Bugcrowd hat ihren jährlichen Bericht "Inside the Mind of a Hacker" für das Jahr 2023 veröffentlicht, der sich unter anderem mit den Auswirkungen von KI auf die Cybersicherheit befasst. Außerdem wird hier der Stereotyp des professionellen Hackers und der Stand des Hackings untersucht.
Ein Kommentar von Tim Morris, Technology Strategist bei Tanium.
Mehr als die Hälfte der Befragten Hacker (55 Prozent) gaben an, dass künstliche Intelligenz die Leistungen der Hacker bereits übertreffen kann oder in den nächsten fünf Jahren dazu in der Lage sein wird. Fast drei von vier Befragten (72 Prozent) sind jedoch der Meinung, dass generative KI nicht in der Lage sein wird, die menschliche Kreativität zu erreichen.
Die Teilnehmer halten den Einsatz von generativer KI am sinnvollsten bei der Automatisierung von Aufgaben (50 Prozent), der Analyse von Daten (48 Prozent), der Identifizierung von Schwachstellen (36 Prozent), der Validierung von Ergebnissen (35 Prozent) und der Durchführung von Erkundungen (33 Prozent). Fast zwei von drei Befragten (64 Prozent) glauben, dass generative KI-Technologien die Wichtigkeit von Ethical Hacking und Sicherheitsforschung erhöht haben.
Der Stand von Hacking und Schwachstellenmanagement
Die Befragten sind zum Großteil der Meinung, dass unter 25 Prozent der Unternehmen ihr Risiko, Opfer eines Cyberangriffs zu werden, kennen. Die Hacker sind sich einig, dass es seit dem Beginn der COVID-19-Pandemie mehr Schwachstellen gibt, und dass punktuelle Sicherheitstests nicht ausreichen, um die Sicherheit von Unternehmen zu gewährleisten. Außerdem gaben 78 Prozent der Befragten an, dass die Angriffsflächen der meisten Unternehmen immer schwieriger zu kompromittieren sind.
Fast zwei Drittel der Befragten (63 Prozent) gaben an, in den letzten 12 Monaten eine neue Schwachstelle gefunden zu haben, die sie zuvor noch nicht kannten. Darüber hinaus berichteten über die Hälfte der Hacker (54 Prozent), dass sie eine Schwachstelle nicht gemeldet haben, weil es im Unternehmen keine dedizierte Meldemöglichkeit gab, ohne rechtliche Konsequenzen zu riskieren.
Generative KI für die Forschung:
Hacken erfordert Geschicklichkeit, bei der die KI den Menschen übertrifft - aber auch Kreativität, die KI nicht vorweisen kann. Auch wenn KI im Laufe der Jahre besser werden kann, sehe ich sie nicht als Ersatz. Es überrascht nicht, dass die Automatisierung von Aufgaben ganz oben auf der Liste für den Einsatz von KI steht. Der Einsatz von KI zum Auffinden von Schwachstellen (eine weitere Automatisierungsaufgabe) hat zugenommen, und ich gehe davon aus, dass dies auch weiterhin der Fall sein wird.
Es ist zu erwarten, dass sich dieser Anwendungsbereich zukünftig noch stärker ausweiten wird. Die Implementation dieser Prozesse wird aber langsam voranschreiten und einige Unternehmen werden sich strikt weigern, KI den Zugang zu einigen ihrer Systeme zu gewähren. Es ist wichtig, dass Versuche unternommen werden, die generative KI selbst zu testen und zu hacken. Die Risiken von Prompt Injections und Data Poisoning sind real und sollten nicht unterschätzt werden. Eines der größten Risiken bei der Verwendung von generativer KI ist Desinformation.
Die Regulierung von Trainingsmodellen und -ergebnissen ist jedoch immer noch eine große Herausforderung. Dieses Problem muss schnell gelöst werden, um die Verbreitung von Falschinformationen zu verhindern.