Connect with us

Datenschutz & Sicherheit

Bericht für den Bundestag: So gefährlich sind Deepfakes


Im Jahr 2020 veröffentlicht der britische TV-Sender Channel 4 eine sonderbare Weihnachtsansprache. Zu sehen ist eine Person, die man auf den ersten Blick für die (inzwischen verstorbene) Königin Elisabeth II. halten muss. Nur ihre Worte klingen zunehmend weniger royal. Schließlich besteigt die vermeintliche Queen ihren Schreibtisch und legt unter Konfetti-Regen einen TikTok-Tanz hin.

Die Auflösung der Szene zeigt Channel 4 direkt im Anschluss: Die mit vergoldetem Stuck verzierten Wände weichen einem Greenscreen. Statt der Königin kommt eine Darstellerin zum Vorschein. Schon damals nannte man die eingesetzte Tricktechnik „Deepfake“. Es geht um synthetische Darstellungen, die täuschend echt aussehen. Heute kann jeder Mensch mit öffentlichen Online-Werkzeugen solche und noch aufwendigere Inhalte selbst erstellen. Möglich machen es Bild- und Videogeneratoren, die viele als KI bezeichnen.

Die Weihnachtsansprache der falschen Queen ist nur ein Beispiel aus einem lesenswerten Bericht über die Gefahren und Potenziale von Deepfakes, den Forschende im Auftrag des Bundestags erstellt haben. Das im Januar veröffentlichte Papier kommt aus dem Büro für Technikfolgen-Abschätzung. Es berät das Parlament in Fragen von Wissenschaft und Technik mit nach eigener Aussage unparteiischen Analysen.

Auf 46 Seiten buchstabieren die Forschenden aus, was mit Deepfakes alles möglich ist; wo sie Schaden anrichten oder Gutes bewirken können. Teils sehen die Forschenden Bedarf für strengere Regulierung, teils machen sie aber auch klar: Mit Gesetzen allein kommt man nicht weiter. Die Zusammenfassung.

Deepfakes: Das sind die Gefahren

Deepfakes können „sowohl für böswillige als auch für wohlmeinende Zwecke angewendet werden“, schreiben die Forschenden. Mindestens vier konkrete Risiken lassen sich aus dem Bericht zusammenfassen.

  • Nicht-einvernehmliche, sexuelle Aufnahmen: Mit Deepfake-Technologie können Menschen beliebige Gesichter fotorealistisch in Pornos montieren; sie können Kleider in Aufnahmen durch nackte Körper ersetzen – oder gänzlich neue Aufnahmen generieren. Die Forschenden schätzen: Dieses Phänomen ist das häufigste. Betroffen seien „fast ausschließlich“ Frauen. Sie würden bloßgestellt, herabgewürdigt, eingeschüchtert und erpresst. Diese Fälle seien nicht als individuelle Übergriffe zu werten, sondern hätten gesellschaftliche Auswirkungen, „indem sie die Gleichstellung von Frauen im öffentlichen, digitalen Raum angreifen“.
  • Politische Manipulation: In einem Deepfake-Video aus dem Jahr 2022 hatte ein vermeintlicher Präsident Selenskyj die Kapitulation der Ukraine vor dem Aggressor Russland erklärt. Mit diesem Beispiel illustrieren die Forschenden die Gefahr von politisch motivierten Deepfakes. Sie können auf die öffentliche Meinungsbildung abzielen oder Unruhen anheizen. Bereits der Verdacht, dass eine Aufnahme gefälscht ist, könne „den gesellschaftlichen Zusammenhalt destabilisieren“. Nennenswerte Auswirkungen hätten solche politischen Deepfakes allerdings noch nicht gehabt, „trotz vieler Fälle insbesondere im Kontext von Wahlkämpfen“.
  • Gefälschte Aussagen und Beweise: Immer wieder dienen Kamerabilder als Beweise vor Gericht. Aber Deepfakes „stellen grundlegend die Glaubwürdigkeit von Bild-, Ton- und Videodokumenten in juristischen Verfahren infrage“, warnen die Forschenden. Durch vermeintliches Beweismaterial könnten Menschen auch unberechtigt in Verdacht geraten. Als weiteres Problem nennen die Forschenden virtuelle Gerichtsverhandlungen. Hier sei das Risiko erhöht, dass eine per Video zugeschaltete Person ein Deepfake ist.
  • Betrug: Mit Deepfakes können Kriminelle Gesichter und Stimmen imitieren und sich als jemand anderes ausgeben. Die Forschenden schreiben von einer „neuen Form des Enkeltricks“. Als Beispiel nennen sie einen britischen Fall aus dem Jahr 2019: Die Führungskraft eines Unternehmens hatte 220.000 Euro auf ein ungarisches Konto überwiesen, weil der vermeintliche Chef per Telefon darum gebeten hatte.

Deepfakes: Das sind die Potenziale

Deepfakes sind ambivalent. Mindestens fünf Einsatzmöglichkeiten beschreiben die Forschenden in ihrem Bericht als positiv, einige aber mit ethischen Bedenken.

  • Medien: „Deepfakes sind ein neues Werkzeug, um der eigenen Kreativität Ausdruck zu verleihen“, schreiben die Forschenden. Möchte man etwa Filme in andere Sprachen übersetzen, lassen sich mit Deepfakes die Lippenbewegungen anpassen. Gealterte Darsteller*innen können jüngere Versionen von sich selbst verkörpern. Das werfe allerdings die Frage auf, ob es Filme mit bereits verstorbenen Schauspieler*innen geben dürfe. Satirische Deepfakes wiederum könnten „durch humoristische Kritik“ Debatten anstoßen. In journalistischen Videos könnten Deepfakes Quellen verfremden, die anonym bleiben wollen.
  • Bildung: Für TV-Dokus stellen Medienmacher*innen gerne historische Szenen nach. Deepfakes könnten wichtige Persönlichkeiten oder Ereignisse der Zeitgeschichte besonders eindrücklich erfahrbar machen, schreiben die Forschenden. In der beruflichen Bildung wiederum können Lehrkräfte mithilfe von Deepfakes gefährliche Situationen besser simulieren.
  • Gesundheit: Diese Anwendungsfälle werden gerade noch erforscht, heißt es im Bericht. Zum Beispiel könnten Menschen, die nach einer OP nicht mehr wie zuvor sprechen können, ihre Stimme synthetisch erzeugen lassen. Auch würden Wissenschaftler*innen diskutieren, ob Deepfakes Menschen dabei helfen können, bestimmte Traumata zu verarbeiten.
  • Verdeckte Ermittlungen: Auf ethisch und juristisch dünnem Eis bewegen sich mehrere Anwendungsfälle für die Polizei. Schon heute darf sich die Polizei mit künstlich erzeugten Aufnahmen sogenannter Kinderpornografie Zutritt zu Netzwerken von Pädokriminellen verschaffen – obwohl der Besitz dieses Materials strafbar ist. Deepfake-Technologie macht es zunehmend einfacher, solche Darstellungen zu generieren. Darüber hinaus diskutieren Behörden, ob sie Deepfakes für verdeckte Ermittlungen einsetzen können. Konkret könnten Beamt*innen dem Bericht zufolge die Stimme von Menschen aus dem Umfeld eines Verdächtigen imitieren. „Nach derzeitiger Rechtslage ist ein solches Vorgehen in Deutschland allerdings nicht möglich“, schreiben die Forschenden.
  • Öffentliche Kommunikation der Polizei: Mit Deepfake-Technologie kann die Polizei Fotos von Vermissten bearbeiten, die inzwischen älter aussehen müssten, wie die Forschenden erklären. Auch bei öffentlichen Aufrufen könnten Deepfakes zum Einsatz kommen. Als Beispiel nennt der Bericht ein Video der niederländischen Polizei aus dem Jahr 2022: Darin bittet ein per Deepfake animierter, getöteter Jugendlicher die Öffentlichkeit um Hinweise auf seinen eigenen Tod. Ethische Bedenken äußern die Forschenden an dieser Stelle nicht.

Das schützt schon heute vor Deepfakes

Das eine Anti-Deepfake-Gesetz gibt es nicht, stattdessen aber ein Bündel an Regulierungen je nach Art des Deepfakes. Teils unterscheiden sich die Vorschriften in Deutschland, Europa und anderen Ländern der Welt.

  • Nicht-einvernehmliche, sexuelle Deepfakes sind in der EU strafbar, zumindest, wenn Menschen sie verbreiten. Das verlangt die neue Richtlinie zur Bekämpfung von Gewalt gegen Frauen, die Mitgliedstaaten wie Deutschland noch umsetzen müssen. In den USA reguliert der Take It Down Act das Phänomen. Das aktuelle deutsche Strafrecht bietet generell für betroffene bildbasierter Gewalt noch einen Flickenteppich an Regelungen.
  • Deepfakes von Politiker*innen im Vorfeld von Wahlen sind in einigen US-Bundesstaaten reguliert, wie der Bericht ausführt. Konkret geht es um Deepfakes, die „darauf abzielen, den Ruf eines Kandidaten zu schädigen oder das Ergebnis einer Wahl zu beeinflussen“; ausdrücklich ausgenommen sind demnach Parodie und Satire.
  • Eine Kennzeichnungspflicht von Deepfakes steht in der KI-Verordnung (AI Act) der EU. Anbieter von KI-Systemen müssen demnach dafür sorgen, dass KI-Erzeugnisse einen maschinenlesbaren Hinweis verpasst bekommen. Die Maßnahmen werden jedoch als „ineffektiv und nicht ausreichend“ erachtet. Selbst korrekt gekennzeichnete Inhalte würden viele Leute erreichen.
  • Meldeverfahren und Moderation bei rechtswidrigen Inhalten schreibt in der EU das Gesetz über digitale Dienste (DSA) vor, und betrifft damit auch rechtswidrige Deepfakes. Kritik gibt es aber bei der Umsetzung: So schreibe das Gesetz keine konkreten Fristen dafür vor, wie schnell Anbieter reagieren müssen.
  • Das deutsche Zivilrecht gibt Betroffenen von Deepfakes je nach Fall verschiedene Mittel an die Hand. Zum Beispiel schützt das allgemeine Persönlichkeitsrecht das Recht am eigenen Bild, den Schutz der persönlichen Ehre – oder „das Recht, von der Unterschiebung nicht getätigter Äußerungen verschont zu bleiben“, führen die Forschenden aus. All das kann bei nicht-einvernehmlichen Deepfakes relevant sein. Die Krux ist hier eher: Betroffene haben es schwer, ihre Ansprüche vor Gericht durchzusetzen.
  • Das deutsche Strafrecht erfasst mehr als nicht-einvernehmliche sexuelle Deepfakes. Wenn Deepfakes zum Beispiel genutzt werden, um Menschen Geld aus der Tasche zu ziehen, kann Betrug in Frage kommen. Erstellen Kriminelle per Deepfakes kompromittierendes Material und drohen mit dessen Veröffentlichung, können das Erpressung oder Nötigung sein, wie der Bericht ausführt.

Das sind die Lücken beim Schutz vor Deepfakes

Das Wort „Lücken“ taucht im Bericht insgesamt acht Mal auf. Die Forschenden machen aber auch klar, dass die gestückelte Regulierung von Deepfakes einen tieferen Sinn hat: Das deutsche Rechtssystem ist nämlich technologieneutral. Das heißt, es orientiert sich nicht an bestimmten Technologien wie Deepfakes, sondern an Rechtsgütern wie Datenschutz, Ehre oder dem Recht am eigenen Bild.

Manches wiederum lässt sich nicht mit Gesetzen lösen. Das zeigen zumindest einige der offenen Baustellen, die aus dem Bericht hervorgehen.

  • Im deutschen Strafrecht erkennen die Forschenden Lücken im Kontext von nicht-einvernehmlichen sexuellen Deepfakes. Hier müsse die EU-Richtlinie, die deren Verbreitung unter Strafe stellt, „noch in nationales Recht umgesetzt werden“.
  • Die Durchsetzung des Rechts kann dem Bericht zufolge daran scheitern, dass Ermittler*innen schlicht nicht wissen, welche Behörde zuständig ist. „Deepfakes können global verbreitet werden, ihre Bekämpfung erfordert daher regelmäßig eine internationale Zusammenarbeit“, so der Bericht.
  • Beim Schutz vor Diskriminierung sehen die Forschenden eine weitere Lücke. So könnten KI-generierte Darstellungen Stereotype von Geschlechtern darstellen oder rassistische Annahmen reproduzieren. Konkretes Beispiel aus dem Bericht: wenn KI-generierte „Terroristen“ stets „männlich“ sind und eine „dunkler Hautfarbe“ hätten. Zwar ist der Schutz vor Diskriminierung auch in der EU gesetzlich verankert; in der Praxis gebe es bei entsprechenden Deepfakes aber kaum Handhabe, wie aus dem Bericht hervorgeht.
  • Zuverlässig erkennen lassen sich Deepfakes nicht. Zwar entwickeln Forschende zunehmend bessere Software dafür, doch im Gegenzug lassen sich auch KI-Systeme gezielt darauf trainieren, Deepfake-Detektoren zu täuschen. Das Ergebnis ist ein „Katz-und-Maus-Spiel“, schreiben die Forschenden. „Detektoren erweisen sich daher in ihrer Effektivität als zeitlich begrenzt und laufen den Weiterentwicklungen von Deepfakes stets hinterher.“
  • Mehr öffentliche Aufklärung über Fälle von schädigenden Deepfakes ist laut Bericht eine Gegenmaßnahme, „um die Aufmerksamkeit für das Problem zu erhöhen und Schutzmaßnahmen zu verbessern“. An dieser Stelle gehen die Forschenden allerdings nicht darauf ein, dass Berichte über Deepfakes auch deren Reichweite erhöhen.
  • Standards und Regeln im Umgang mit KI-generierten Inhalten sind eine weitere Option, so die Forschenden. Das betreffe etwa Parteien und Medien. „Auf diese Weise kann die Grenze zwischen kreativen und gefahrlosen und schädigenden Anwendungen deutlich gemacht werden.“



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

YubiKey Manager: Sicherheitslücke ermöglicht Ausführung untergeschobenen Codes


Eine Schwachstelle in YubiKey Manager, libfido2 und python-fido2 ermöglicht Angreifern, der Software Schadcode unterzuschieben. Yubico stellt aktualisierte Softwarepakete bereit, die die Lücken stopfen sollen.

Weiterlesen nach der Anzeige

Davor warnt Yubico in einer Sicherheitsmitteilung. Für die Open-Source-Projekte YubiKey Manager, libfido2 sowie python-fido2 stehen seit Mittwoch dieser Woche aktualisierte Quellen respektive Installer bereit. Sie schließen alle Schwachstellen, die unter Windows aufgrund eines Problems mit dem DLL-Suchpfad auftreten können. Haben Angreifer die Möglichkeit, Dateien im Installationsverzeichnis der betroffenen Software abzulegen, können sie dadurch eigenen Code zur Ausführung bringen.

Die verwundbare Software nutzt die Funktionen LoadLibrary(TEXT("DLL_NAME")), was den Suchpfad nicht auf das System32-Verzeichnis beschränkt. Durch die Nutzung von LoadLibraryExW(L"DLL_NAME", NULL, LOAD_LIBRARY_SEARCH_SYSTEM32) respektive WinDLL("DLL_NAME", winmode=LOAD_LIBRARY_SEARCH_SYSTEM32) korrigieren die Yubico-Entwickler den sicherheitsrelevanten Fehler jedoch. Wenn die betroffene Software mit Administratorrechten auf den Verzeichnissen geschützt ist, würden Angreifer ebenfalls diese Zugriffsrechte benötigen, schränkt Yubico jedoch ein (CVE-2026-40947, CVSS 7.0, Risiko „hoch“). Abweichend von Yubicos Einschätzung stuft MITRE die Lücke lediglich als niedriges Risiko ein (CVSS 2.9, Risiko „niedrig“).

Aktualisierte Software schützt

Yubico empfiehlt Nutzern und Nutzerinnen, auf die fehlerkorrigierten Versionen zu aktualisieren: libfido2 1.17.0, python-fido2 2.2.0 sowie yubikey-manager 5.9.1. Entwickler, die die verwundbaren Bibliotheken in ihren Apps verwenden, sollten die Microsoft-Hinweise zum Schutz vor DLL-Preloading-Angriffen nachvollziehen, um ihre Software vor diesen Arten von Angriffen zu schützen.

Vor rund zwei Jahren hatte Yubico bereits eine Sicherheitslücke in YubiKey Manager geschlossen, die Angreifern die Ausweitung ihrer Rechte im System ermöglichte. Im September 2024 erlangte ein Cloning-Angriff über einen Seitenkanal in der Firmware von Yubikey-Hardware Bekanntheit. Er hat den Namen EUCLEAK erhalten.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Ärger mit aktueller NordVPN-App für macOS


Wer den Mac-Client von NordVPN verwendet, hat unter Umständen derzeit Schwierigkeiten: Zahlreiche Nutzer auf Reddit und anderen Foren melden diverse Fehler nach der großen Aktualisierung auf Version 10 der App. Diese wird unter anderem per Mac App Store vertrieben und ermöglicht die Verwaltung des Dienstes – darüber sucht man etwa aus, welche Technik verwendet werden soll und welche Ausgangs-IP genutzt wird. Nun kommt es vor, dass die Verbindung nicht gehalten wird und sich alle paar Minuten bis Sekunden neu herstellt, hieß es. Probleme gab es auch bei den DNS-Einstellungen und der Kill-Switch-Funktion, die sich zwischenzeitlich nicht deaktivieren ließ. Insgesamt soll die App nur langsam laufen und Bedienschwierigkeiten machen. Nutzer konnten das Problem auch nach mehreren Neustarts nicht beheben.

Weiterlesen nach der Anzeige

Techniker ist informiert

Weder die Mobil- noch die Windows-Versionen des NordVPN-Clients sollen betroffen sein, mancher Mac-Nutzer sieht die Fehler ebenfalls nicht. Momentan ist noch unklar, woran das liegt – möglicherweise arbeitet die Software je nach verwendetem Betriebssystem, also etwa macOS 15 (Sequoia) oder 26 (Tahoe) anders. NordVPN bestätigte das Problem mittlerweile und teilte mit, dass man ein „langsameres App-Verhalten, Lags bei der Navigation zwischen Eintstellungsbildschirmen und Tabs und eine erhöhte CPU-Last” erkannt hat.

Es handele sich dabei um ein bekanntes Problem und die Ingenieure seien gerade dabei, eine Lösung „zu identifizieren und zu implementieren”. NordVPN entschuldige sich dafür. Mittlerweile ist klar, wann die Lösung kommt: Bereits im Laufe des heutigen Freitags soll ein Hotfix auf Version 10.0.4 eingespielt werden, aktuell verteilt wird Version 10.0.3. Wer zuvor nicht auf NordVPN 10 aktualisiert hatte, wurde von dem Verhalten verschont.

Manuell konfigurieren geht auch

Hilfreich kann zuvor sein, den Cache der App zu löschen, was allerdings einen Ausflug in Systemordner bedingt – das sollten nur Nutzer machen, die wissen, was sie da tun.

Der Vorfall zeigt, dass es bei VPN-Anbietern nicht immer sinnvoll ist, deren eigene Clients zu verwenden, die zudem teils tief in das System eingreifen. Die meisten Firmen erlauben es parallel auch, den Dienst manuell zu konfigurieren. Das ist bei NordVPN auch so, zumindest wenn man OpenVPN nutzt. Hier lassen sich Konfigurationsdateien herunterladen. Offiziell wird diese Methode für WireGuard nicht unterstützt, allerdings gibt es Anleitungen, um an die Daten zu gelangen.

Weiterlesen nach der Anzeige


(bsc)



Source link

Weiterlesen

Datenschutz & Sicherheit

Analyse: Vom Mythos zur Vulnocalypse und was jetzt wirklich zu tun ist


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Anthropics Mythos und die Kommentare und Analysen rund um diese (Nicht-)Veröffentlichung dominieren das Security-Geschehen – und das zu Recht: Wir befinden uns aktuell mitten in einer Singularität, wie sie die IT-Security in den vergangenen 10 Jahren nicht gesehen hat. Allerdings produziert das auch Hype, der von den eigentlich wichtigen Dingen ablenkt. Nicht zuletzt deshalb, weil Anthropic sich entschieden hat, das Ganze vor allem als PR-Booster der eigenen Interessen zu nutzen. Deshalb möchte ich einen Schritt zurücktreten und nüchtern analysieren, was tatsächlich das Problem ist, mit dem wir uns konfrontiert sehen – und was daraus für die jetzt nötigen Schritte folgt.

Weiterlesen nach der Anzeige

Zunächst: Das Problem ist nicht Anthropics Mythos. Auch andere LLMs hätten die von Mythos aufgedeckten Sicherheitslücken finden können; der aktuelle Vorsprung von Anthropic ist angesichts der sich abzeichnenden Entwicklung nicht relevant. Es ist auch nicht so, dass Angreifer jetzt plötzlich neue, nie dagewesene Fähigkeiten hätten, denen wir machtlos gegenüberstehen. Unser Problem ist Folgendes: LLMs haben jetzt die Fähigkeit, selbstständig echte Sicherheitslücken in Software zu finden. Sie können diese aber (noch?) nicht selbst beseitigen – und auch wenn sie das könnten, wären diese Fixes noch lange nicht beim Nutzer angekommen. Sprich: Das Finden und Ausnutzen von Sicherheitslücken lässt sich vollständig automatisieren und in industriellem Maßstab hochskalieren. Das Fixen dieser Lücken hingegen erfordert immer noch viel menschliche Beteiligung und wird deshalb auf absehbare Zeit deutlich langsamer erfolgen.

Die bevorstehende „Vulnocalypse“

Und das alles wird rasant noch sehr viel schlimmer werden. Die existierenden Bug-Fixing-Kapazitäten werden bereits jetzt in die Sättigung getrieben, während die Fähigkeit, neue Bugs zu finden, auf absehbare Zeit weiter steigen wird. Denn die befindet sich aktuell noch in einer sehr frühen Phase. Daraus folgt unmittelbar, dass uns eine Zeit bevorsteht, in der KIs sehr viel mehr Bugs finden, als gefixt werden können. Jedes System, das für Angreifer erreichbar ist, wird angreifbar sein, es wird angegriffen werden und es wird zu einer lange nicht dagewesenen Zahl von Sicherheitsvorfällen kommen. Wie lange diese Phase andauern wird und was danach kommt, werde ich später noch diskutieren. Wichtig ist jetzt erst mal, was sich bereits daraus ableiten lässt. Das Allerwichtigste:

Die Situation ist akut und jede:r, der/die für die Sicherheit von IT verantwortlich ist, sollte unmittelbar handeln und sich darauf vorbereiten.

Das lässt sich nicht mehr wegdiskutieren und „erstmal abwarten“ führt zu absehbaren Katastrophen. Die jetzt dringend erforderlichen Maßnahmen fallen in folgende Bereiche:

  • Beschleunigen der Update-/Patch-Zyklen
  • Reduzieren der Angriffsfläche
  • Verbessern der Resilienz und Defense in Depth
  • Vorbereiten auf den Ernstfall – genauer, die Ernstfälle, denn es wird nicht bei einem bleiben
  • Auf die Wieder-Inbetriebnahme nach einem Vorfall vorbereiten

Ja, genau – das ist nichts Neues. All das hätte man bereits vor sechs Monaten genau so empfehlen können – und tatsächlich habe ich das sogar. Das kommt unter anderem daher, dass die KIs bislang keine neuartigen Schwachstellen aufdecken. Ob das so bleiben wird, ist eine andere, spannende Frage, die ich mir für später aufhebe. Doch alles, was Mythos & Co derzeit finden, hätte vor sechs Monaten auch ein Mensch aufspüren können. Nur war eben die Wahrscheinlichkeit für jeden einzelnen Fund so gering, dass wir uns da an vielen Stellen auch mit faulen Kompromissen irgendwie durchmogeln konnten. In diesem Bewusstsein haben wir über viele Jahre eine große Menge an Security-Schulden angehäuft. Und die werden jetzt fällig. Also in den nächsten sechs bis zwölf Monaten – um da mal eine konkrete Zahl in den Raum zu stellen. Und die werden ganz bitter.

Weiterlesen nach der Anzeige

Die fällige Neuorientierung

Deshalb ist es jetzt allerhöchste Zeit, sich darauf vorzubereiten. Also die oben aufgeführten Maßnahmen unter diesem Gesichtspunkt neu zu evaluieren und mit hoher Priorität auf die Agenda der nächsten Monate zu setzen. Da kann der Hype rund um Mythos sogar helfen. Selbst die Geschäftsführung hat vielleicht vom aufziehenden AI Vulnerability Storm und der Notwendigkeit gehört, sich auf Mythos vorzubereiten. Das liefert Anknüpfungspunkte, eigene Vorschläge zur Neubewertung der IT-Sicherheit zu unterbreiten.

Die werden fast schon zwangsläufig auch die Nutzung von KI einfordern, weil man nur mit deren Unterstützung die notwendige Geschwindigkeit bei der Umsetzung und bei der Abarbeitung der neuen Prozesse hinbekommen kann. Doch vieles geht auch ganz oder weitgehend ohne KI. Und das ist deshalb nicht weniger wichtig – im Gegenteil. Denn wie man etwa KI möglichst robust in den Update-/Patch-Zyklus einbaut, ist noch längst nicht wirklich klar. Wir können aktuell nur hoffen, dass die IT-Security-Industrie gemeinsam mit den KI-Firmen und Software-Entwicklern praktikable Lösungen findet und bereitstellt. Da kommen Anthropics Glasswing, OpenAIs Aardvark und unzählige innovative Projekte von KI-Startups wie AISLE und ZeroPath ins Spiel.

Doch noch wichtiger sind jetzt die klassischen Security-Basics, die wir viel zu lange vernachlässigt haben. Für Maßnahmen wie Segmentierung, Least Privilege, MFA oder auch Monitoring mit Deception und so weiter gibt es nämlich bereits bewährte Konzepte und Leitfäden. Deshalb würde ich solche soliden Security-Grundlagen sogar höher priorisieren und kurzfristiger umsetzen als zukunftsweisende, wirklich KI-getriebene Prozesse.

Trotz all der Kassandra-Rufe sehe ich die Rolle von KI in der IT-Sicherheit langfristig eher positiv. Denn es ist ja nicht so, dass wir da aktuell ein gut funktionierendes Gesamtkonzept hätten – ganz im Gegenteil. Das knirscht und versagt bereits seit Jahren an allen Ecken und Enden. Langfristig habe ich die Hoffnung, dass wir einen Zustand erreichen, in dem Verteidiger mehr von den Fähigkeiten der LLMs profitieren als die Angreifer. Denn das Fixen von Bugs skaliert letztlich besser als das Ausnutzen mit Real-World-Exploits. Und damit wird es realistisch, dass Software und die darauf aufbauende IT weitgehend sicher und resilient wird. Doch da reden wir von einem Zeithorizont von mehreren Jahren – und einem langen Weg, mit vielen Unbekannten und zahlreichen Möglichkeiten, völlig falsch abzubiegen. Sprich: „Die Lage ist hoffnungslos, aber nicht ernst.“

Diese Analyse schrieb Jürgen Schmidt ursprünglich für den exklusiven Newsletter von heise security PRO, wo er jede Woche das Geschehen in der IT-Security-Welt für Sicherheitsverantwortliche in Unternehmen einordnet:

Lesen Sie auch


(ju)



Source link

Weiterlesen

Beliebt