ChatGPT-Risiken treiben Cyberkriminalität zu Rekordwachstum
ChatGPT wurde bereits vieler Dinge beschuldigt: Es schaffe eine neue Möglichkeit für Schüler zu schummeln, sei ein Job-Killer, produziere massenhaft schlechte Texte und – mein persönlicher Favorit: sei ein gefährliches, unheiliges Übel, das das moralische Gefüge der Gesellschaft bedrohen werde.
Doch all das tun Menschen schon lange – oder werden sogar seit Jahrzehnten dafür bezahlt. OpenAI und andere Anbieter generativer künstlicher Intelligenz machen all das lediglich günstiger. Vor allem aber versprechen sie, jede Menge eintönige Arbeit in Bürojobs zu beseitigen – genauso wie Webstühle, Fließbänder und Roboter es im letzten Jahrhundert für die Industrie getan haben.
Wie jedes Werkzeug oder jede technologische Innovation können auch generative KI-Tools großen Nutzen stiften oder großen Schaden anrichten.
Want more from The CFO Club?
Create a free account to finish this piece and join a community of modern CFOs and finance executives accessing proven frameworks, tools, and insights to navigate AI-driven finance.
Have an account? Log In
Worin sind große Sprachmodelle (LLMs) besonders gut?
Der Einsatz von ChatGPT, Microsoft Bard und anderen Tools macht es deutlich einfacher, aus Prognosen nützliche Erkenntnisse zu ziehen ... aber der Nutzen geht weit über den Finanzbereich hinaus.
LLMs sind überzeugend. Sie wissen mit mathematischer Präzision, welche Wortfolgen Menschen als besonders schlüssig wahrnehmen, und sie sind darauf trainiert, genau in diesen Bahnen zu bleiben.
Sie verfügen über ein enormes Wissen zu Fakten und Details.
Sie können Texte in jedem gewünschten Stil zusammenfassen und umformulieren.
Allerdings sind sie nicht darin gut, die Wahrheit zu sagen. Computer, bekannt für ihre strikte Logik, haben in Form von LLMs paradoxerweise Schwierigkeiten, Wahrheit von Fiktion zu unterscheiden, und sind durchaus in der Lage, Lügen zu erfinden, um auf Fragen zu reagieren – und diese Lügen dann nahtlos mit voller Überzeugung zu untermauern.
Was das für uns bedeutet
Ich will das gar nicht zu sehr dramatisieren, aber wir leben in einer Zeit, in der Dinge in Bewegung sind.
Technologische, politische und wirtschaftliche Entwicklungen haben viele der Anhaltspunkte verwässert, anhand derer Menschen Glaubwürdigkeit einschätzen und Vertrauen schenken. Genauso wie gefälschte Fotos in sozialen Netzwerken für Verwirrung gesorgt haben, gehören ChatGPT und andere LLMs inzwischen zum Alltag. Als Gesellschaft müssen wir erneut dazulernen und neue Wege finden, Wahrheit von Desinformation zu unterscheiden.
Immer wieder dieselben Menschen, dieselbe Geschichte.
Wie Cyberangriffe und Phishing-Betrug heute funktionieren
Philosophie beiseite: Der Vormarsch der LLMs stellt Unternehmen vor eine besondere Bedrohung – denn sie senken die Kosten für hochwertige Phishing-Angriffe.
„Menschen werden getäuscht“ ist die mit Abstand häufigste Ursache für echte Verluste durch Cyberangriffe. Obwohl sich die Branche meist auf technische Bedrohungen und Lösungen konzentriert, basiert der überwiegende Teil erfolgreicher Cyberkriminalität darauf, dass im Laufe des Angriffs irgendwann jemand hereingelegt wird.
Inzwischen gibt es eine florierende Industrie an Callcentern, die sich Betrug und Cyberkriminalität verschrieben haben. Sie haben Lieferanten und Dienstleister, Abläufe und Personalabteilungen – vermutlich sogar gelegentliche Führungskräfte-Retreats, um Erfolge zu feiern. Es ist ein eigenes Business.
Teile der Betrugsmaschinerie sind automatisiert: Die ersten E-Mails – entweder auf der Suche nach Liebe oder um ein angeblich großartiges Geschäftsangebot zu präsentieren – sind wiederverwendete Vorlagen. Genau diese E-Mail findet sich im Posteingang des Nachbarn, vielleicht ein wenig angepasst für ein besseres Ergebnis durch endloses A/B-Testing.
Sobald Sie oder Ihr Nachbar klicken oder antworten, übernimmt jemand im Callcenter und führt das „Lead“ (Sie) mit erprobten Methoden und über Jahre verfeinerten Fähigkeiten möglichst effizient durch die „Sales-Pipeline“ (Betrug) zum „Abschluss“ (Ihnen das Geld abnehmen).
Diese Mitarbeiter bekommen Leistungsbeurteilungen, haben wichtige Kennzahlen, Bonusmodelle und Krankheitstage. Sie sind der größte Kostenfaktor im Betrieb eines Phishing-Callcenters. Wie in jedem Unternehmen bringen leistungsstärkere Firmen und Personen bessere Quoten und Umsätze und verlangen dadurch höhere Löhne.
Im Betrugs-„Markt“ findet eine gewisse natürliche Segmentierung nach dem erwarteten „Ertrag“ (der abgezockte Betrag) statt:
- Kostengünstige, wenig leistungsfähige Firmen gehen meist auf zahlreiche kleine Ziele los. Verglichen mit Instagram-Anzeigen für billige Gimmick-Gadgets, die möglichst vielen Nutzern angezeigt werden – in der Hoffnung, ein paar Conversions zu erzielen.
- Leistungsstarke Teams setzen auf lohnendere Ziele und investieren deutlich mehr pro Opfer. Das sind die großen B2B-Accounts der Betrugsszene: ausgiebige Recherche und die besten Vertriebs- und Servicekräfte kommen zum Einsatz.
Es wäre aus betriebswirtschaftlicher Sicht unsinnig, wenig aussichtsreiche Leads an Hochleistungsteams zu vergeben. Deshalb erhalten wenig lukrative Ziele (also mich und die meisten von euch) so gut wie nie besonders ausgefeilte Angriffsversuche von echten Profibetrügern.
Wie LLMs das Spiel verändern werden
Schauen wir uns an, was wir bereits wissen:
- KI-Tools sind gut darin, Überzeugungskraft zu zeigen.
- KI-Modelle sind hervorragend darin, eine Menge detaillierter Informationen aus einem Datensatz aufzunehmen und etwas Einzigartiges, Spezifisches und Glaubwürdiges zu produzieren.
- Generative KI beherrscht perfektes Englisch und verfügt über enzyklopädisches Hintergrundwissen zu jedem Thema im Internet.
- Die Algorithmen von GPT können so abgestimmt werden, dass sie im Stil jeder demografischen Gruppe schreiben können.
Und die Nachteile von KI? Für die Betrugsbranche sind sie bedeutungslos: Wahrheit spielt keine Rolle. Solange das Opfer auf die Masche hereinfällt, ist es dem Management egal, welchen Unsinn es braucht.
Eine Methode funktioniert nicht? Kein Problem – maschinelles Lernen hat kein Ego, es wird ohne Zögern die Strategie ändern (oder überhaupt nachzudenken…).
Das Sahnehäubchen? KI-Tools kosten nahezu nichts im Vergleich zu einem mit Betrügern gefüllten Callcenter.
Zeitplan bis zum Start
Leider ist die Verbrechenswelt schnell unterwegs. Sie muss sich keine Gedanken über ihren Ruf machen, es gibt weniger Bürokratie – und entscheidend ist, in diesem „Markt“ möglichst früh dran zu sein.
Ein speziell auf Kriminalität ausgerichtetes LLM-Produkt, WormGPT, ist bereits so populär geworden, dass es bereits in den Mainstream-Medien wegen seines malware-freundlichen KI-Chatbots erwähnt wurde. Sicherlich gibt es auch andere, und es wird nicht lange dauern, bis Konkurrenzdruck sowie die Weitergabe von Best Practices die Betriebskosten so weit senken, dass LLM-gestütztes Phishing zur dominierenden Methode für Betrüger wird.
Ein Moment des Mitgefühls für die bald arbeitslosen Scam-Betriebsmitarbeitenden.
Wenn sich die Phishing-Branche in den nächsten Jahren so wandelt, werden die Kosten für einen groß angelegten Phishing-Betrieb rapide sinken. Dadurch werden die nun autonomen „Top-Verkäufer“ und andere Cyberkriminelle beginnen, auch weniger einträgliche Ziele zu verfolgen. Viel mehr von uns werden einer Flut hochwertiger Phishing-Angriffe ausgesetzt sein – und viele darauf hereinfallen.
Zeit zur Änderung der Authentifizierungsprotokolle
Wegen Phishing-Betrügereien und Hackern, die in Konten eindringen, haben viele gelernt, Nachrichten per E-Mail oder SMS mit Vorsicht zu genießen. Ich und andere Expertinnen und Experten empfehlen oft, vertrauliche Informationen bei riskanten Aktivitäten wie hochpreisigen Transaktionen telefonisch zu verifizieren; Titelgesellschaften und Kanzleien nutzen diese Strategie seit Jahren erfolgreich.
Ich bin überzeugt, dass das bald nicht mehr funktionieren wird. Glaubwürdig generierte, LLM-basierte Telefonanrufe stehen bereits vor der Tür. Existierende Produkte können mit Sprachproben Audios jeder beliebigen Person erzeugen. Zum Zeitpunkt, an dem dieser Artikel verfasst wird, ist das aber noch nicht in Echtzeit möglich; für jeden Clip wird eine gewisse Zeit benötigt. Zum Glück lassen sich die meisten von uns nicht durch fünf- oder zehnsekündige Pausen in einem Gespräch täuschen, ganz gleich, wie sehr der Anrufer wie Johnny Cash klingt.
Aber Technik wird fast immer schneller. Ich bin vollkommen überzeugt, dass der fortlaufende Fortschritt bei KI-Spracherzeugung und Verarbeitungsleistung dafür sorgen wird, dass LLM-gestützte Anrufe innerhalb eines Jahrzehnts zum Massenprodukt werden. Bald werden wir uns nicht mehr allein auf eine Stimme verlassen können, um die Echtheit einer Person zu erkennen – eine Gelegenheit, die Betrüger nicht verstreichen lassen werden.
Sehen wird vielleicht kein Beweis mehr sein
Stimmensynthese ist nicht die einzige Software zur Imitation: Glaubwürdige Videos von Personen auf Basis früherer Aufnahmen zu erzeugen, ist bereits möglich (und wird immer besser). Video ist erheblich schwieriger als Stimme – überzeugende Clips benötigen aktuell meist lange Stunden, Fachwissen und künstlerisches Geschick eines Profis.
Aber wie bei der Audiosynthese ist es nur eine Frage der Zeit, bis automatisierte und Echtzeit-Versionen davon erscheinen. Es könnte noch einige Jahrzehnte dauern, vor allem, bis es günstig genug für kriminelle Banden wird, aber irgendwann wird es kommen.
Nächste Schritte für die Sicherheit von Unternehmen
Sind Sie vorbereitet auf eine Welt, in der jede virtuelle Kommunikation gefälscht sein könnte? Ist Datenschutz tot? Stehen wir am Rande des Zusammenbruchs der Zivilisation und einer Rückkehr in die Steinzeit?
Nicht ganz.
Mathematik zur Rettung
Heute nutzen wir Stimme, Aussehen und Verhaltensweisen zur Identifizierung einer Person. Im Bereich Cybersicherheit authentifizieren uns diese Eigenschaften; dadurch entscheiden wir, ob derjenige gegenüber tatsächlich der ist, der er behauptet zu sein. Auf diese Strategie verlassen wir uns, ohne groß darüber nachzudenken – und seit über 7000 Jahren funktioniert sie sehr gut.
Die neue Realität von LLMs und KI-generierter Imitation wird diese Fähigkeit jedoch eliminieren. Wir müssen sie durch eine andere Art der Authentifizierung beim Online-Kommunizieren ersetzen.
Hier gibt es Hoffnung: Es stehen uns andere Methoden zur Verfügung, sie sind nur noch nicht weit verbreitet. Die in den letzten zwei Jahrzehnten entwickelte mathebasierte Authentifizierungstechnologie wird von diesen Veränderungen nicht betroffen sein, und sie ist bereits günstig und einfach einzusetzen. Viele Systeme setzen schon darauf, ohne dass die Nutzer es merken. Der Verlust der virtuellen Erkennung könnte viele dazu bewegen, auf kryptografisch strenge Authentifizierungsmethoden umzusteigen und von schwachen Methoden wie einem normalen Telefonanruf oder Zoom Abstand zu nehmen.
Erzähl mir etwas Gutes
Zum Guten oder Schlechten wird die Gesellschaft ihren Weg finden. Zum Glück kannst du eine aktivere Rolle in der Zukunft deines Unternehmens einnehmen und verhindern, dass diese Bedrohung dein Geschäft beeinträchtigt. Es ist noch nicht einmal so schwer.
Zuerst bringe alle sensiblen Informationen hinter einen föderierten und kryptografisch konsequenten Identitätsanbieter. Mach dann in deinem Unternehmen klar, dass sich darauf verlassen werden soll, anstatt auf Erkennung durch Schreibstil oder Stimme zu setzen.
Und schließlich kannst du dich auf das konzentrieren, was du am besten kannst, und anderen – wie mir – den Rest überlassen. Abonniere den Newsletter des CFO Club, wenn du als Erste:r erfahren willst, wenn ich die nächste Bedrohung für die Gesellschaft sehe.
