frühzeitig zu erkennen.

Mein Fazit: Wer frühzeitig handelt, kann nicht nur Sicherheitsrisiken minimieren, sondern auch teure Strafen vermeiden und einen Wettbewerbsvorteil erlangen. Die Zeit für reaktive Maßnahmen ist vorbei, jetzt ist strategisches Handeln gefragt!

Dipl.-Ing. Bianca Danczul, M.ScSenior Security Beraterin

Generative KI: Die neue Waffe der Angreifer — was CISOs jetzt wissen müssen