neu

Cybercrime as a service: Auf der dunklen Seite der Macht

Big Data und maschinelles Lernen könnten digitale Verbrechen auf eine neue Stufe heben.

Wir stehen vor den Toren eines goldenen digitalen Zeitalters: Dutzende neue Technologien, von künstlicher Intelligenz bis hin zu Big Data und Robotik – versprechen, Prozesse zu automatisieren, die Produktivität drastisch zu erhöhen, kurz: uns Arbeit abzunehmen. Zukünftig erledigen Maschinen in Fabriken, in Büros und auch zu Hause die Art von Aufgaben, die uns lästig sind.

Auch in Sachen Sicherheit helfen Big Data, maschinelles Lernen und künstliche Intelligenz. Sie eignen sich hervorragend, um Betrug zu verhindern, Finanzgeschäfte abzusichern oder das Risiko bei Handels- und Börsengeschäften zu mindern. Seit Jahren machen Banken und Internethändler hier stetig Fortschritte.

Aber es gibt auch die dunkle Seite der Technologie, die man nicht außer Acht lassen darf, denn es gibt kaum einen wirksamen Schutz davor.

Social Engineering bezeichnet eine Vorgehensweise, bei der menschliche Schwächen ausgenutzt werden. Dabei werden Mitarbeiter mit einem Trick überredet, Sicherheitsvorkehrungen zu umgehen und sensible Daten preiszugeben.

Solange solche Angriffe mit hohem finanziellen und personellen Aufwand verbunden sind, sind die Erfolgsaussichten eher überschaubar. Was aber passiert, wenn Täter sich der Möglichkeit großer Datenmengen, KI, Machine- und Deep Learning bedienen und auf diese Weise die Erfolgsaussichten massiv erhöhen könnten? Diese Technologien taugen hervorragend, Angriffe auf Personen und Firmen zu planen, zu optimieren, zu automatisieren und sogar Angriffe durchzuführen.

Der Mensch als Schwachstelle vs. die intelligente Maschine

So ähnlich wie man heute „Ransomware as a Service“ in dunklen Kanälen buchen kann, könnten nun Erpressung, Betrug oder Spionage vollautomatisiert als autonomes System im Baukasten angeboten werden – befeuert durch neuronale Netze in der Cloud.

Ein intelligentes System findet für ein bestimmtes Opfer den erfolgversprechendsten Angriffsvektor, die „menschliche Schwachstelle“, wird entweder konkret oder als „Wahrscheinlichkeitswert“ basierend auf Millionen von Datensätzen und Erfahrungswerten identifiziert. Schwächen von Personen und ihrem Umfeld sind statistisch einigermaßen gut vorhersehbar. Familiäre Lebensumstände, Nutzerprofile, persönliche Vorlieben muss man nicht unbedingt konkret wissen. Es reicht aus, sie einigermaßen wahrscheinlich zu kennen.

Denn: Beziehungen lassen sich über soziale Medien aufspüren. Aus Scores lassen sich Zuverlässigkeit und Bonität ermitteln. Nicht auszudenken, wenn diese Informationen mit Bewegungsprofilen der Telefonprovider oder gar „geleakten“ Gesundheitsdaten kombiniert werden könnten.

Schon heute lassen sich automatische Honigtöpfe erstellen

Ein einfaches Beispiel: Mit Methoden des maschinellen Lernens sind Gesichter von Unternehmenswebseiten, Facebook, XING, Linkedin oder WhatsApp heute schon vollautomatisch mit Profilbildern von (im besten Falle harmlosen) Datingplattformen abgleichbar. Durch Auswertungen von Multivariantentests oder vortrainierten neuronalen Netzen kann mit hoher Wahrscheinlichkeit automatisiert Kontakt aufgenommen bzw. können Schwachstellen ausgenutzt werden. Nun ist der sogenannte „Honigtopf“ installiert – die Täter können sensible Informationen leicht erhalten. Damit sind die Zielpersonen in ihrer Reputation bedroht oder gar erpressbar.

Der Mensch als Schwachstelle wird immer bleiben. Mit künstlicher Intelligenz, Big-Data-Analysen und maschinellem Lernen bekommen nicht nur wir eine Hilfe, sondern auch das organisierte Verbrechen ein Werkzeug an die Hand, das nur schwer zu bändigen sein wird. „Social Engineering“ wird automatisierbar.

Da heute keine Firma oder geschäftlich tätige Person vollständig auf Daten im öffentlichen Raum verzichten kann, brauchen wir ein neues Bewusstsein für neue Gefahren, die nun in unvergleichlich höherer Wahrscheinlichkeit drohen. Wir müssen Menschen schulen, vorsichtiger denn je zu sein.

Author image
Gründer mit Herz für Medical Care und IT-Infrastruktur
Leipzig Website