Künstliche Intelligenz
KI-Update Deep-Dive: Künstliche Intelligenz als Security-Albtraum
Ein Wettlauf gegen die Zeit
Weiterlesen nach der Anzeige
Die Bedrohungslage in der IT-Sicherheit verändert sich durch Künstliche Intelligenz grundlegend. „Manches verändert sie eher evolutionär, manches schon sehr nah an revolutionär“, sagt Dr. Christopher Kunz von heise security im Podcast. Während Angriffe wie Phishing-Mails durch KI raffinierter werden, liegt die größere Veränderung in der Geschwindigkeit, mit der Software-Schwachstellen ausgenutzt werden.
Ein Beispiel dafür ist das KI-Modell Mythos von Anthropic, das nicht nur Sicherheitslücken finden, sondern auch aktiv ausnutzen kann. Mozilla konnte damit nach eigenen Angaben 271 Lücken im Browser Firefox aufspüren. Kunz, der mit dem Mozilla-Security-Team sprach, ordnet dies ein: Firefox sei mit 20 Millionen Zeilen Code eine riesige Software, in der eine KI viele schlummernde Fehler finden kann. Dass Mythos kein Allheilmittel ist, zeigt die Prüfung der weit verbreiteten Bibliothek Curl, in der das Modell nur eine einzige Lücke fand. Laut Kunz können KI-Modelle wie Mythos keine wirklich neuen Arten von Sicherheitslücken erfinden, sondern variieren nur bekannte Muster. „LLMs bilden im Wesentlichen Durchschnitte und können keine Innovation in dem Sinne erzeugen, als dass sie sich komplett neue Arten von Sicherheitslücken ausdenken“, so der Experte.
Wie intelligent ist Künstliche Intelligenz eigentlich? Welche Folgen hat generative KI für unsere Arbeit, unsere Freizeit und die Gesellschaft? Im „KI-Update“ von Heise bringen wir Euch gemeinsam mit The Decoder werktäglich Updates zu den wichtigsten KI-Entwicklungen. Freitags beleuchten wir mit Experten die unterschiedlichen Aspekte der KI-Revolution.
Von 30 Tagen auf zwei Stunden
Das eigentliche Problem ist die massive Verkürzung der Zeit zwischen der Behebung einer Lücke und deren Ausnutzung durch Angreifer. Kunz schildert den Fall einer Schwachstelle im Linux-Kernel von Mitte Mai. Nachdem die Fehlerbehebung veröffentlicht wurde, dauerte es nur wenige Stunden, bis Angreifer funktionierende Angriffsprogramme, sogenannte Exploits, entwickelt hatten. „Ein beliebiger Nutzer konnte damit Daten lesen, auf die er keinen Zugriff hätte haben dürfen“, berichtet Kunz.
Für Unternehmen bedeutet dies eine drastische Kehrtwende. Der monatliche Patch-Day, an dem gesammelt Updates eingespielt werden, ist überholt. „Wenn Softwarehersteller einmal im Monat einen Patch-Day ausrufen, dann bedeutet das, dass möglicherweise schwere Sicherheitslücken 29 oder 30 Tage […] bekannt waren und nicht behoben wurden“, erklärt Kunz. Diese Zeit könne man sich nicht mehr leisten. Unternehmen müssten ihre Systeme nahezu in Echtzeit aktualisieren können. Das erfordere ein hohes Maß an Automatisierung und eine genaue Dokumentation der gesamten IT-Landschaft, da manuelle Prozesse zu langsam seien.
Weiterlesen nach der Anzeige
Die Verteidiger am Limit
Dass Anthropic den Zugang zu Mythos beschränkt, hält Kunz für sinnvoll. Nicht, weil das Modell zu gefährlich sei, sondern um die IT-Sicherheitsteams, die die Lücken beheben müssen, vor einer Überlastung zu schützen. Viele, gerade im Open-Source-Bereich, seien bereits an ihrer Belastungsgrenze. Würden weltweit zehntausende Menschen mit Mythos parallel dieselben Lücken melden, drohe ein „massiver Burnout“ der Verteidiger.
Gerade darum müssen Unternehmen und Privatpersonen klare Konsequenzen ziehen: „Die Zeit, in der man einmal im Monat den PC anschaltet, um Updates runterzuladen, die neigt sich rapide dem Ende zu und darauf müssen wir alle vorbereitet sein“, so Kunz. Der Wettlauf zwischen Angreifern und Verteidigern wird durch KI weiter beschleunigt – und erfordert von allen Beteiligten ein neues, höheres Tempo.
Mehr zu IT-Security-Themen hört Ihr jeden Mittwoch im Podcast Passwort von heise security mit Christopher Kunz und Sylvester Tremmel.
(igr)