ChatGPT – neues Lieblingstool für Hacker?

Der KI-Software ChatGPT wird einiges zugetraut: Zeitungsartikel soll sie schreiben, Abschlussarbeiten verfassen – oder Malware programmieren. Entwickelt sich mit ChatGPT ein neues Tool, mit dem Hacker und Cyberkriminelle noch einfacher Schadsoftware erstellen können? Die Sicherheitsforschenden Prof. Dr. Claudia Eckert und Dr. Nicolas Müller vom Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC ordnen das Bedrohungspotential durch ChatGPT für die digitale Sicherheit ein.

Sicherheitsexpert:innen haben bereits gezeigt, dass mit ChatGPT Malware erzeugt werden kann, auch für Social Engineering kann der Bot genutzt werden. Wird sich ChatGPT zu einem neuen Lieblingswerkzeug von Hacker:innen mit wenig technischem Wissen entwickeln?

Da jeder ChatGPT benutzen kann, um mit dieser KI-basierten Software Texte oder einfache Programme automatisiert zu generieren, werden es auch Hacker:innen tun, um z. B. Schad-Code zu erzeugen. Derzeit ist noch nicht abzuschätzen, wie gut diese erzeugten Programme sein werden, aber einfache Varianten beispielsweise zur automatisierten Erzeugung von Phishing-E-Mails, aber auch von Code, mit dem ein Ransomware-Angriff durchgeführt werden kann, wurden bereits nachgewiesen. Klar ist, dass es schon seit langer Zeit einfach zu nutzende Möglichkeiten gibt, so dass auch Hacker:innen ohne Vorkenntnisse Angriffe durchführen können. Diese basieren jedoch nicht auf KI, sondern sind beispielsweise online verfügbare Sammlungen von ausführbaren Angriffsprogrammen, sogenannte Exploits, die bekannte Schwachstellen ausnutzen. Mit ChatGPT steht nun zusätzlich ein einfach zu bedienendes Werkzeug zur Verfügung, so dass eigener Schadcode generiert und schnell in Umlauf gebracht werden kann. Aus Sicht des Fraunhofer AISEC ist ChatGPT eine ernstzunehmende Bedrohung für die Cybersicherheit. Wir gehen davon aus, dass die Wissensbasis der nachfolgenden Softwareversionen erheblich erweitert und sich auch die Qualität der Antworten verbessern wird, da mit der zugrundeliegenden Technik des Re-Enforcement Learnings und unter Nutzung von menschlichem Feedback eine solche Weiterentwicklung absehbar ist. Das Schließen von Sicherheitslücken, die frühzeitige Beseitigung von Schwachstellen ist deshalb das A und O, um diese Angriffe abzuwehren.

ChatGPT hat das Potential, die Welt der Cyberattacken für eine noch breitere Nutzerschaft zugänglich zu machen.

Prof. Dr. Claudia Eckert Geschäftsführende Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC

Ist ChatGPT nur interessant für „Script Kiddies“ oder auch für versiertere Cyberkriminelle?

Hacker:innen müssen für erfolgreiche Angriffe Kompetenzen aus unterschiedlichsten Bereichen besitzen. ChatGPT kann daher aus meiner Sicht durchaus auch bereits heute für IT-Expert:innen interessant sein. Die Dialog-Kommunikationsform und die Fähigkeit des Chatbots, Erklärungen zu liefern, Code-Schnipsel zu erzeugen oder Kommandos zu beschreiben, die für erfragte Aufgaben genutzt werden können, wie die korrekte Parametrisierung von Analyse-Tools, können auch für Experten:innen eine sehr hilfreiche Unterstützung liefern. Die Antworten von ChatGPT können schneller das gewünschte Ergebnis liefern als eine klassische Google-Abfrage, die ja beispielsweise keine auf die Anfrage zugeschnittenen Code-Teile generiert. Für Experten:innen könnte ChatGPT daher einen Beitrag zum schnelleren Wissensausbau leisten, unter der Annahme, dass die Experten:innen in der Lage sind, die Antworten des Chatbots schnell auf Plausibilität und Korrektheit zu überprüfen.

Gibt es nicht ohnehin schon viele sehr einfache Wege, sich Schadcode zu besorgen, z. B. einfach per Klick im Darknet („Malware as a Service“)? Ist ChatGPT nur eine weitere Option oder wie unterscheidet sich der Bot von den bereits bestehenden Möglichkeiten für Hacker:innen?

Wie oben bereits ausgeführt, ist ChatGPT ein weiteres Werkzeug im Blumenstrauß bestehender Hacker:innen-Tools. Aus meiner Sicht könnte ChatGPT in Zukunft teilweise den Part eines virtuell Beratenden übernehmen, der zu unterschiedlichsten Fragestellungen konsultiert werden kann, um Angriffe von Hacker:innen vorzubereiten. Weitaus gravierender ist aus unserer Sicht jedoch das Schadenspotential, das eine solche Software auf lange Sicht haben kann, manche sprechen bereits von einer Game Changer Software für die Cybersicherheit. Auch wenn ChatGPT gemäß interner Regelwerke verweigert, Angriffscode zu generieren, wenn konkret danach gefragt wird, so kann man dies natürlich durch geschickte Formulierung umgehen. ChatGPT hat das Potential, die Welt der Cyberattacken für eine noch breitere Nutzerschaft zugänglich zu machen, eine Vielzahl zugeschnittener Angriffe dediziert erzeugen zu lassen und dazu auch noch die nicht versierten Hacker:innen darin zu beraten, dies dann auch erfolgreich durchzuführen.

Aus Sicht des Fraunhofer AISEC ist ChatGPT eine ernstzunehmende Bedrohung für die Cybersicherheit.

Dr. Nicolas Müller Wissenschaftlicher Mitarbeiter in der Abteilung Cognitive Security Technologies des Fraunhofer AISEC

Müssen wir uns darauf einstellen, dass in naher Zukunft Cyberangriffe – von der Erstellung der Malware bis zu ihrer Verbreitung – durch KI gesteuert werden? Passiert das heute schon?

Ja, wir gehen durchaus davon aus, dass einfache Angriffswellen, wie Phishing-Kampagnen KI-basiert erzeugt und durchgeführt werden können. Dazu lassen sich z. B. KI-basiert Phishing-E-Mails generieren, die beispielsweise einen Link enthalten, hinter dem sich KI-basierter Ransomware-Code verbirgt. Die Mails können automatisch an ausgewählte Adressatenkreise verteilt werden. Das sind Angriffe, die zur großen Klasse der Social-Engineering-Angriffe gehören, die KI-basiert in Zukunft noch wirkungsvoller durchgeführt werden können als dies bislang schon geschieht. Die KI-Software generiert echt und überzeugend wirkende Texte, so dass die Opfer darauf hereinfallen und z. B. sensitive Informationen preisgeben. Dennoch ist zu beachten, dass die dahinterliegende Technologie (Language Model) zwar Sätze außerordentlich gut vervollständigen, jedoch aber nicht – wie der Mensch – komplexe Zusammenhänge und Vorwissen aus verschiedensten Bereichen zusammenbringen und miteinander in Bezug setzen kann. Antworten auf Fragen klingen bei ChatGPT daher oft plausibel, basieren aber letztlich nicht auf menschlichem Verstehen, sondern auf einer statistischen Verteilung über Wort-Zusammenhänge.

Gibt es auch positive Aspekte für die Sicherheitsbranche, die mit ChatGPT einhergehen? Können Sicherheitsexpert:innen den Bot auch für ihre Arbeit nutzen?

Auch Sicherheitsexpert:innen können von ChatGPT profitieren, z. B. um Schwachstellen in Software  aufzudecken. Aber auch für Software-Entwickler:innen kann ChatGPT eine Unterstützung sein. So könnten Code-Bestandteile automatisiert durch ChatGPT analysiert und Hinweise von ChatGPT für die Verbesserung der Code-Qualität im Entwicklungszyklus berücksichtigt werden. Damit existieren weniger potentielle Möglichkeiten, Software anzugreifen. ChatGPT könnte zudem einen Beitrag in der Qualifizierung von Mitarbeitenden leisten. Jedoch muss bei allen Anwendungsgebieten stets bedacht werden, dass ChatGPT häufig falsche oder sogar frei erfundene Antworten liefert und auch in Zukunft liefern wird. Es gilt somit sowohl die Risiken als auch die Chancen von ChatGPT im Blick zu behalten, aber sich auch deren inhärenten Grenzen bewusst zu sein.

***

Prof. Dr. Claudia Eckert ist geschäftsführende Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC.

Dr. Nicolas Müller ist wissenschaftlicher Mitarbeiter in der Abteilung Cognitive Security Technologies des Fraunhofer AISEC.

Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC ist eine der international führenden Einrichtungen für angewandte Forschung im Bereich Cybersicherheit. Das Kompetenzspektrum erstreckt sich von Embedded und Hardware Security, über Automotive und Mobile Security bis hin zu Sicherheitslösungen für Industrie und Automation.

Bayern Innovativ Newsservice

Sie möchten regelmäßige Updates zu den Branchen, Technologie- und Themenfeldern von Bayern Innovativ erhalten? Bei unserem Newsservice sind Sie genau richtig!

Jetzt kostenlos anmelden