Generative KI hat sich etabliert, und frühe Anwender experimentieren enthusiastisch mit der Technologie und schaffen eine massive Welle von Audio-, Video-, Text- und anderen Inhalten. Mit der wachsenden Akzeptanz von generativer KI wird ihre Nutzung voraussichtlich weiter steigen. Doch laut Harvard Business Review äußerten 79 % der leitenden IT-Verantwortlichen Bedenken, dass generative KI potenzielle Sicherheitsrisiken birgt.
KI revolutioniert Geschäftsaufgaben, bietet neue Effizienzniveaus in der Wissensarbeit und innovative Service-Modelle. Allerdings zeigen Bedrohungen wie KI-Deepfakes bereits, wie sich neue Möglichkeiten für böswillige Akteure eröffnen. Deepfakes tauchen in den sozialen Medien auf und stellen insbesondere in einem Wahljahr eine ernsthafte Bedrohung dar. In der heutigen schnelllebigen Medienlandschaft könnte ein gut platzierter Deepfake erhebliche Auswirkungen haben, bevor er entlarvt wird.
Eine Sache ist klar: KI gefährdet das Vertrauen in unsere Medien und Kommunikation sowie in wichtige Technologien und Systeme. Um die Konsequenzen zu vermeiden, müssen wir jetzt mit der Planung von Maßnahmen beginnen.
Stärkung der Sicherheit und Identität durch Inhaltsherkunft
Die Herkunft von Inhalten zu etablieren ist entscheidend für die Identifizierung von Deepfakes und anderen betrügerischen KI-Inhalten. Die Inhaltsherkunft integriert Identität in Fotos, Videos und andere Inhalte "bei ihrer Entstehung" oder sobald der Inhalt Zugang zum WLAN hat. Jedes Mal, wenn der Inhalt bearbeitet oder manipuliert wird, werden die Änderungen protokolliert, was die Identifizierung von Deepfakes und anderen veränderten Inhalten erleichtert.
Unternehmen wie Meta und OpenAI begannen, Metadaten-Tags einzuführen, um die Identifizierung von Bildern und anderen Inhalten, die mit KI-Tools erstellt wurden, zu verbessern. Obwohl diese Art der digitalen Wasserzeichen-Methode eine gewisse Sicherheit bieten kann, reicht sie nicht aus. Für eine wirksame Herkunftsprüfung müssen Identität und Echtheit der Inhalte mithilfe kryptografisch sicherer Methoden integriert, signiert und zertifiziert werden.
Obwohl die Inhaltsherkunft die Herausforderungen der generativen KI angehen kann, stellt Post-Quantum-Kryptographie (PQC) sie vor Risiken. In den letzten zwei Jahren haben wir Fortschritte bei der Leistung und Genauigkeit von Quantencomputern gesehen. Das Global Risk Institute (via Spiceworks) prognostiziert, dass diese Technologien bis 2033 die führenden kryptografischen Sicherheitsschemata brechen werden.
Die Inhaltsherkunft erfordert PQC in einer post-quantalen Landschaft. Organisationen müssen ihre alten Krypto-Algorithmen schnell gegen neue austauschen. Während des Übergangszeitraums werden sie zweimal digital signieren müssen - einmal mit den heutigen Algorithmen und dann mit den neuesten PQC-Algorithmen.
Es ist wichtig zu beachten, dass die PQC-Planung nicht auf gängige Assets wie Web-Zertifikate für die meisten Unternehmen beschränkt sein wird. Verwundbarer Code kann in allen Aspekten von Geschäftsprozessen und Produkten vorhanden sein, und Komponenten erstrecken sich über die gesamte Lieferkette. Kryptografie kann in IoT-Geräten, Halbleiterchips, Software und Codesignieren, Dokumentsignieren und mehr enthalten sein. Organisationen müssen auch das Sicherheitsprofil von OEM-Komponenten vollständig verstehen, die in ihre Produkte integriert werden könnten.
Branchenführer arbeiten zusammen, um Fortschritte zu erzielen
Top-Branchenführer ergreifen bereits Maßnahmen, um die verbesserte Inhaltsursprung zu unterstützen. Zum Beispiel führt die Coalition for Content Provenance and Authenticity (C2PA) - zu der auch DigiCert gehört - ein neues "Transparenzsymbol" ein, um es Verbrauchern, Erstellern und Vermarktern zu erleichtern, vertrauenswürdige digitale Inhalte zu identifizieren.
Dieser Standard verwendet Public Key Infrastructure (PKI), um einen manipulationssicheren Datensatz zu erstellen, der den Benutzern hilft, zwischen echten und gefälschten Medien zu unterscheiden. Es sind Pläne für die Übernahme von großen Marken wie Adobe, Microsoft, Nikon und Leica in Arbeit. Zum Beispiel könnte eine Nikon DSLR ein Bild digital signieren, wenn es erstellt wird, und dann alle nachfolgenden Manipulationen verfolgen und protokollieren.
Auch der neue Standard für Lieferkettenintegrität, Transparenz und Vertrauen (SCITT) kommt ins Spiel. Unter diesem System werden Bilder kontinuierlich verfolgt und auf einem allgemeinen virtuellen Hauptbuch ähnlich wie eine Blockchain aktualisiert. Die Verwendung eines öffentlich zugänglichen digitalen Hauptbuchs ermöglicht es jedem, die Historie von Änderungen an jedem Inhalt einzusehen und zu überprüfen und damit Transparenz für alle zu schaffen. Der SCITT-Standard wurde ursprünglich für das IoT konzipiert und wird nun angepasst, um Änderungen an Inhalten zu verfolgen.
Für die Vorbereitung ist Crypto-Agilität entscheidend
Wie kann man sich auf diese transformierenden Technologieverschiebungen vorbereiten? Eine effektive Strategie sollte mit Crypto-Agilität beginnen, was bedeutet, die Fähigkeit zu haben, veraltete Krypto-Assets schnell auszutauschen, ohne kritische Geschäftsprozesse und Infrastrukturbetrieb zu stören. Sie benötigen Informationen darüber, wo Sie Verschlüsselung wie Zertifikate, Algorithmen, Protokolle und Bibliotheken verwenden. Sie müssen auch verstehen, wie diese Technologien eingesetzt wurden.
Eine gründliche Bestandsaufnahme ist grundlegend
Beginnen Sie mit einer vollständigen Bestandsaufnahme, indem Sie alle kryptografischen Assets in Ihrer Organisation und deren Prozesse identifizieren. Einige Elemente wie Web-Zertifikate und digitale Signaturen lassen sich leicht verfolgen. Andere sind möglicherweise weniger offensichtlich und verbergen sich tief in Ihrer Organisation, Produkten, Dienstleistungen und bei Drittanbietern.
Wenn Sie Ihre gesamte Infrastruktur, Prozesse und Geräte bewerten, müssen Sie alle Dokumente, Server, Benutzer und Geräte erfassen, die Kryptografie verwenden. Sie müssen auch Ihre DevOps-Prozesse überprüfen, um Schritte zu entdecken, die eine Codesignierung erfordern.
Automatisierung der Kryptoverwaltung
Viele Organisationen bereiten sich bereits auf die PQC-Ära vor, indem sie Schlüsselkapselungsmethoden (KEM) implementieren und PQC-Digitalsignaturen testen. Cloudflare erwartet, dass NIST die PQC-Standards bis Mitte 2024 finalisieren wird. Daher ist es wichtig, jetzt mit der Vorbereitung auf Aktualisierungen zu beginnen, indem automatisierte Management-Systeme für Ihre kryptografischen Assets implementiert werden. Skalierbarkeit ist besonders wichtig, da wahrscheinlich eine massive Neusignierung erforderlich sein wird, wenn neue post-quantale Algorithmen veröffentlicht werden.
Testen zur Vorbereitung auf Aktualisierungen
Als nächstes müssen Sie Ihre Prozesse gründlich testen, um bereit zu sein, Kryptografieprobleme zu identifizieren und zu beheben, sobald sie auftreten. Beispielsweise müssen Sie für einen Prozess wie die Kommunikation zwischen Servern sicherstellen, dass jeder Server bestätigen kann, dass er mit dem anderen unter Verwendung eines PQC-Algorithmus kommunizieren kann.
Frühzeitige Vorbereitung ist der Schlüssel
Es ist offensichtlich, dass generative KI und PQC in ihren Herausforderungen und Chancen eng miteinander verbunden sind und die Art und Weise, wie wir das Vertrauen in die digitalen Kommunikationen sicherstellen, drastisch verändern werden. Es ist noch nicht zu spät, proaktiv in Bezug auf Kryptografie zu werden. Beginnen Sie mit den Bestandsaufnahme- und Testprozessen, die Sie heute haben, und erweitern Sie sie, um kryptografische Assets einzubeziehen. Mit dem richtigen Ansatz und skalierbaren automatisierten Managementlösungen sind Sie vollständig vorbereitet, wenn diese neuen Technologiewellen eintreffen.
