IT-Sicherheit – Seite 2

Der Missbrauch von Generativer KI und großen Sprachmodellen (LLM)

Generative KI verlangt unserer Gesellschaft viel ab: Schon jetzt ist immer weniger das, wonach es aussieht. Man darf (und sollte) weder seinen Ohren noch seinen Augen trauen – und es wird immer einfacher, selbst ohne erhebliche eigene Ressourcen oder technische Fertigkeiten, Angriffsszenarien mithilfe von KI aufzubauen.

Die Analyse „GenAI against humanity: nefarious applications of generative artificial intelligence and large language models“ bietet eine tiefgreifende Analyse der missbräuchlichen Anwendungen von Generativer Künstlicher Intelligenz (GenAI) und Großen Sprachmodellen (LLMs). Diese Studie, verfasst von Emilio Ferrara, betrachtet die dunkle Seite dieser Technologien, indem sie verschiedene schädliche Szenarien und deren potenzielle Auswirkungen auf Gesellschaft und Individuen aufzeigt.

Einsatz von Generativer KI bei Penetrationstests

In dem Forschungsartikel „Generative AI for Pentesting: The Good, The Bad, The Ugly“ wird der Einsatz von Generativer Künstlicher Intelligenz (GenAI) und Großen Sprachmodellen (LLMs) im Kontext von Penetrationstests untersucht. Die Studie bietet eine umfassende Analyse der Vorteile, Herausforderungen und Risiken, die mit dem Einsatz von GenAI in der Cybersecurity verbunden sind.

LLM und OSINT

In der Studie „Evaluation of LLM Chatbots for OSINT-based Cyber Threat Awareness“ von Samaneh Shafee, Alysson Bessani und Pedro M. Ferreira wird detailliert auf die Funktionen von Large Language Models (LLMs) eingegangen, die für Open Source Intelligence (OSINT) im Kontext der Cyberbedrohungserkennung verwendet werden.

Die Autoren untersuchen die Leistungsfähigkeit verschiedener Chatbot-Modelle, darunter ChatGPT, GPT4all, Dolly, Stanford Alpaca, Alpaca-LoRA, Falcon und Vicuna, in Bezug auf binäre Klassifikation und Named Entity Recognition (NER) Aufgaben, die unter Verwendung von OSINT durchgeführt werden.

Großmodelle Natürlicher Sprachen (LLMs) im Cybersicherheitskontext

In der Welt der Cybersicherheit, die sich ständig weiterentwickelt und mit neuen Herausforderungen konfrontiert sieht, stellt der Einsatz von Großmodellen natürlicher Sprachen (LLMs) eine innovative Entwicklung dar. Eine Studie von Gabriel de Jesus Coelho da Silva und Carlos Becker Westphall an der Universida de Federal de Santa Catarina untersucht, wie LLMs im Bereich der Cybersicherheit eingesetzt werden können, welche Methoden dabei angewendet werden und wo diese Modelle ihre Stärken und Grenzen haben.

BSI zum Einfluss von KI auf die Cyberbedrohungslandschaft

OECD-Papier über gemeinsame Leitlinien zur Förderung der Interoperabilität im KI-Risikomanagement

Die rasante Entwicklung und der Einsatz von Künstlicher Intelligenz (KI) bringen immense Vorteile, aber auch erhebliche Risiken mit sich. Um diese Risiken zu managen und vertrauenswürdige KI-Systeme zu entwickeln, ist ein kohärentes Risikomanagement unerlässlich.

Das OECD-Papier „Common Guideposts to Promote Interoperability in AI Risk Management“, veröffentlicht im November 2023, bietet eine umfassende Analyse der Gemeinsamkeiten und Unterschiede führender Risikomanagement-Rahmenwerke für KI. Ziel ist es, eine gemeinsame Grundlage zu schaffen, um die Interoperabilität dieser Rahmenwerke zu fördern und die Effizienz zu steigern.

Rechtliche Implikationen aus der Log4J / Log4Shell Lücke

Eine der sicherlich herausragendsten Sicherheitslücken in diesem Jahrzehnt ist schon jetzt die Log4Shell-Sicherheitslücke, die zunehmend massiv ausgenutzt wird – ich hatte, wie üblich, auf LinkedIn frühzeitig dazu berichtet. Nun langsam, nachdem die Lücke bekannt ist und auch nicht nur in Teilen sondern massiv ausgenutzt werden kann und wird, stellt sich natürlich die Frage, was an rechtlichen Konsequenzen damit verbunden ist. Wie immer gilt: Es kommt drauf an.

Tatsächlich zeigt sich, dass die Lücke einige – vorhersehbare – Konsequenzen hat; viel interessanter ist, dass sich Datenschutzbehörden bereits postieren und auch anlasslose Kontrollen angekündigt haben. Dies nicht nur für Log4J speziell, sondern für Ransomware allgemein.

Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke

Welche Pflichten treffen eigentlich Provider, wenn eine IT-Sicherheitslücke in eingesetzter Software bekannt wird, die noch gar nicht ausgenutzt wurde? In der Tat ergeben sich dabei einige vertragsrechtliche Aspekte. Als Beispiel soll die im Jahr 2014 bekannt gewordene Sicherheitslücke mit dem treffenden Namen „Shellshock“ dienen, die schnell ausgenutzt wurde,

Ein solcher Fall sollte Provider und Anbieter von Internetdiensten immer aufhorchen lassen – nicht nur in technischer Hinsicht. Denn es bieten sich durchaus juristische Konsequenzen. Die aufgezeigte Sicherheitslücke hatte dabei weitreichende Auswirkungen: Zwar benötigte man auf den ersten Blick einen Zugriff auf das Terminal, was gerade bei typischen Webspace-Angeboten gar nicht der Fall sein wird; allerdings gibt es zahlreiche Lösungen, bei denen die Bash quasi durch die Hintertüre verwendet wird, so dass sich durchaus denkbare Szenarien bieten. Das Risiko traf damit zumindest theoretisch erst einmal jedes Unix-basierte System.

Reverse Engineering: EUGH zur Dekompilierung von Software

Der EUGH (C‑13/20) konnte zur Dekompilierung von Software, auf Basis der früheren „Computerprogramm-Richtlinie“ 91/250, festhalten, dass

der rechtmäßige Erwerber eines Computerprogramms berechtigt ist, dieses ganz oder teilweise zu dekompilieren, um Fehler, die das Funktionieren dieses Programms beeinträchtigen, zu berichtigen;
insbesondere ist dies in dem Fall zulässig, dass die Berichtigung darin besteht, eine Funktion zu deaktivieren, die das ordnungsgemäße Funktionieren der Anwendung, zu der dieses Programm gehört, beeinträchtigt;
sowie, dass der rechtmäßige Erwerber eines Computerprogramms, der die Dekompilierung dieses Programms vornehmen möchte, um Fehler, die dessen Funktionieren beeinträchtigen, zu berichtigen, nicht den weiteren Anforderungen nach Art. 6 dieser Richtlinie genügen muss. Der Erwerber darf eine solche Dekompilierung jedoch nur in dem für die Berichtigung erforderlichen Ausmaß und gegebenenfalls unter Einhaltung der mit dem Inhaber des Urheberrechts an diesem Programm vertraglich festgelegten Bedingungen vornehmen.

Die hier zu Grunde gelegte Richtlinie 91/250 wurde durch die Richtlinie 2009/24/EG aufgehoben – inhaltlich wird die Entscheidung übertragbar sein und zukünftig, im immer bedeutenderen Bereich der Dekompilierung, eine erhebliche Auslegungshilfe darstellen. Mit Blick auf die gefestigte deutsche Rechtsprechung zu urheberrechtlichen Fragen beim Reverse Engineering ergeben sich für mich nach erstem Lesen allerdings keine gravierenden Änderungen.

Aufdrängen von Upgrade wegen angeblicher Sicherheitsprobleme wettbewerbswidrig

Einen ganz besonderen Fall hatte das OLG München (6 U 3509/19) zu entscheiden: Es ging um die Frage, wie man mit einem aufgedrängten Upgrade umgeht. Üblicherweise streitet man im Softwarerecht ja eher um das Gegenteil, nämlich um die Frage der Updatepflicht.

Dabei ging es um ein Softwareunternehmen, das wohl einen orthopädischen Chirurgen angeschrieben und darauf hingewiesen hatte, dass die von ihm verwendete Software ohne ein angebotenes Upgrade nicht mehr benutzt werden dürfe und anderenfalls „schon wegen Fehlens eines Upgrades die Sicherheit der Patienten über ein nach den Erkenntnissen der medizinischen Wissenschaften vertretbares Maß hinaus gefährdet sei“. Das verwunderte den Empfänger des Schreibens, insbesondere zumal nach ihm die streitgegenständliche Software bislang fehlerfrei gearbeitet haben soll.

Haftung für Webseiten-Inhalte nach Hackangriff

Eine wichtige Entscheidung hat das OLG Hamburg (5 U 33/19) getroffen, dies hinsichtlich der urheberrechtlichen Haftung für Inhalte, die nach einem Hackangriff auf der eigenen Webseite stehen.

Im Sachverhalt hatte ein Fotograf einen Webseitenbetreiber auf Unterlassung in Anspruch nehmen wollen, nachdem nach einem Hacker-Angriff unbemerkt ganz neue Seiten hochgeladen waren, auf denen auch das Foto des Fotografen unberechtigt verwendet wurde. Kern der Frage am Ende ist dann, ob durch Verstöße gegen grundregelnde Regeln der IT-Sicherheit eine Haftung als Störer in Betracht kommen kann, wenn Hacker Inhalte hochladen. Das OLG hat dies verneint.