Immer mehr Lebensbereiche werden von Künstlicher Intelligenz durchdrungen. Automatisierte Systeme, die über Kreditanträge entscheiden, Algorithmen, die Bewerbungsdossiers bewerten und KI-Bots, die für uns Texte schreiben, zusammenfassen oder übersetzen. Deshalb müsse sich auch die Politik mit dem Thema befassen, sagte SP-Nationalrätin Min-Li Marti zum Auftakt der Veranstaltung "IT-Security im Fokus" im Fifa-Museum in Zürich.

Für sie seien im Zusammenhang mit KI zwei Punkte wichtig: Transparenz und Nachvollziehbarkeit. Traditionellerweise "beobachte der Bundesrat", dann folge irgendwann "eine Auslegeordnung", so Marti. Somit sei derzeit noch unklar, wie KI hierzulande reguliert wird. Aber es sei sehr wahrscheinlich, dass die Schweiz der EU folge, ähnlich wie es beim Datenschutzgesetz der Fall war.

Unabhängig davon, wie Künstliche Intelligenz reguliert wird, stehen die Tools auch Cyberkriminellen zur Verfügung. Angriffe, die früher umfangreiches Know-how erfordert haben, könnten nun mit wenigen Klicks durchgeführt werden, sagte Marc Ruef, Head of Research bei Scip. Cybercrime sei ein Business geworden und die neuen KI-Tools senkten die Eintrittbarrieren: Deepfakes liessen sich einfacher erstellen, Phishing-Mails professioneller erfassen oder ein Virus innert weniger Sekunden programmieren.

Noch sei die Malware, die von KI-Tools geschrieben wird, schlecht und von KI generierte Bilder und Videos liessen sich erkennen. Die Frage sei aber: wie lange noch? Müssen wir also Angst haben? "Ja", antwortete Ruef mit etwas Augenzwinkern auf seine eigene Frage, "aber noch sind wir schlauer."

Aus der Praxis berichtete Marcel Zumbühl, CISO der Schweizer Post. Er betonte das Potenzial von KI in der Cyberverteidigung, etwa um Muster zu erkennen, Phishing-Trainings zu verbessern oder im Bereich Operations Intelligence. All diese Möglichkeiten stehen aber auch der anderen Seite offen. "Heute werden von Cyberkriminellen geklaute Daten genutzt, um eine Firma unter Druck zu setzen, morgen klauen sie vielleicht die Large Language Models", so Zumbühl. Sein Vortrag machte deutlich, dass Cybercrime und Cyberverteidigung – unabhängig vom Einsatz von KI – ein Katz-und-Maus-Spiel bleiben wird.

Möglichkeiten der Angreifer-Seite zeigte auch Brian Ceccato, Technischer Analyst beim Bundesamt für Cybersicherheit (Bacs) und illustrierte eindrücklich, wie schnell und einfach Deepfakes erstellt werden können. Gleichzeitig relativiert er aber die aktuelle Bedrohungslage im Zusammenhang mit Künstlicher Intelligenz: Bisher seien keine besonders neuartigen KI-gestützten Angriffstechniken beobachtet worden. Auch wenn generative KI Malware entwickeln oder Phishing-Mails schreiben könne, sei das noch nicht der Weltuntergang.

Eine seiner Prognosen liess zudem optimistisch stimmen: LLMs werden wohl in den nächsten Jahren nicht merklich intelligenter, sondern vor allem billiger. Betrachtet man dies aus der wirtschaftlichen Perspektive der Anbieter, scheint dies stimmig. Die Unternehmen haben sehr viel Geld investiert und wollen ihre bestehenden Produkte jetzt monetarisieren.

Auf der Bühne herrschte insgesamt Einigkeit, dass man zwar wachsam gegenüber der neuen Risiken sein solle, aber in Panik verfallen, müsse man wegen KI nicht.