Der Zeitraum zwischen dem Identifizieren einer Schwachstelle und dem Cyberangriff könnte sich so auf wenige Minuten reduzieren. Zum anderen stehen Cyber-Kriminellen mit der Open AI-Software schneller und besser erzeugte Social-Engineering-Mittel für Phishing oder Business E-Mail Compromise zur Verfügung.
Phishing-Mails gehören im Bereich der Cyber-Kriminalität zum Standardvorgehen. Im digitalen Untergrund bietet ein eigener Dienstleistungssektor den kriminellen „Access-as-a-Service“ an. Bisher sind jedoch immer wieder neue Sicherheitstools entwickelt worden, die in der Lage sind, Attacken abzufangen. Eine weitere Hürde stellt die menschliche Intuition dar, die, einmal sensibilisiert, auf Ausdrucks- und Rechtschreibfehler oder andere Ungereimtheiten reagiert. KI zu nutzen, um diese beiden Hürden zu unterlaufen, ist für Cyber-Kriminelle daher sehr verlockend. Mit ChatGPT lassen sich Mails glaubwürdiger formulieren, so dass Phishing-Mails künftig nicht mehr von echter Geschäftskommunikation zu unterscheiden sind.
Neu wird dabei sein, dass die Opfer mit personalisierten Angriffen konfrontiert werden, in die zur Steigerung der Glaubwürdigkeit aktuelles, über soziale Medien verfügbares Wissen integriert ist. Im Bereich der Unternehmenskommunikation kann so einem Mitarbeiter erfolgreich vorgegaukelt werden, er kommuniziere mit seinem Chef oder einem wichtigen Kunden (Business E-Mail Compromise oder BEC). Erprobte Betrugsschemata gibt es viele, auch im privaten Bereich wie diverse Romance Scams oder gefakte Spendenaufrufe. Mit solchen erfolgreichen Beispielen lässt sich die KI trainieren und kann leicht erlernen, wie man Menschen am besten überzeugt.
Mit den aktuellen Möglichkeiten von ChatGPT können Cyber-Kriminelle ihre Angriffe qualitativ optimieren, sprachlich-kulturell auf die Opfer zuschneiden und noch ihre Effizienz steigern, da sie eine hohe Anzahl an Opfern parallel angreifen können. Richard Werner, Business Consultant beim Cybersecurity-Spezialisten Trend Micro, warnt darüber hinaus: „Eine auf Betrug spezialisierte KI kann noch zu ganz anderen Einsatzszenarien führen, die wir heute noch gar nicht abschätzen können.“
Darüber hinaus kann ChatGPT auch Software entwickeln und, theoretisch, auch Malware erzeugen. Um das zu verhindern, werden die Open AI Policies zwar regelmäßig angepasst, die Beispiele, wie es dennoch funktioniert, gibt es trotzdem immer wieder. Entschlossene Cyberkriminelle werden sich daher realistischerweise über kurz oder lang Angriffssoftware durch KI schreiben lassen.
Nach Einschätzung von Richard Werner von Trend Micro können Unternehmen davon ausgehen, dass der Einsatz von KI vor allem bei der Erstinfektion eine Rolle spielen wird. KI wird dabei den Aufwand für Cyber-Kriminelle minimieren und den Erfolg von Massenangriffen verbessern. Noch mehr als früher sollten sich Unternehmen daher konsequent darauf vorbereiten, so Werner, dass Angreifer primäre Sicherheitsmechanismen aushebeln können und dringend auf weitere Verteidigungsmechanismen setzen.