Das Bundesamt für Sicherheit in der Informationstechnik warnt vor Sicherheits-Bedrohungen durch Künstliche Intelligenz. Noch aber sei vieles Zukunftsmusik.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt den Einfluss Künstlicher Intelligenz (KI) auf die Cybersicherheitslage sehr ernst, sieht aber noch keinen Grund für Alarmismus. “Bei unserer derzeitigen Bewertung der Auswirkungen von KI auf die Cyberbedrohungslandschaft gehen wir davon aus, dass es in naher Zukunft keine bedeutenden Durchbrüche bei der Entwicklung von KI, insbesondere von großen Sprachmodellen, geben wird”, schätzt BSI-Präsidentin Claudia Plattner die Lage ein.
In einem Forschungspapier, das heise online exklusiv vorliegt, befasst sich das BSI einerseits mit bereits bekannten Bedrohungsszenarien, andererseits mit den zu erwartenden Entwicklungen auch durch KI. Zwar habe sich die ganz große Bedrohung noch nicht materialisiert, doch sei Entwicklung nicht zu unterschätzen.
Social Engineering und Code
Selbstlernende Sprachmodelle (LLM) entfalten den Bonner Cybersicherheitsexperten zufolge bereits heute einige Wirkung: “Neben allgemeinen Produktivitätsgewinnen für böswillige Akteure sehen wir derzeit eine böswillige Nutzung vor allem in zwei Bereichen: Social Engineering und Generierung von bösartigem Code.”
Beim Social Engineering, bei dem technische Sicherheitsvorkehrungen über den menschlichen Kontakt mit Mitarbeitern oder Dienstleistern umgangen werden, ermögliche KI eine “nie dagewesene Qualität” etwa bei Phishing-Versuchen, warnt das BSI. “Herkömmliche Methoden zur Erkennung betrügerischer Nachrichten, wie z. B. die Prüfung auf Rechtschreibfehler und unkonventionellen Sprachgebrauch, reichen daher nicht mehr aus.”
Leichte Entwarnung gibt das BSI bei der Frage, inwieweit Schadcode heute bereits vollautomatisiert erstellt wird. “LLMs können bereits einfache Malware schreiben, aber wir haben keine KI gefunden, die eigenständig in der Lage ist, fortgeschrittene, bisher unbekannte Malware zu schreiben”, heißt es in der Lageeinschätzung durch die IT-Sicherheitsbehörde.
Dass eine KI komplizierte Methoden zur Verschleierung anwendet oder Zero-Day-Lücken selbstständig erkennt und ausnutzt, sei noch nicht Realität. Selbst die automatisierte Anpassung bereits existierender Malware sei bislang vor allem Gegenstand von Forschungsarbeiten.