Wachsende Sicherheitsrisiken durch KI sind keine Zukunftsvision mehr

Cyberangriffe können mit KI-Tools schneller und effizienter durchgeführt werden. Das trifft Privatpersonen ebenso wie Betriebe – die beim Setzen von Gegenmaßnahmen aber noch zögern

https://www.derstandard.at/story/3000000319526/wachsende-sicherheitsrisiken-durch-ki-sind-keine-zukunftsvision-mehr

Mitte Mai veröffentlichte die GTIG ihren neuen Bericht „AI Threat Tracker“, in welchem dargelegt wird, wie im Bereich der Cybersecurity Angreifer und Verteidiger gleichermaßen KI nutzen.

Die wachsende Bedrohung spiegelt sich auch in Zahlen deutlich wieder: Laut einer aktuellen Umfrage von Deloitte unter rund 350 österreichischen Mittel- und Großunternehmen hat sich die Zahl der Ransomware-Attacken hierzulande seit 2024 verdoppelt, nahezu ein Drittel (28 Prozent) der österreichischen Unternehmen berichtet von beinahe täglichen Ransomware-Angriffen.

Das österreichische, auf Cybersecurity spezialisierte Unternehmen Certitude Consulting beobachtet wiederum, dass von Anfang Jänner bis Ende April im Durchschnitt 184 neue CVEs (engl. Common Vulnerabilities and Exposures, Schwachstellen in Software) entdeckt werden, auch dies ist mehr als eine Verdopplung gegenüber den Vorjahren (86 CVEs pro Tag zwischen 2020 und 2025).

Laut Daten aus dem National Privacy Test (NPT) von NordVPN wissen 90 Prozent der österreichischen Befragten nicht, welche Datenschutzaspekte sie bei der Nutzung von KI-Anwendungen im beruflichen Kontext berücksichtigen sollten.

Das ist ein gedanklicher Fehlschluss. KI deckt Sicherheitslücken auf. Und kann verwendet werden um sie proaktiv zu finden und zu schließen.
Die Sicherheitsrisiken bestehen unabhängig von KI.

Die Sicherheitsrisiken bestehen unabhängig von KI

Sicherheitsrisiken werden im Bereich der IKT bzw. der Digitalen Welt aber nun - mit Unterstützung durch KI und damit noch rascherer und leichterer Entdeckung als bisher, noch schneller zur tatsächlichen Bedrohung.
Angriffe gegen die digitale Infrastruktur von Unternehmen, die ohne KI bisher nur wenigen Sicherheitspezialisten und nur einigen „Hobby-Programmieren“ und „Cyber-War-Kriegern“ - mit dafür ausreichend tiefen Detailkenntnissen - möglich waren, sind nun allen Personen möglich, die dafür geeignete KI-Systeme bedienen und die dafür erforderlichen Prompts formulieren können, aber über erforderliche technische Detailkenntnisse für solche Angriffe gar nicht mehr selbst verfügen müssen, weil KI dann auch gleich Angriffstools zur Ausnützung bisher noch gar nicht bekannter Schwachstellen liefern bzw. generieren kann .

Nicht nur Unternehmen sparen durch gezielten Einsatz von KI Arbeitskräfte, das Gleiche gilt auch für Gegner/Feinde dieser Unternehmen - bzw. auch für Angreifer von Staaten.
Dank KI können auch „feindliche Kräfte“ mit weniger Personalaufwand in kürzerer Zeit größere Schäden an/in anzugreifenden Zielen verursachen -
weil komplexe KI-Systeme - gemeinsam mit KI -Agenten zu deren Koordination - in allen Phasen eines Angriffes ( von der Planung/Aufklärung über die Auswahl der Angriffspunkte und Angriffsmethoden, der Entwicklung neuer Waffen - bzw. Angriffstools - bis zum Einsatz dieser Tools ) verwendet werden können.

Im Bereich der analogen Welt stellen mögliche Sicherheitsrisiken, selbst dann eine reale Gefahr dar, wenn sie bis zum Eintritt eines katastrophalen Unfalles noch gar nicht entdeckt wurden und bis dahin auch noch keine negativen Auswirkungen bemerkt wurden.

Sicherheitstrisiken werden viel zu oft nur dann als solche „gesehen“, wenn sie nicht nur theoretisch - „eigentlich nicht denkbar“ - in irgendwelchen Studien beschrieben werden, sondern wenn es Vorschriften über regelmäßige Kontrollen , Prüfungen und sonstige proaktiv zu setzende Maßnahmen gibt, um allfällige Schäden als Folge schlagend gewordener Sicherheitsrisiken zu vermeiden und es deutlich spürbare (und „schmerzende“ ) Folgen - z.B. ausreichend hohe Geldstrafen , bis hin zu behördlich angeordneter Schließung von Unternehmensbereichen - gibt, um die Einhaltung solcher Vorschriften auch erzwingen zu können.

Ja, so ist das.

KI ermöglicht nicht nur den Herstellern, schneller den Fehlern und Mängeln ihrer eigenen Produkte auf die Spur zu kommen, sondern auch den Bösewichte. Es ist dann halt ein Wettrennen.

Wer nicht mitmachen will oder kann, der verliert halt.

„Natürliche“ Auslese.

Bitter, aber so gnadenlos ist das Leben.

Meine Antwor hat sich primär auf
@Roland_Giersig

KI deckt Sicherheitslücken auf.

bezogen.
KI deckt nicht nur Sicherheitslücken auf , sondern unterstützt auch Angriffe unter Ausnützung dieser von ihr gefundenen Sicherheitslücken.
Ich will damit darauf hinweisen, dass erst durch KI diese aufgedeckten (und erst durch KI bekannt gewordenen) Sicherheitslücken zu einer massiven Gefahr werden , weil sie ohne schnelle Aufdeckungf durch KI- Unterstützung vielleicht noch viel länger gar nicht bekannt geworden wären und damit auch nicht gleich Ausgangspunkt für erfolgreiche Angriffe werden hätten können.
Verschärfend kommt dann noch hinzu, dass KI auch gleich passende Angriffswerkeuge finden oder selbst generieren kann, um von ihr selbst gefundene Schwachpunkte auch gleich nahezu sofort nach deren Entdeckung für Angriffe gegen betroffene Systeme nutzen zu können.

Was schlägst du vor? Die Verwendung von KI zur Identifikation von Schwachstellen in Software und deren Weiterentwicklung stark einzuschränken oder zu verbieten?

Notwendig wäre so etwas - aber nicht nur für die Entdeckung und Ausnützung von Schwachstellen in IKT-Systemen - sondern auch z.B. für die „Abschaffung“ einer dokumentierbaren Realität.
Denn ab sofort könnte jedes Bild , jedes Video , jede Tonaufnahme und jeder geschriebne Text eines jeden Autors Ergebnis von Halluzinationen von KI - Systemen oder von ihnen erteilten „Fälschungsaufträgen“ sein - und das dann auch noch kostengünstig, jederzeit und in beliebigen Mengen.

Und „verbieten“ wird da sicher nicht reichen - es sollte technisch gar nicht mehr möglich und diese „technische Unmöglichkeit“ auch verlässlich technisch prüfbar - und jedenfalls nicht „umgehbar“ - sein, auch wenn Du mich deswegen nun für „verrückt“ halten wirst.

Und die Mafia wird da brav mitspielen?

Da wöre dann erst eine - und möglicherweise sogar die einzige - Organisiation bzw. Unternehmensgruppe , wenn man sie geeignet - vielleicht durch „freiwillig“ gezahlte Schutzgelder - teilhaben lassen könnte.

Dass KI Modelle nicht so schwer zu betreiben sind - hast Du übersehen. Es gibt die Dinger Open Source zum Download und sie sind nicht ganz so übel. Wie willst Du den Zugriff darauf einschränken, wenn man nicht mehr als einen halbwegs leistungsfähigen Rechner braucht, wie Andi Kunar immer wieder demonstriert - um das selbst zu betreiben?

Selbst wenn Du die Technologie morgen verbieten würdest, wäre die Software (die im übrigen nicht sehr komplex ist) bereits in der freien Wildbahn und von - nehmen wir die von Stefan zitierte Mafia - weiterverwendbar.

Mittels 3D Druckern kann man mit Bauplänen aus dem Internet Waffen drucken. Sollten wir gleich mitverbieten.

Mit einem PC kann man Cyberangriffe auf andere Rechner machen. Verbieten.

Mit der Post kann man Paketbomben verschicken. Auch verbieten.

Wir reden hier über KI. Dass man mittlerweile Viren in kleinen Maschinchen genetisch designen kann, und die Geräte frei käuflich sind zu einem Preis ungefähr wie Andis zwei KI Rechner - beunruhigt hier scheinbar niemanden.

Ich verstehe das Unbehaben, dass man mit modernen Technologien, die einerseits eine große Hilfe darstellen können, auch viel Unfug betreiben kann. Das Messer. Das Auto. Die Atomkraft. Die Biotechnologie. Drogen. Es kommt immer darauf an, wie man sie verwendet, mit welchem Ansinnen. Die Arbeit liegt vor uns, an den Menschen zu arbeiten, damit sie sich gut und korrekt verhalten.

Ja, ich bin ein Freund davon, Waffen im Privatbesitzt zu verbieten. Weil sich für mich nicht erschliesst, warum man diese Dinger haben muß. Software ist aber viel komplexer. Und Software kann ich auch nicht wie Waffen einfach mal einsammeln.

Gebote und Verbote sind fein, um den braven Menschen eine Orientierung zu geben. Die bösen Menschen kümmern sich nicht darum. Das ist leider eine Tatsache.

Gebote und Verbote funktionieren in Gesellschaften aber nur, wenn sie von möglichst vielen Menschen auf mitgetragen werden. Bei einem Pauschalverbot wird das schwierig werden. Vorallem, weil es heute kaum mehr möglich ist, zwischen „normaler Software“ und „KI“ zu unterscheiden.

Also ja: Gebote und Verbote sind in Maßen sinnvoll. Aber es entbindet uns nicht davon, für eine Akzeptanz - ohne ausschliesslich auf Drohnungen,Strafen, Zwang und Polizeiknüppel zu setzten - zu sorgen. Und da sind wir wieder beim Menschen.

Der Wunsch, das Fehlverhalten des Menschen mit Technolgie zu überwachen, zu erkennen, zu bestrafen und am Besten gleich zu verunmöglichen macht mir Angst. Denn er beraubt uns Menschen der Entscheidungshoheit und Würde. Das geht Richtung Techno-Diktatur. Nein, mag ich gar nicht. Ich kann den Antrieb dazu verstehen: schliesslich ist es für autistische IT-Nerds ein Gräuel, sich mühsam immer und immer wieder mit anderen Menschen auseinandersetzten zu müssen, mit ihnen zu diskutieren und auszuhandeln, was rechtes Verhalten ist. Da ist der technologische Zwang doch viel einfacher.

Lieber Erich, ja, das ist eine weitverbreitete Meinung, die jedoch falsch ist. Als für den TÜV tätiger Sicherheitsexperte kann ich dir versichern, dass das BESTEHEN von Sicherheitslücken das Problem ist. Geheimhaltung von Sicherheitslücken ist keine international anerkannte Sicherheitstechnik.