Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

31. Januar 2023

Wie KI zum Helfer bei Phishing-Attacken wird

KI macht Phishing-Angriffe einfacher denn ja
Bild: iStock.com / Andreus
4,50 (4)
Inhalte in diesem Beitrag
Schutz vor Passwort-Diebstahl
Die Qualität von Phishing-Mails entscheidet über ihren Erfolg und damit über den möglichen Schaden für die Opfer. Dank KI (Künstlicher Intelligenz) wie ChatGPT wird der Aufwand für erfolgversprechende Phishing-Attacken immer geringer, das Phishing-Risiko im Gegenzug immer höher. Wir geben einen Überblick.

Darum wird Phishing durch KI noch gefährlicher

Die Zeit schlecht gemachter Phishing-Mails geht angesichts der Fähigkeiten von Künstlicher Intelligenz (KI) zu Ende. Früher ließen sich viele Mails, die auf den Diebstahl von Passwörtern abzielten, leicht erkennen:

  • an Rechtschreibfehlern,
  • an fehlerhaftem Deutsch und
  • daran, dass man sich bei Online-Banken einloggen sollte, deren Kunden man gar nicht war.

Die Angriffe waren nicht zielgenau genug. Die Internetkriminellen waren früher aber nicht etwa dumm oder wenig motiviert. Der Aufwand für fehlerfreie, gut gemachte und zielgenaue Phishing-Mails war einfach zu groß. Es waren Hintergrund-Recherchen nötig, die Zeit kosteten.

Doch mit KI lässt sich auch der Aufwand bei kriminellen Aktivitäten senken. KI kann leider auch dabei helfen, Phishing-Mails zu optimieren. Entsprechend werden die Phishing-Attacken besser, erfolgreicher und zu einem noch höherem Datenrisiko. Es ist wenig Aufwand, statt massenhaft fehlerhafte Phishing-Mails zu platzieren, nun zielgerichtet und genau für das Opfer passend eine Attacke zu starten. Spear-Phishing wird mit KI so zum Normalfall.

Deshalb müssen Datenschutzbeauftragte aktiv werden

Aus Sicht des Datenschutzes und von Datenschutzbeauftragten (DSB) sind Phishing-Attacken ein mehrfaches Risiko:

  • Gelingt der Passwort-Diebstahl, hat der Angreifende in der Regel alle Zutaten, um die digitale Identität des Opfers vorzutäuschen. Denn ohne zweiten Sicherheitsfaktor reichen Benutzername und Passwort aus, um Nutzerzugänge zu übernehmen, also digitale Identitäten und damit personenbezogene Daten stehlen.
  • Mithilfe der gestohlenen Passwörter können die Diebe die Berechtigungen des Opfers missbrauchen, in dessen Namen weitere Attacken starten und entsprechend zusätzliche, auch personenbezogene Daten stehlen, ausspähen, manipulieren und vernichten.

Weisen Sie als DSB in Ihrer Beratung und Datenschutzschulung auf die wachsende Gefahr durch KI-basierte Phishing-Mails hin. Besprechen Sie mit der IT-Sicherheit, wie sich der Phishing-Schutz anpassen lässt.

PrivacyTutor Alexander Baetz gibt im folgenden YouTube-Video wertvolle Tipps, um Phishing E-Mails rechtzeitig zu erkennen: https://www.youtube.com/watch?v=5E_bnnFBwmI
Cybersicherheit für Datenschutzbeauftragte

Cybersicherheit für Datenschutzbeauftragte

So beraten Sie datenschutzkonform bei der Vorbeugung, der Abwehr und bei der Erholung von Cyberangriffen:

  • Cyberbedrohungen für den Datenschutz systematisch ermitteln
  • Angriffe erkennen und Meldepflichten erfüllen – mit zahlreichen Checklisten und Muster-Texten
  • Datenschutz und Cyberschutz wiederherstellen und verbessern

Das sind die Risiken durch KI bei Phishing-Attacken

IT-Sicherheitsbehörden wie BSI (Bundesamt für Sicherheit in der Informationstechnik) und ENISA (EU-Agentur für Cybersicherheit) warnen schon längere Zeit vor dem Missbrauchspotenzial bei KI.

Aktuell zeigt ChatGPT, wie dies immer mehr Realität wird:

  • „Eines der größten Risiken besteht darin, dass Angreifer diese Plattformen nutzen, um die Qualität ihrer Phishing-Köder erheblich zu verbessern. Damit sind Phishing-Angriffe selbst für aufmerksame Nutzer immer schwieriger zu identifizieren“, so Chet Wisniewski, Cybersecurity-Experte bei Sophos. „Letztendlich liefern die immer besseren KI-Chatbots ein kostenloses Upgrade für alle Arten von Social-Engineering-Angriffen. Programme wie ChatGPT können dazu genutzt werden, kriminell orientierte, sehr realistische, interaktive Gespräche via E-Mail zu führen oder Chat-Angriffe über Facebook Messenger, WhatsApp oder andere Chat-Apps zu starten.“
  • „Was Spear-Phishing betrifft, so ist es ziemlich teuer, wenn ein lebender Cyberkrimineller eine E-Mail an ein einzelnes Opfer schreibt. Daher wird es nur bei gezielten Angriffen verwendet“, bestätigt der Kaspersky-Experte Stan Kaminsky. „ChatGPT wird die Machtverhältnisse drastisch verändern, weil es Angreifern ermöglicht, überzeugende und personalisierte E-Mails im industriellen Maßstab zu generieren.“

So gelingt ein besserer Schutz vor Phishing

Da sich die Werkzeuge aufseiten der Angreifenden dramatisch verbessern, muss sich die Abwehr ebenfalls besser aufstellen, den Phishing-Schutz also optimieren. Beraten Sie als DSB die Verantwortlichen, damit sie die Schutzfunktionen gegen Phishing-Attacken ausbauen.

  • Neue Anti-Phishing-Filter nutzen zunehmend Textanalysen, die nach Anzeichen suchen, ob ein Chatbot oder ein Mensch den Text geschrieben hat.
  • Security-Expertinnen und -Experten erwarten, dass bald KI-basierte Dienste dabei helfen werden, KI-generierte Texte zu enttarnen und gleichzeitig auf Anzeichen für Phishing zu achten.
  • Dabei ist wahrscheinlich, dass es auch Phishing-Texte geben wird, die eine KI und ein menschlicher Angreifer gemeinsam erstellen.

Erneut zeigt sich, wie wichtig es für Datenschutz und Datensicherheit wird, KI transparent und nachvollziehbar zu machen. Denn KI kann auf beiden Seiten aktiv sein.

Wichtig
Um Phishing-Attacken abzuwehren, sollte eine KI zum Einsatz kommen, die den Datenschutz bereits im Design in sich trägt und deren Funktionen man vertrauen kann.

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.