KI und Identität: Eine Bestandsaufnahme der Identitätslösungen im Zeitalter der KI

Es ist gerade einmal zwei Monate her, dass OpenAI sein ChatGPT veröffentlicht hat, und schon ist die neue Plattform ein fester Begriff. Künstliche Intelligenz (KI) ist heute eines der weltweit meist diskutierten Themen, und jeder, vom technischen Experten bis zum Laien, nimmt davon Notiz.

Laut Forbes, haben mehr als 75% der Verbraucher Bedenken wegen Fehlinformationen durch die KI. Diese neue Technologie hat zweifelsohne ein großes Potenzial, birgt aber auch neue Risiken für die Cybersicherheit. Aus diesen und anderen Gründen hat der US-Senat den Erlass neuer Gesetze auf den Weg gebracht,die insbesondere den Einsatz von KI regeln.

Es wichtig, sich auf die Herausforderungen einzustellen, die KI an das Identitäts- und Zugriffsmanagement stellt. Als Sicherheitsexperten sind wir uns bewusst, dass wir nicht alles schützen können. Ping Identity hat schon vor längerer Zeit die Erfahrung gemacht, dass Cyberkriminelle Wege finden, um die Erkennungsmethoden zu unterlaufen, sobald man herausfindet, wie sie vorgehen. Derzeit erhalten wir gerade erste Einblicke darin, wie fortschrittliches maschinelles Lernen eingesetzt wird, um bewährte Authentifizierungsmethoden zu durchbrechen.

Trotz der zu erwartenden Herausforderungen liegt es doch auf der Hand; dass die Erkennung und Reaktion auf Identitätsbedrohungen (ITDR, Identity Threat Detection & Response) und die Dezentrale Identität (DCI, Decentralized Identity) in Kombination eingesetzt werden können, um sich im Zeitalter der KI gegen Sicherheitsrisiken zu wappnen.

Die Anbieter von Identitätslösungen sind sich der Gefahren durchaus bewusst, die von der KI ausgehen, aber die meisten grundlegenden Verfahrensweisen zum Schutz der Identität sind dieser neuen Technologie noch nicht gewachsen. In dem Katz-und-Maus-Spiel der Identitätssicherheit nutzen die Cyberkriminellen die KI, um fortschrittliche Identitätskontrollen (wie zum Beispiel die Sprachbiometrie) zu unterlaufen.

KI-Cyberattacken und Sprachbiometrie

Eines der höchst alarmierenden Beispiele für KI-gestützte Bedrohungen der Identitätssicherheit betrifft die Sprachbiometrie. Neben deradaptiven Authentifizierung und demEinmalpasswort per SMS und E-Mail ist die Sprachbiometrie eine wichtige Komponente der mehrstufigen Authentifizierung, die von Callcentern insbesondere im Bankensektor eingesetzt wird. 

Seit neuestem nutzen Cyberkriminelle KI-gestützte Algorithmen, um die Stimmen von Menschen zu „klonen“. Wenn böswillige Akteure Zugriff auf eine hochwertige Aufnahme Ihrer Stimme erhalten (zum Beispiel mithilfe eines Spamanrufs) können sie innerhalb von Minuten eine synthetische Kopie Ihrer Stimme erstellen.

Im Zuge der Optimierung der KI-gestützten Stimmerzeugung wird es für Systeme zur Sprachverifikation immer schwieriger, zwischen echten und synthetischen Stimmen zu unterscheiden. Obwohl die Anbieter biometrischer Daten Sicherheitsvorkehrungen zum Eindämmen dieses Risikos treffen, läuft es immer noch auf ein Spiel zwischen Anbietern und Cyberkriminellen hinaus, das einiges an Eskalationspotenzial bereithält.

KI-gestützte Phishing-Angriffe  

Cyberkriminelle nutzen die KI auch, um Häufigkeit und Raffinesse der Phishing-Angriffe intensivieren. Das Problem der Phishing-E-Mails und -SMS gehört zwar für viele Menschen bereits zum Alltag, die KI wird es allerdings noch verschärfen. 

In ihrem Artikel mit dem Titel „Artificial Intelligence is Playing a Bigger Role in Cybersecurity, But the Bad Guys May Benefit the Most“ (dt.: Künstliche Intelligenz spielt eine wichtigere Rolle in Cybersicherheit, aber die Bösen könnten am meisten profitieren), erklärt CNBC: „Wenn die Cyberkriminellen die KI mit gestohlenen personenbezogenen Informationen oder erfassten Open-Source-Daten wie Social-Media-Posts kombinieren, können sie eine große Anzahl von Phishing-E-Mails erzeugen, um Schadsoftware zu verbreiten oder wertvolle Informationen zu sammeln.“ Da diese Phishing-E-Mails von einer künstlichen Intelligenz generiert werden, werden wahrscheinlich eher weniger der offensichtlichen Fehler enthalten, an denen man die meisten Phishing-E-Mails leicht erkennen kann. 

Sobald eine KI-gestützte Schadsoftware in Ihr Netzwerk eindringt, kann sie, ähnlich wie andere Malware, große Probleme verursachen. Um noch einmal CNBC zu zitieren: „Eine KI-gesteuerte Schadsoftware kann sich in einem System einnisten, dort Daten sammeln und das Nutzerverhalten beobachten, bis sie für die nächste Phase eines Angriffs bereit ist, oder sie kann gesammelte Informationen mit relativ geringem Entdeckungsrisiko versenden.“ 

In den Händen von Cyberkriminellen wird die KI immer komplexer und gezielter angewendet, und im Gleichzug werden Abläufe durch veraltete Verfahren beim Identitäts-Access-Management (IAM) anfälliger für die Angriffe. 

Zentralisierte IAM-Systeme speichern riesige Mengen an Benutzerdaten an einem einzigen Ort und sind daher attraktive Ziele für Hacker. Ein perfektes Beispiel für dieses Problem ist dieDatenschutzverletzung bei Equifax im Jahr 2017. Als das System gehackt wurde, erbeuteten die Cyberkriminellen sensible Daten von über 147,9 Millionen US-Amerikanern, darunter Sozialversicherungsnummern, Einkommenszahlen, persönliche Adressen, Finanzdokumente und Kreditkarteninformationen. 

Die Equifax-Datenschutzverletzung mag wie eine Nachricht von gestern erscheinen, Tatsache ist aber, dass viele Unternehmen und Behörden nach wie vor auf umfangreiche zentralisierte Datenspeicher angewiesen sind. Es liegt in ihrer Verantwortung, die sensiblen Daten von Millionen von Menschen zu schützen, aber mit dem Aufkommen der KI wird diese Aufgabe immer komplexer. 

Wie sollen Sie Ihre Daten mit den derzeit gängigen und veralteten, zentralisierten IAM-Systemen schützen, wenn KI-gestützte Cyberangriffe auf Sie zukommen?

Wir bei Ping Identity sind der Meinung, dass Unternehmen ihre Benutzerdaten absichern müssen, aber auch die Benutzer sollten in der Lage sein, sich selbst zu schützen. In Anbetracht der rasanten Eskalation von KI empfehlen wir, die Verfahren der ITDR und der DCI zu kombinieren, um die Daten in dieser neuen Situation zu schützen.

ITDR verfolgt einen Zero Trust-Ansatz und hilft Ihrem Unternehmen, identitätsbasierte Angriffe zu erkennen und darauf zu reagieren. DCI verbessert die Sicherheit und den Datenschutz, indem es die Abhängigkeit Ihres Unternehmens von zentralisierten Datensystemen verringert. Mit diesem zweigleisigen Ansatz behalten die Benutzer die Kontrolle darüber, wie ihre Identitätsdaten weitergegeben werden, während die Unternehmen die Benutzer durch ständige Überwachung der IT-Umgebung stärken.

Erkennung von und Reaktion auf Identitätsbedrohungen (ITDR)  

ITDR-Verfahren sind ein wichtiger Bestandteil von Zero Trust-Initiativen, da sie Ihr IT-Netzwerk akribisch auf verdächtige und anomale Aktivitäten überwachen. ITSecurityWireerklärt, ITDR sei notwendig, um zusätzlich zu den Benutzeridentitäten weitere Bereiche des Vertrauens durchzusetzen, um damit Lücken in Multi-Cloud-Infrastrukturen zu schließen. Es könne damit jegliches implizite oder vorausgesetzte Vertrauen in Infrastrukturen und Technologie-Stacks potenziell vernachlässigt werden. 

Die ITDR ist zwar ein wichtiges Element von Zero Trust, reicht aber als Einzellösung nicht aus, um Benutzerdaten in einer modernen IT-Umgebung zu schützen. Dieser Gedanke gilt insbesondere für das Handling massiver zentralisierter IAM-Speicher. Viele Menschen sehen in der ITDR eine indirekte Bestätigung dafür, dass große Organisationen die Daten und Berechtigungsnachweise von Personen aufbewahren müssen, einfach weil dies zu ihren Pflichten gehört. 

Was den Datenschutz in Zeiten der KI betrifft, kann die ITDR bei der Sicherung sensibler Daten nicht mithalten. Wenn etwas „aufgedeckt“ wurde, bedeutet dies, dass man ein Problem hat. Es kann zu diesem Zeitpunkt bereits zu spät sein, um das Risiko eines Verlusts aufgrund des Angriffs einzudämmen. An nächster Stelle steht in der Regel dann leider die Sanierung. 

Dezentrale Identität (DCI) 

Da ITDR ein eher reaktiver Ansatz für IAM ist, braucht es eine ergänzende Methode, um die Identität besser abzusichern. Um diese Lücke zu füllen, verbessert die DCI die Sicherheit und den Datenschutz, indem sie die Abhängigkeit Ihres Unternehmens von zentralisierten Datensystemen verringert. Die DCI ist so konzipiert, dass sie die Menge der gesammelten und gespeicherten Identitätsdaten im Falle einer Datenschutzverletzung auf eine zentrale Datenbank begrenzt. 

Bei der DCI basiert die Verifizierung der Identität auf digitalen Nachweises und nicht auf der Angabe von persönlichen Informationen, die in einer zentralen IAM-Datenbank gespeichert sind. Diese digitalen Nachweise (Credentials) werden kryptografisch überprüft, um die Authentizität und Integrität eines Benutzers zu gewährleisten. Abgesehen davon, dass die DCI den Einzelpersonen die eigenmächtige Verwaltung ihrer digitalen Identitäten überlässt, bieten diese Nachweise auch eine sichere und vor Manipulation geschützte Möglichkeit der Authentifizierung. 

Wenn die DCI in Verbindung mit ITDR-Praktiken die Abwehr an vorderster Front übernimmt, wird es für Cyberkriminelle sehr viel schwieriger, erfolgreich Kontoübernahmen und -betrug durchzuführen. Zentralisierte IAM-Datenspeicher erhöhen das Risiko, dass große Datenmengen durch einen KI-gestützten Cyberangriff kompromittiert werden. Die Attraktivität eines Hackerangriffs sinkt beträchtlich durch die DCI, da in dem Fall bei einer Datenschutzverletzung wahrscheinlich nur die Daten einer einzelnen Person kompromittiert werden und eben nicht die sensiblen Daten von Millionen von Menschen.  

Digitale Brieftaschen

Digitale Brieftaschen sind Softwareanwendungen, mit denen Nutzer ihre eigene digitale Identität verwalten können. Im Gegensatz zu herkömmlichen Identitätssystemen, die Daten an einem zentralen Ort speichern, geben digitale Brieftaschen der Einzelperson die Kontrolle über ihre personenbezogenen Daten, ganz wie eine normale Geldbörse. Digitale Brieftaschen verwahren spezielle Inhalte wie beispielsweise personenbezogene Informationen, Ausweisdokumente, Anmeldedaten und biometrische Daten. 

Der Prozess der Verifizierung

Bei der Verifizierung werden die Anmeldedaten an einen Dritten, z. B. einen Arbeitgeber oder ein Finanzinstitut, weitergegeben und dann kryptografisch verifiziert. Die Verifizierung stellt sicher, dass der Ausweis authentisch ist und nicht manipuliert wurde. Außerdem kann sich der Dritte bei Entscheidungen über die Qualifikation oder Identität der Person auf die Echtheit des Ausweises verlassen.

Es ist nicht mehr zu leugnen: Das Zeitalter der KI ist angebrochen. Bei diesem Paradigmenwechsel ist es die Identität, die Cyberkriminelle von legitimen Nutzern trennt. Wenn Cyberkriminelle in zentralisierte IAM-Systeme eindringen können, erhalten Sie Zugang zur digitalen Infrastruktur eines Unternehmens und können auf einfachem Wege wertvolles geistiges Eigentum und Daten stehlen. Glücklicherweise sind die Anbieter von Identitätslösungen (wie auch Ping) in der aktuellen IT-Landschaft stets ihrer Zeit voraus.

Durch die Kombination von ITDR und DCI können Sie eine Zero Trust-Umgebung entwickeln, in welcher die Benutzer die Last der Verwaltung ihrer eigenen Identitätsdaten mittragen, während sie von Ihrem Unternehmen durch die ständige Überwachung der IT-Landschaft auf verdächtige Aktivitäten unterstützt werden. Die DCI wiederum hilft uns bei der Überarbeitung der besten IAM-Verfahren in der gesamten Branche.

Einer der Hauptvorteile von überprüfbaren digitalen Nachweisen besteht darin, dass sie dem Einzelnen die Kontrolle über seine personenbezogenen Daten und seine Identität ermöglichen. Damit können sie selbst entscheiden, welche Informationen sie mit wem teilen möchten, und können den Zugriff auf ihre digitalen Nachweise bei Bedarf widerrufen. Die DCI ist so gesehen eine sicherere Möglichkeit, um die eigene Identität oder Qualifikation nachzuweisen und schützt die privaten Daten besser als herkömmliche zentralisierte IAM-Systeme.

PingOne Neo verwendet eine digitale Identitäts-Brieftasche, um die verifizierten Daten Ihrer Nutzer bereitzustellen. Weitere Informationen über die neue Management-Lösung für die dezentrale Identität von Ping finden Sie hier.