Cyberkriminelle können fortschrittliche Sprachmodelle für ihre illegalen Aktivitäten missbrauchen. (Bild: Adobe Stock / Who is Danny)
Entwicklung, Produktion und Vertrieb der Automobilindustrie werden mit Hilfe künstlicher Intelligenz in Lichtgeschwindigkeit optimiert, die Anzahl der relevanten Use Cases steigt in ähnlichem Tempo. Laut dem Tech-Riesen IBM kann künstliche Intelligenz Anomalien in digitalen Umgebungen identifizieren, Risikoanalysen durchführen sowie die Sicherheit im Bereich der Benutzerfreundlichkeit optimieren. Doch KI ist eine Medaille mit zwei Seiten: Denn parallel zu ihrem Potenzial scheinen auch die Risiken, die durch sie entstehen, größer zu werden.
„KI kann nahezu perfekt klingende Phishing-Mails formulieren oder sogar Code für Schadsoftware programmieren“, wissen die Experten vom Branchenverband der deutschen Informations- und Telekommunikationsbranche und stufen die Innovation als deutliche Herausforderung für die Cybersecurity ein. Laut Bundesamt für Sicherheit in der Informationstechnologie (BSI) befänden sich sowohl Angriffe auf KI-Systeme als auch Angriffe durch KI-Systeme momentan im Fokus intensiver Forschung. Steht der Automobilindustrie etwa ein enormes Wettrüsten in Prävention für Stellvertreterkriege zwischen KI-Anwendungen bevor?
Diese Angriffspunkte für Cyberangriffe bieten moderne Fahrzeuge
Autonome Fahrzeuge, dauerhafte Konnektivität und immer komplexere Software treiben die Automobilindustrie voran – sorgen jedoch gleichzeitig für immer mehr potenzielle Angriffsfläche für Cyberattacken. Einer Untersuchung des ADACs zufolge zählen besonders die USB- und Diagnose-Schnittstelle sowie das Bluetooth-Modul zu den möglichen Einfallstoren für kriminelle Eingriffe. Ebenso ganz vorn mit dabei: Das Keyless-Schlüsselsystem. In über 600 Fällen habe der ADAC bereits zeigen können, dass die Hersteller hier unsichere Technik verwenden. Zudem könnten Hacker von überall aus versuchen, sich über die immer häufiger standardmäßig verbaute SIM-Karte Zugriff auf die Fahrzeugsysteme zu verschaffen.
Auch der amerikanische Cybersicherheitsexperte Sam Curry, Vice President für das IT-Sicherheitsunternehmen Zscaler konnte bereits 2023 eigenen Berichten zufolge alarmierende Sicherheitslücken in den Backend- und Business-IT-Systemen bekannter Automobilhersteller wie BMW, Porsche und Mercedes aufdecken. Diese Lücken betrafen neben Privatfahrzeugen auch Einsatzfahrzeuge wie Polizeiautos und Krankenwagen. Neben der Möglichkeit, Lichter, Hupe, Autotüren und Motor zu steuern, sei es Curry sogar gelungen Fahrzeugdaten zu kopieren, Einstellungen zurückzusetzen und in einigen Fällen sogar auf die internen Netzwerke der Hersteller zuzugreifen.
So vereinfacht KI den Einstieg in die Cyberkriminalität
Mit Hilfe von KI-Tools und entsprechend ausgestatteten Sprachmodellen kann praktisch jeder - auch ohne Software- oder IT-Kenntnisse - in Bereichen der Cyberkriminalität aktiv werden. ChatGPT ist zwar so programmiert, dass keine illegalen oder unethischen Antworten verfasst werden, Medienberichten zufolge könnten diese Einschränkungen jedoch durch sogenannte Jailbreaks umgangen werden. Dabei soll es sich um bestimmte Prompts handeln, mit denen die KI dennoch dazu gebracht werden kann, Texte zu produzieren, die sie eigentlich nicht produzieren sollte. Zudem existieren beispielsweise im Darknet vergleichbare unmoderierte Chatbots wie FraudGPT, die für kriminelle Zwecke trainiert werden. Diese Anwendungen ermöglichen das Verfassen von Phishing-E-Mails, die Entwicklung von Cracking-Tools und Malware oder die Erstellung feindlicher Trainingsdaten zur Sabotage des maschinellen Lernens.
Claudia Eckert, geschäftsführende Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC), unterteilt mögliche Risiken im kürzlich erschienenen Impulspapier Generative Künstliche Intelligenz und ihre Auswirkungen auf die Cybersicherheit in drei Kategorien:
- Individuelle Nutzungsrisiken: Gefahren, die bei der konkreten Anwendung von KI-Modellen durch einzelne Nutzer entstehen – zum Beispiel, wenn vertrauliche Informationen eingegeben werden, das Modell falsche oder gefährliche Antworten liefert oder durch die Nutzung Schadsoftware ins System gelangt.
- KI-generierte Klassen von Angriffen: Neue Formen von Cyberangriffen, bei denen Künstliche Intelligenz genutzt wird, um Schadsoftware, gefälschte Inhalte oder gezielte Angriffe automatisch zu erstellen und durchzuführen – oft schneller, vielfältiger und schwerer erkennbar als bisher.
- KI-unterstützte Angriffsvorbereitung: Angreifer nutzen Künstliche Intelligenz, um Schwachstellen in IT-Systemen schneller zu erkennen, Angriffe gezielter zu planen und komplexe Daten effektiv auszuwerten – selbst ohne tiefes technisches Wissen. Dadurch werden Cyberangriffe häufiger, wirkungsvoller und schwerer abzuwehren.
Studie: Künstliche Intelligenz verstärkt Cyberkriminalität
Auch eine Studie von Sopra Steria zeigt, dass die Angst vor dem Einsatz von KI durch Cyberkriminelle steigt. Drei Viertel der Unternehmen und Behörden sehen sich durch den böswilligen Einsatz von KI stärker gefährdet. In den nächsten zwölf Monaten planen daher 81 Prozent der Organisationen, ihre Cybersicherheit zu verbessern. Besonders alarmierend ist, dass 71 Prozent der Fach- und Führungskräfte glauben, dass Cyberkriminelle KI besser nutzen als Unternehmen zur Abwehr. Dennoch bleibt das größte Risiko der Mensch und nicht die künstliche Intelligenz: 43 Prozent sehen unangemessene Reaktionen auf Phishing-Angriffe als größte Schwachstelle.
KI ermöglicht proaktive Schutzmaßnahmen gegen Cyberattacken
Auf der anderen Seite kann KI ebenfalls eingesetzt werden, um entlang der automobilen Wertschöpfungskette große Mengen von Daten zu analysieren, ungewöhnliche Aktivitäten oder Muster zu identifizieren, die auf Cyberangriffe hinweisen können und somit potenzielle Risiken frühzeitig erkennen, wie die Branchenkenner des VDA gegenüber automotiveIT zu Protokoll geben.
„KI kann auch dazu beitragen, potenzielle Schwachstellen oder Sicherheitslücken in Echtzeit oder bereits in der Entwicklung zu erkennen und zu beheben, bevor sie ausgenutzt werden können“, so ein Sprecher des VDA. „Insgesamt ermöglicht der Einsatz von KI in der Cybersecurity der Automobilindustrie eine proaktive und adaptive Verteidigung gegen eine zunehmend komplexe Bedrohungslandschaft. Das erhöht letztendlich die Sicherheit von Fahrzeugen sowie Insassen.“ Auf lange Sicht sei die künstliche Intelligenz sogar in der Lage, durch kontinuierliches Training und entsprechende Anpassungen mit der rasanten Entwicklung neuer Cyberangriffe Schritt zu halten und die Fahrzeugsicherheit langfristig zu gewährleisten.
Neue Regularien sollen KI-Einsatz sicherer machen
Damit KI im Auto nicht zur Security-Schwachstelle wird, fordert das BSI zunächst neue, anerkannte Kriterien, um die Voraussetzungen für einen sicheren Einsatz der KI-Verfahren zu überprüfen. Geeignete Konzepte und Methoden seien bisher nicht verfügbar oder nicht ausgereift. Gemeinsam mit Automobilzulieferer ZF entwickelt die Behörde im Rahmen des Projektes AIMobilityAudit deshalb etwa geeignete Prüfmethoden und Werkzeuge zur zur Absicherung von KI-Systemen in Fahrzeugen.
„Die Idee kam vom BSI, dass wir gesagt haben, es gibt diese neue Schlüsseltechnologie, ohne die automatisiertes Fahren nicht möglich ist. Wir wollen, dass sie vertrauenswürdig genutzt werden kann, dass sie einerseits von der Cybersicherheit her von uns akzeptiert wird, aber dass eben auch die Verbraucher dieses System akzeptieren“, erklärt Arndt von Twickel, Leiter des BSI-Referats Cyber-Sicherheit für intelligente Transportsysteme und Industrie 4.0.
Auch die europäische Wirtschaftskommission (UNECE) strebt für den Einsatz von KI und anderen Technologien im Fahrzeug klar definierte Regeln an, um Softwarezuverlässigkeit und Cybersicherheit gewährleisten zu können. In diesem Bestreben hat die UNECE 2019 die Arbeitsgruppe für automatisierte/autonome und vernetzte Fahrzeuge (GRVA) eingerichtet. „Angesichts der Natur des maschinellen Lernens und des Deep Learning hat GRVA beispielsweise untersucht, wie die Industrie solche KI-Technologien einsetzt und für welche Anwendungsfälle“, heißt es seitens der Wirtschaftskommission. „Sie hat einschlägige Definitionen für ihre Arbeit im Automobilsektor erarbeitet und prüft die Notwendigkeit, KI-spezifische Bestimmungen in Form von Empfehlungen oder Leitlinien zu entwickeln, die sich mit den spezifischen Risiken dieser Technologie befassen.“
Im Sommer 2024 veröffentlichten GRVA und UNECE gemeinsam Leitlinien und Empfehlungen zu Sicherheitsanforderungen, Bewertungs- und Testverfahren für automatisierte Fahrsysteme als Grundlage für die Weiterentwicklung regulatorischer Vorgaben. Infolgedessen kündigten mehrere Autohersteller an, Teile ihrer Modellpaletten zu streichen, um sich das kostspielige Aufrüsten der Fahrzeuge zu sparen.
KI wird noch nicht als Cybersicherheitsmaßnahme mitgedacht
Schlussendlich scheint es, als stünden die kritischen Bedenken hinsichtlich der Auswirkung von Künstlicher Intelligenz auf die Cybersecurity aktuell noch etwas mehr im Vordergrund als die sich durch KI ergebenden Chancen. „KI ist eine Basistechnologie, die sowohl großen Nutzen stiften als auch Schaden anrichten kann. Regulierung und Verbote werden insbesondere international und teilweise mit staatlicher Unterstützung agierende Cyberkriminelle nicht vom KI-Einsatz abhalten. Umso wichtiger ist es, die Möglichkeit von KI bei der Cyberabwehr bereits heute zu nutzen und die Entwicklungen mit Tempo voranzutreiben“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.
Laut Accentures aktueller Studie State of Cybersecurity Resilience 2025 sind 90 Prozent der Unternehmen jedoch noch nicht ausreichend auf KI-gestützte Bedrohungen vorbereitet. Nur 25 Prozent setzen umfassend Verschlüsselung und Zugriffskontrollen ein. 77 Prozent fehlt es an grundlegenden Sicherheitspraktiken zum Schutz kritischer Daten, Schnittstellen und Cloud-Infrastrukturen und 63 Prozent der Befragten verfügen weder über eine klare Cyberstrategie noch über die nötigen technischen Fähigkeiten.
Dieser Artikel wurde ursprünglich am 04. April 2024 veröffentlicht und wird seitdem fortlaufend aktualisiert.