ChatGPT & Co.: BSI sieht "nie dagewesene Herausforderungen" für die Sicherheit

Inhaltsverzeichnis

Die Professionalität, mit der Täter im Bereich Cybercrime vorgehen, "ist beunruhigend", erklärte Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), am Donnerstag in Berlin bei der Präsentation des BSI-Lageberichts zur IT-Sicherheit in Deutschland 2023. Im Vorwort zu dem knapp 100-seitigen Report schreibt sie: "Die anhaltende Digitalisierung und zunehmende Vernetzung vergrößert die Angriffsflächen – und diese werden genutzt." So gebe es Kommunen, "die nur noch auf dem Papier arbeiten". Kundendaten landeten etwa im Netz und das, was im Bericht dazu stehe, sei "nur die gefühlte Temperatur".

Insgesamt zeigte sich im aktuellen Berichtszeitraum laut der Untersuchung eine "angespannte bis kritische Lage". Die Bedrohung im Cyberraum sei weiterhin besorgniserregend beziehungsweise erneut "so hoch wie nie zuvor".

Chancen und Risiken durch KI

Auch neue, einfach bedienbare Systeme mit Künstlicher Intelligenz (KI) wie ChatGPT von OpenAI, Bard von Google und LlaMa von Meta sorgen dem Bericht zufolge nicht nur für neue Chancen für die breite Bevölkerung, sondern auch für Risiken. So könnten damit etwa immer authentischer wirkende Deepfakes erzeugt werden, die schwerer zu entlarven sind. Auch Phishing-Mails würden mithilfe von KI glaubwürdiger, zudem könnte diese in sozialen Medien Desinformationskampagnen anleiern oder selbst Schadcode generieren. Das erfolge oft wesentlich schneller und zum Teil besser als durch menschliche Cyberkriminelle.

KI könne ferner selbst zur Schwachstelle werden, wenn sie gehackt und missbräuchlich eingesetzt werde, warnt die Bonner Behörde. Das stelle das Schwachstellenmanagement in Unternehmen und Behörden "vor noch nie dagewesene Herausforderungen". Würden Trainingsdaten manipuliert, könnten zudem Falschnachrichten und Desinformationskampagnen getriggert werden, die die öffentliche Meinung potenziell "bis hin zum gesellschaftlichen Wertekanon beeinflussen". Enthalte Lernmaterial für Programmcode beabsichtigt oder unwissentlich Schwachstellen oder schlechten Code, lerne das Modell diese mit und könne sie in generiertem Code reproduzieren.

Insgesamt ergebe sich durch große KI-Sprachmodelle so eine "systemische Bedrohungsveränderung", ist dem Bericht zu entnehmen: Zur Manipulation der "Schwachstelle Mensch" mittels Social Engineering komme nunmehr die Manipulation der "Schwachstelle KI" durch Prompt Engineering hinzu. Ferner bewirkten solche Modelle "wahrscheinlich Skalierungseffekte bei bekannten Cyberbedrohungen" wie Spam und Phishing. Hacker fänden künftig möglicherweise etwa in einem Firmennetzwerk einen Chatbot "mit umfangreichem Wissen über das Unternehmen und weitreichenden Zugriffsrechten vor, welches verhältnismäßig leicht manipuliert und für Angriffe missbraucht werden kann".

Größte Bedrohung durch Ransomware

Ransomware ist und bleibt dem Bericht zufolge die größte Bedrohung: Bei einschlägigen Angriffen beobachtet das BSI aber eine Verlagerung: Nicht mehr große, zahlungskräftige Unternehmen stünden im Mittelpunkt, sondern zunehmend auch kleine und mittlere Organisationen sowie staatliche Institutionen und Kommunen. Der Landkreis Anhalt-Bitterfeld sah sich allerdings schon am 9. Juli 2021 wegen eines schweren Befalls mit Schadsoftware der Grief-Bande im eigenen Netzwerk genötigt, den Katastrophenfall auszurufen und die IT-Systeme herunterzufahren. Das BSI bezeichnete die Zusammenarbeit mit den dortigen Verantwortlichen später als "herausfordernd".

Insbesondere bei Cyberangriffen auf Kommunalverwaltungen und kommunale Betriebe seien oft auch die Bürger betroffen, schreibt das Amt nun. "So kann es dazu kommen, dass bürgernahe Dienstleistungen eine Zeitlang nicht zur Verfügung stehen oder persönliche Daten in die Hände Krimineller gelangen." Zudem setzten Cybergangster verstärkt auf Arbeitsteilung: Mit dem Konzept Cybercrime-as-a-Service sowie einer engen Vernetzung über Länder- und Branchengrenzen hinweg.

"Ransomware stört ganze Wertschöpfungsketten nachhaltig", sagt Plattner. Damit verknüpft seien Datendiebstahl, Erpressung, Spionage und Sabotage, im schlimmsten Fall würden kritische Infrastrukturen (Kritis) lahmgelegt. Im Berichtszeitraum gingen beim BSI 452 Meldungen zu Vorfällen in diesem Sektor ein. Das sind genauso viele wie in der Vorjahresperiode. Die meisten davon entfielen mit 132 auf den Gesundheitssektor, es folgt Transport und Verkehr mit 111. 27 Kommunalverwaltungen seien Opfer von Ransomware-Angriffen geworden, bilanzierte Bundesinnenministerin Nancy Faeser (SPD). Generell sei die Lage bei Cybercrime bedrohlich und könne "jederzeit eskalieren".

70 neue Softwarelücken pro Tag

Zugleich registriert das BSI immer mehr Schwachstellen in Software – durchschnittlich knapp 70 neue pro Tag. Diese seien oft das Einfallstor für Cyberkriminelle, um Systeme und Netzwerke zu kompromittieren. Die potenzielle Schadwirkung werde ebenfalls größer: Immer mehr Lücken – etwa jede sechste – gälten als kritisch. Als Beispiel nennt die Behörde die Angriffskampagne gegen die Filesharing-Software MOVEit.

Das Ampel-Bündnis hat im Koalitionsvertrag vereinbart: Der soll der Staat hierzulande "keine Sicherheitslücken ankaufen oder offenhalten", sondern sich in einem wirksamen Schwachstellenmanagement "immer um die schnellstmögliche Schließung bemühen". Über ein Jahr lang tat sich bei der Umsetzung dieser Maßgaben so gut wie nichts, weil vor allem das Bundesinnenministerium mauerte und Sicherheitslücken ausnutzen will. Die Ressortabstimmung gilt nach wie vor noch nicht als abgeschlossen, Innenpolitiker der Ampel wollten aber noch im Herbst einschlägige Vorschläge präsentieren.

Im Berichtszeitraum wurden durchschnittlich täglich rund 21.000 infizierte Systeme in Deutschland erkannt und vom BSI an die deutschen Provider gemeldet. Die Tageswerte schwankten dabei erheblich – bis zu 45.000 befallenen Geräten. Die Zugangsanbieter ermittelten und benachrichtigten daraufhin die betroffenen Kunden – die Dunkelziffer dürfte aber hoch sein.

Für die vom BSI empfohlene "ausgeprägten Cyberresilienz" als wirksamsten Schutz würden mehr qualifizierte Sicherheitsexperten benötigt. "Die dringendsten Themen in der Umsetzung sind Patching, Updates und sicheres Identity-Access-Management", betont Plattner. Auch Backups und Notfallpläne seien wichtig. Ferner hilft dem BSI zufolge "eine Professionalisierung auf Abwehrseite – unter anderem durch Standardisierung, Zentralisierung und Automatisierung". Staat und Zivilgesellschaft stünden den vielfältigen Bedrohungen im Cyberspace nicht wehrlos gegenüber.

Plädoyer für "Security by Design"

Plattner plädiert auch für das konsequente Schließen von Sicherheitslücken: Hintertüren seien "nicht akzeptabel." Hierzulande entstünden laut Bitkom 206 Milliarden Euro Schaden durch Cybercrime im Jahr, das seien 43 Prozent des Bundeshaushalts. Die Gelder, die das Problem adressieren sollten, seien dagegen winzig, verwies sie auch beim BSI auf einen höheren Finanzbedarf. Deutschland müsse sich "als Cybernation verstehen und diesem Verständnis Taten folgen lassen". Dafür sei es nötig, eine bessere Kooperation mit den Ländern hinzubekommen, falls etwa in Bremen und München aufgrund eines Cyberangriffs gleichzeitig das Licht ausgehe.

"Wir scannen die Bundesbehörden", führte Plattner aus. "Das reicht mir nicht." Sie wolle wissen, "was in ganz Deutschland los". Die Gespräche mit den Ländern darüber, dem BSI eine Zentralstellenfunktion zu verschaffen, dauern aber weiter an. Ferner sei es entscheidend, die Umsetzungskraft der Wirtschaft zu mobilisieren und etwa die Qualität der produzierten Software nach oben zu bringen. Dafür müssten die Hersteller Plattner zufolge in die Pflicht genommen werden, IT-Sicherheit in die Technik einzubauen. Der Bericht selbst ist voll von QR-Codes, um auf weiterführende Online-Informationen zu verweisen. Laut Sicherheitsexperten lassen sich aber auch darüber recht einfach Angriffe ausführen.

Faeser beklagte aktuell eine "große Zunahme der Verbreitung rechtswidriger Inhalte" im Zusammenhang mit dem Krieg Israels gegen die Hamas. Diese Entwicklung "müssen wir gemeinsam mit den Plattformbetreibern verhindern", gab die Ministerin als Parole aus. Auch die Bürger könnten die Behörden auf solche Inhalte hinweisen.

(mho)