Sicherheitsrisiken erkennen und reduzieren
Wie Chatbots die IT-Security gefährden
Thomas Ehrlich ist Regional Director DACH bei Netskope. Davor verantwortete er als Country Manager DACH und Osteuropa das Wachstum und die Positionierung des Security-Anbieters Varonis in dieser Region.
ChatbotsChatbots sind ein ideales Beispiel für künstliche Intelligenzkünstliche Intelligenz, die es in unseren Alltag geschafft hat. Mittlerweile sind die Dialogsysteme fast flächendeckend zum integralen Bestandteil des Kundenengagements geworden: Von Online-Bestellungen bis hin zu Service-Anfragen nutzen Kunden die Technologie, um einfache Fragen zu stellen, Rechnungen zu bezahlen und Konflikte bei Transaktionen zu lösen. Aber nicht nur im Kundendialog werden Chatbots eingesetzt, sondern teilweise auch bei großen Unternehmen, die auf diese Weise ihre interne Kommunikation etwa mit der IT-Abteilung bei Support-Anfragen unterstützen. Alles zu Chatbot auf CIO.de Alles zu Künstliche Intelligenz auf CIO.de
Wie fast jede Technologie können jedoch auch Chatbots von Kriminellen missbraucht werden und neue Angriffsflächen erzeugen. Einer der ersten größeren Angriffe dieser Art war der Datendiebstahl bei Ticketmaster im Juni 2018, bei dem persönliche Daten (Adressen, E-Mail-Adressen, Log-in-Daten, Namen, Telefonnummern und Zahlungsinformationen) von knapp 40.000 Kunden entwendet wurden.
- AI Bots
Chatbots als virtuelle Kommunikationsroboter können Abläufe optimieren, die Kommunikation mit Kunden und Partnern unterstützen und neue Einsichten in die Kommunikationspartner verschaffen. - Facebook
Chatbots sind auch innerhalb des Facebook Messenger aktiv. Nutzer können dort Meldungen von Chatbots abonnieren, aber auch blockieren. - Microsoft
Es gibt eine Reihe von Möglichkeiten, eigene Chatbots zu entwickeln, wie zum Beispiel das Microsoft Bot Framework. - News-Bot Novi
Nicht immer sehen Chatbots so deutlich nach einem Roboter aus wie im Fall des Nachrichten-Bots Novi. Oftmals machen die Bilder bei Chatbots den Eindruck, als kommuniziere man mit einem Menschen. - Bots beantworten Fragen
Dem Nachrichten-Chatbot Novi konnte man Rückfragen zu den News stellen. Allerdings waren die Rückfragen vorgegeben. Andere Chatbots arbeiten bereits mit „freien“ Fragen. - Chatbots lernen dazu
Einem Chatbot wie Novi kann man sagen, ob ein Thema interessant ist oder nicht. Generell sollen Chatbots daraus lernen und die Kommunikation zunehmend personalisieren.
Dort wurde offensichtlich MalwareMalware in das verwendete Drittanbieter-Tool injiziert. Man kann davon ausgehen, dass in naher Zukunft Angreifer verstärkt böswillige Chatbots erstellen, um Kunden zum Anklicken von Links zu bewegen, die die Übermittlung einer böswilligen Payload auslösen, z.B. das Herunterladen von Malware oder die Weitergabe privater Informationen (z.B. die Übermittlung von Phishing-Seiten über Chatbots). Und wenn man bedenkt, wie Apps wie Uber und Deliveroo in den Facebook-Messenger integriert sind und es Kunden ermöglichen, über eine einfache Nachricht zu bestellen und zu bezahlen, erkennt man leicht, wie viele Angriffsvektoren es gibt. Alles zu Malware auf CIO.de
Nach einer Salesforce-Studie plant knapp jedes dritte Unternehmen innerhalb der nächsten 18 Monate die Einführung von Chatbots. Dabei kommt es vor allem darauf an, die richtige Balance zwischen dem Ausschöpfen des enormen Potenzials dieser Technologie und der Minimierung der damit verbundenen Risiken zu finden. Aber wie kann dies gelingen? Unternehmen, die vor einer Einführung stehen, sollten sich fünf Fragen stellen, um die Wahrscheinlichkeit von Angriffen zu minimieren.
Wie sind die Chatbots in das Ökosystem integriert?
Angriffe auf die Software-Lieferkette nehmen immer mehr zu, und Chatbots bilden dabei keine Ausnahme. Werden Chatbots von Drittanbietern genutzt, müssen die Unternehmen, die diese einsetzen, einen weiteren potenziellen Bedrohungsvektor untersuchen. Man sollte nicht darauf vertrauen, dass die Chatbot-Anbieter die gleichen Sicherheitsstandards wie man selbst anwendet, sondern den Sicherheitsstatus sorgfältig beurteilen. Auf diese Weise lässt sich erkennen, welche weiteren Schutzmaßnahmen gegebenenfalls erforderlich sind.
Nutzen die Chatbots eine Cloud-Infrastruktur?
Da 80 Prozent der Unternehmen heute die CloudCloud nutzen, ist es wahrscheinlich, dass ihre Chatbots Cloud-basiert sind. Dies wirkt sich zwar positiv auf die die Flexibilität und Skalierbarkeit aus, birgt aber auch Sicherheitsrisiken. Clouds verwenden APIs und mobile Geräte und umgehen damit den Perimeter. Dennoch setzen viele Unternehmen nach wie vor auf traditionelle Sicherheitsansätze, die APIs nicht verstehen und letztlich darauf basieren, "zuzulassen" oder zu "blockieren". Dieser Ansatz funktioniert in der Cloud jedoch einfach nicht. Alles zu Cloud Computing auf CIO.de
Wenn man also Cloud-basierte Chatbots einsetzen möchte, muss sichergestellt werden, dass die Sicherheitsstrategie die Cloud mit einbezieht. Intelligente Cloud-Sicherheitslösungen kontrollieren sämtliche Aktivitäten innerhalb der verschiedenen Cloud Services und Websites und sorgen so für einen umfassenden Schutz. So werden mit einem Cloud Access Security Broker (CASB) Risiken von Cloud-Diensten adressiert, Sicherheitsrichtlinien durchgesetzt und gesetzliche Vorgaben eingehalten, auch wenn sich die Cloud-Dienste außerhalb des eigenen Einflussbereichs (wie eben die meisten Chatbots) befinden.
Sind Chatbots Teil der Sicherheitsstrategie für Unternehmensanwendungen?
Da Chatbots letztlich Unternehmensanwendungen sind, sollten sie auch in die Sicherheitsstrategie für Unternehmensanwendungen einbezogen werden. Entsprechend müssen Punkte wie regelmäßige Software-Updates, Sicherheitspatches und Multi-Faktor-Authentifizierung adressiert werden. Ebenso ist sicherzustellen, dass Daten im Ruhezustand als auch bei der Übertragung verschlüsselt und Zugriffskontrollen durchgesetzt werden.
Werden die generierten Daten gesetzeskonform behandelt?
Beim Einsatz von Chatbots müssen selbstverständlich auch Fragen des Datenschutzes und der ComplianceCompliance (man denke etwa an die DSGVODSGVO) berücksichtigt werden. Die durch Chatbots gesammelten Informationen von Benutzern und die damit verbundenen Metadaten müssen sicher gespeichert werden - mit klaren Regeln und Prozessen rund um Speicherung und Zugriff, einschließlich der Dauer der Speicherung und der Nutzung der Daten. Dies gilt insbesondere (aber nicht ausschließlich) für Branchen mit einer starken Regulierung. Alles zu Compliance auf CIO.de Alles zu DSGVO auf CIO.de
Erkennen Mitarbeiter und Kunden Manipulationen?
Eine der größten Schwachstellen jeder Technologie - Chatbots eingeschlossen - ist der Mensch. Durch den Einsatz von KI werden Chatbots in naher Zukunft in der Lage sein, vertrauenswürdige Entitäten (das können Menschen aber auch Maschinen sein) sehr überzeugend zu imitieren. Google zeigt das gerade mit einem Beispiel. Dies kann dazu führen, dass Kunden und andere Benutzer Daten mit bösartigen Bots austauschen. Es ist deshalb wichtig, dass genügend Ressourcen für die Sensibilisierung und Schulung von Mitarbeitern und Kunden aufgewendet werden. Dies darf sich aber nicht auf ein einmaliges Training zur Erkennung verdächtiger Aktivitäten beschränken, vielmehr sollten regelmäßige Awareness-Kampagnen durchgeführt werden, damit die Nutzer aufmerksam gegenüber möglichen Manipulationen bleiben.
Chatbots können Unternehmen und ihren Kunden enorme Vorteile bieten. Es ist grundsätzlich unmöglich, alle Schwachstellen zu überprüfen und zu beseitigen. Das gilt für die Cybersecurity im Allgemeinen und Chatbots im Besonderen. Aber eine umfassende, mehrstufige Sicherheitsstrategie kann das Risiko erfolgreicher Angriffe über Chatbots erheblich verringern. (rs)