Sicherheitsrisiken für Vertrauensdiensteanbieter durch KI-basierte Bedrohungen

Im Auftrag der RTR-GmbH hat A-SIT Plus die Studie "Sicherheitsrisiken für Vertrauensdiensteanbieter durch KI-basierte Bedrohungen" durchgeführt. Sie analysiert umfassend, wie sich der Einsatz und der Missbrauch von Künstlicher Intelligenz auf die Sicherheit qualifizierter Vertrauensdienste auswirken, und zeigt auf, mit welchen technischen, organisatorischen und prozessualen Maßnahmen diesen Risiken begegnet werden kann.

Die Studie macht deutlich, dass KI die Sicherheitslandschaft digitaler Vertrauensdienste grundlegend verändert. Einerseits eröffnet sie neue Möglichkeiten zur Effizienzsteigerung, zur Unterstützung betrieblicher Abläufe und zur Erkennung von Anomalien. Andererseits schafft sie neue Angriffsmöglichkeiten und verstärkt bestehende Bedrohungen, etwa durch Deepfakes, synthetische Identitäten, manipulierte Dokumente oder KI-gestützte Social-Engineering-Angriffe.

Im Mittelpunkt der Untersuchung steht ein phasenorientierter Ansatz entlang des gesamten Lebenszyklus eines Vertrauensdienstes – von der Implementierung über die Zulassung und den operativen Betrieb bis hin zur Beendigung des Dienstes. Dadurch können KI-basierte Bedrohungen präzise den jeweiligen Prozessschritten zugeordnet und geeignete Gegenmaßnahmen systematisch abgeleitet werden.

Über alle Phasen hinweg zeigt die Studie ein breites Spektrum an Risiken auf: In der Implementierung reichen diese von manipulierter Hardware und kompromittierten Lieferketten bis zu durch KI-gestützte Entwicklungswerkzeuge eingebrachten Schwachstellen; im laufenden Betrieb stehen Deepfakes, Phishing, kompromittierte Biometrie, manipulierte Signaturdaten sowie Angriffe auf Überwachungs- und Machine-Learning-Systeme im Vordergrund; und auch in der Beendigungsphase können Desinformationskampagnen, gefälschte Mitteilungen oder manipulierte Übergabedaten die Sicherheit und Verlässlichkeit von Vertrauensdiensten erheblich beeinträchtigen.

Als zentrale Gegenmaßnahmen nennt die Studie unter anderem den Einsatz zertifizierter Hardware, kryptografischer Schutzmechanismen, Security-by-Design- und Zero-Trust-Prinzipien sowie klare Governance-Regeln für den Einsatz von KI. Ergänzend werden Schulungen zur Erkennung KI-basierter Täuschungen, standardisierte Prüf- und Freigabeprozesse, manipulationssichere Protokollierung und das Vier-Augen-Prinzip in sicherheitskritischen Abläufen empfohlen.

Besondere Bedeutung kommt der sicheren Identitätsfeststellung und der Authentizität digitaler Interaktionen zu. Die Studie betont, dass die Kombination verschiedener Prüfmechanismen – etwa Registerabfragen, Chipdaten-Auslesung und biometrische Liveness-Checks – die Anfälligkeit für Deepfakes und Identitätstäuschungen deutlich reduzieren kann. Ebenso zentral bleiben der Grundsatz "What You See Is What You Sign" sowie der Einsatz sicherer Hardwarekomponenten und phishingsicherer Authentifizierungsverfahren.

Darüber hinaus unterstreicht die Studie, dass KI nicht nur als Risiko, sondern auch als Werkzeug zur Verteidigung verstanden werden muss. So kann sie zur Erkennung von Anomalien, zur Analyse von Angriffsmustern und zur Unterstützung der Qualitätssicherung beitragen. Voraussetzung dafür sind jedoch eine klare Governance, der Einsatz geprüfter Modelle sowie eine nachvollziehbare Dokumentation und laufende Überprüfung der eingesetzten Systeme.

Die Studie wurde zeitgleich mit der Veranstaltung veröffentlicht. Die Folien sind auf der Veranstaltungswebsite abrufbar.

Die für die Rundfunk und Telekom Regulierungs-GmbH (RTR-GmbH) mit der Erstellung der Studie "Sicherheitsrisiken für Vertrauensdiensteanbieter durch KI-basierte Bedrohungen" entstandenen Kosten werden gemäß Art. 20 Abs. 5 Bundesverfassungsgesetz mit 16.755,00 Euro (netto) bekanntgegeben.

Weitere Informationen

• Link zur Studie