Ein vollständiger Angriffsversuch kostet heute nur noch rund 75 Euro
- KMU sind zunehmend KI-gestützten Angriffen ausgeliefert. Unternehmensweite Cyber-Resilienz muss deshalb zukünftig Chefsache sein.
- Schatten-KI, also KI-Anwendungen und -Agenten, die über private Accounts ins Unternehmen kommen, gelten als Einfallstor für KI-gesteuerte Cyber-Angriffe.
- Der EU-AI-Act schützt bislang nur unzureichend vor Risiken durch KI-Agenten.
Freiburg/Berlin. Mit dem neuen Format „cepExecutive“ will das Centrum für Europäische Politik (cep) gezielt Unternehmen ansprechen und sie schnell und übersichtlich über aktuelle technologische, regulatorische und geopolitische Entwicklungen informieren, die sich auf Markt, Wettbewerb und Strategie auswirken. Zu Beginn der neuen Reihe informieren wir über Schatten-KI als zunehmendes Geschäftsrisiko und geben Hinweise, was in Unternehmen und Politik zu tun ist, um Cyberangriffe zu vermeiden.
Angreifer, die Künstliche Intelligenz einsetzen, suchen sich gezielt die schwächsten Glieder in der Kette aus – und das sind häufig kleine und mittlere Unternehmen. Wer keine robusten Sicherheitsvorkehrungen hat und nicht genau protokolliert, was in seinen IT-Systemen vorgeht, wird im Zeitalter von Modellen wie „Claude Mythos“ zur leichten Beute. Dies betrifft insbesondere Bereiche, in denen Mitarbeiter unkontrolliert KI-Technologie einsetzen. Zu den Beispielen für solche „Schatten-KI“ zählen vor allem private ChatGPT-Accounts. In naher Zukunft werden aber auch persönliche Agenten mit weitreichenden Befugnissen dazustoßen.
„Die neuesten KI-Modelle senken die Kostenschwelle für mehrstufige autonome Netzwerkangriffe signifikant. So stieg die Angriffstiefe in weniger als zwei Jahren um den Faktor 6 und ein vollständiger Angriffsversuch kostet heute nur noch rund 75 Euro. Die Angreifer-Qualifikation wird damit zunehmend weniger entscheidend, was das Verhältnis von Cyber-Offensive und Cyber-Defensive dramatisch verändern könnte“, sagt der KI-Experte Anselm Küsters, der das cepExecutive verfasst hat. Es sei zu erwarten, dass chinesische KI-Modelle mit vergleichbaren Fähigkeiten innerhalb der nächsten 12 Monate nachziehen werden, was die Angriffsfläche nochmals deutlich vergrößert.
Der EU-AI Act erfasst KI-Agenten zwar grundlegend, bleibt in der Praxis aber wirkungslos. Während Modellanbieter Missbrauchsrisiken aktiv angehen müssen, gelten für Anbieter von Agenten nur allgemeine Cybersicherheitsvorgaben. Unternehmen sollten daher zeitnah prüfen, welche KI-Anwendungen tatsächlich im Einsatz sind, über sogenannte Prompt-Injection-Angriffe aufklären und klare Richtlinien für den Umgang mit KI in kritischen Bereichen wie der Softwareentwicklung aufstellen.
Nicht nur die KI, sondern auch die von ihr ausgehenden Cyberrisiken werden die Marktstruktur, die Wettbewerbsdynamik und die Innovationstätigkeit wesentlich beeinflussen. Unternehmen müssen heute Szenarien entwickeln, um ihre Strategien an diese Entwicklungen anzupassen.
Facebook
