Die Vorstellung der neuen Künstlichen Intelligenz (KI) Claude Mythos des amerikanischen Unternehmens Anthropic hat in den vergangenen Tagen in der IT-Szene eine lebhafte Diskussion ausgelöst. Anthropic hatte mitgeteilt, es habe mit Mythos Tausende schwerwiegende Software-Schwachstellen gefunden, darunter in jedem beliebten Betriebssystem und Webbrowser – auch solche, die Jahrzehnte unentdeckt geblieben waren. Das löste in Wirtschaft und Politik große Sorge aus, dass Hacker künftig ohne großen Aufwand unzählige bisher unbekannte Sicherheitslücken in IT-Systemen aufspüren könnten. Der KI-Anbieter stellt seine Software deshalb zunächst nur einer ausgewählten Koalition aus Technologieunternehmen zur Verfügung, die so ihre eigenen Sicherheitslücken schließen sollen.
Es gibt Stimmen, die in Anthropics Kommunikation primär einen gelungenen PR-Stunt sehen. Die Chefs der KI-Anbieter haben ihre Technologie in der Vergangenheit aus Marketinggründen auch schon mit Atombomben verglichen, um die Macht ihrer Modelle zu unterstreichen. Doch unabhängig von der Bewertung einzelner Modelle verändert die Künstliche Intelligenz die Bedrohungslage für IT-Systeme grundlegend. Der Geist ist aus der Flasche. Auch wenn es nicht Claude Mythos sein sollte: Dass ein Modell mit ähnlichen Fähigkeiten einmal in die falschen Hände gerät, ist eine Frage der Zeit.
Schon vor Claude Mythos war KI gefährlich
Zumal selbst heute verfügbare KI-Modelle Hackern längst gute Dienste leisten. Schon Anthropics KI Claude Code verfügte über exzellente Fähigkeiten im Überprüfen von IT-Systemen auf Schwachstellen. KI hilft Hackern, viel realistischere Phishing-Mails zu verschicken, die perfekt an lokale Sprachgewohnheiten angepasst sind. Mit Phishing-Mails versuchen Cyberkriminelle, sich Zugangsdaten zu erschwindeln. Im vergangenen November berichtete Anthropic von der ersten großangelegten Cyberattacke, die ohne substanzielles Eingreifen von Menschen verübt wurde. Die Analysten von Gartner gehen davon aus, dass KI bis 2027 die Zeit halbieren wird, die Angreifer zur Ausnutzung kompromittierter Konten benötigen.
Bislang kann das Finden von Sicherheitslücken selbst für Fachleute Monate in Anspruch nehmen. Für kriminelle Angreifer ist es daher aktuell einfacher, Zugang über die größte Schwachstelle in jeder Organisation zu erlangen: den Menschen. Mit Phishing-E-Mails oder sogenanntem „Social Engineering“, also der zwischenmenschlichen Beeinflussung zur Herausgabe von Informationen, haben sie bewährte und effektive Methoden. Schon heute gibt es mehr Schwachstellen, als Hacker sie ausnutzen könnten. Wenn das Ausnutzen von Sicherheitslücken aber tatsächlich so einfach wie die Eingabe in einen KI-Chatbot wird, ist das ein Paradigmenwechsel.
Die deutsche Wirtschaft ist nicht vorbereitet
Diese Bedrohungslage trifft auf eine deutsche Wirtschaft, die schon auf die Cyberbedrohungen vergangener Tage nicht ausreichend vorbereitet ist. Zwar sind die Ausgaben für IT-Sicherheit in den vergangenen Jahren gestiegen. Aber vor allem der Mittelstand ist für Hacker immer noch ein attraktives Opfer. Und selbst große Teile der kritischen Infrastruktur laufen auf alten Systemen, die einer Überprüfung durch Claude Mythos sicherlich nicht standhalten würden.
Künstliche Intelligenz ist dabei Risiko und Chance zugleich. IT-Sicherheit war schon immer ein Katz-und-Maus-Spiel mit einem leichten Vorteil für die Angreifer. KI beschleunigt die „Innovationszyklen“ der Angreifer nun drastisch. Verteidiger müssen verstärkt KI nutzen, um Lücken möglichst so schnell zu schließen, wie sie künftig entstehen. Das ist ambitioniert, weil sich die Prozesse im Testen der eigenen Systeme rasant beschleunigen müssen, aber alternativlos.
Überdies wird Prävention statt Reaktion im KI-Zeitalter noch wichtiger, weil sich bestimmte Angriffsmuster womöglich gar nicht mehr so schnell erkennen und dann bekämpfen lassen, wie wieder neue entstehen. KI kann riskante Muster schon im Entwicklungsprozess identifizieren und so Sicherheit von Anfang an im Code verankern. Das Prinzip „Security by design“ bleibt daher in Zukunft wichtig, kann die Probleme mit den unzähligen veralteten IT-Systemen in deutschen Unternehmen und Behörden aber auch nicht lösen.
Ohnehin gilt daher ein altes Bonmot der IT-Sicherheit: Gehackt zu werden, ist keine Frage des Ob, sondern des Wann. Schon lange gilt es daher, von Eindringlingen auszugehen. Oft gelangen sie aber zunächst in eher unwichtige Bereiche. Entscheidend ist, dass sie sich nicht frei im System bewegen, Berechtigungen ausweiten oder kritische Systeme erreichen können.