Mit dem Wandel der Technologie entstehen neue Herausforderungen für die Datensicherheit. Unternehmen weltweit sehen sich mit Problemen wie Phishing und einer mangelnden Sensibilisierung der Mitarbeitenden konfrontiert. Ein Lösungsansatz: KI-Tools, die das Risikomanagement und Verhalten verbessern können.
Gemäß neuen Zahlen vom Bundeskriminalamt wurden 2024 über 130 000 Cybervorfälle gemeldet – eine Zahl, die über die Jahre stetig angestiegen ist. Phishing-Angriffe gehören dabei zu den meist gemeldeten. Die Täterschaft erstellt gefälschte E-Mail-Adressen oder Websites, um den Opfern ein falsches Gefühl der Sicherheit zu vermitteln. Diese werden aufgefordert, persönliche oder zu schützende Informationen wie Login-Daten anzugeben, die dann kriminell missbraucht werden. Besonders deutsche KMU gelangen immer häufiger ins Visier, da dort die Wahrnehmung für diese Gefahren fehlt.
Unbekannte Welt der virtuellen Gefahr
Viele Unternehmen fühlen sich angesichts der Cybersecurity überfordert. Früher war es einfacher, gefälschte oder böswillige E-Mails zu identifizieren und zu vermeiden. Aber die Zeiten des abgesetzten nigerianischen Prinzen oder der reichen, einsamen Witwe sind längst vorbei. Für das ungeübte oder abgelenkte Auge sehen Phishingmails immer echter aus und lassen sich von legitimer Korrespondenz fast nicht unterscheiden. Große Institutionen wie Microsoft oder Amazon werden besonders häufig imitiert.
Eine neu auftretende Variante ist das sogenannte «Spear-Phishing». Solche Attacken sind auf das Opfer angepasst und greifen auf persönliche Daten wie Namen und Wohnort zurück. Sie kamen ursprünglich fast ausschließlich im Finanzsektor vor; so wurden Treuhand- und Auditunternehmen zur regelmäßigen Zielscheibe der Täterschaft, da deren Mitarbeitende Zugriff auf wertvolle und vertrauliche Informationen haben. Allerdings sind heutzutage Mitarbeitende aller Funktionen und Grade betroffen. Und: Für Spear-Phishing wird auch immer häufiger KI benutzt, um genügend Informationen über das Opfer zu sammeln und den Angriff zu personalisieren. Die Gefahr von persönlich formulierten Spear-Phishing-Angriffen wird daher in Zukunft weiter steigen.
Ein prominentes Opfer: der Vorsitzende von Hillary Clintons Präsidentschaftskampagne von 2016. Er erhielt eine E-Mail, die wie eine legitime Sicherheitswarnung von Google aussah. Als er mit dem mitgeschickten Link die Zugangsinformationen zu seinem Mail-Account eingab, wurde dieser kompromittiert und Tausende vertrauliche E-Mails veröffentlicht. Manche Expert:innen attribuierten diesen Vorfall als einen der Gründe, warum Clinton die Präsidentschaftswahl nicht gewinnen konnte.
KI als Lösungsansatz
Um sich gegen diese Gefahren zu stützen, werden laufend neue Technologien und Konzepte entwickelt. Mit dem Aufschwung von KI in Spear-Phishing wird auch eruiert, ob und wie man sie als Verteidigungsmittel anwenden kann. Die Hochschule Luzern HSLU hat in Zusammenarbeit mit der Cyberdise AG unter der Leitung von Dr. Carlo Pugnetti eine Studie zur Effektivität von KI-Spear-Phishing-Übungen veröffentlicht. 539 Mitarbeitende eines Unternehmens wurden in vier Gruppen unterteilt. Eine davon erhielt kein spezifisches Training, während die anderen drei auf unterschiedlichem Niveau Phishing-Übungen ausgesetzt wurden.
Das Resultat ist deutlich: Beim sogenannten Baseline-Test gaben elf Prozent der Teilnehmenden vertrauliche Daten an. Wurden sie davor mit normativem Training oder allgemeinen Phishing-Simulationen geschult, sank diese Zahl um 40 respektive 45 Prozent. Nach spezifischen KI-basierten Spear-Phishing-Übungen allerdings nahm sie um nahezu 60 Prozent ab. »Bei diesen Übungen wird die Person direkt angegriffen«, erläutert Dr. Pugnetti. »Das führt zu einer Steigerung der persönlichen Relevanz und diese Erfahrung ist effektiver für die Verhaltensänderung als normatives Training.«
Prävention statt Korrektur
Der theoretische Ansatz liefert nämlich nur einen Teil der Lösung von Spear-Phishing-Problemen. Mit technischer Vorbeugung kann zwar ein Teil der Angriffe ausgefiltert werden, aber es kommt trotzdem ein beträchtlicher Teil bis zu den Mitarbeitenden durch. Deshalb bedarf es einer intensiven präventiven Vorbereitungsarbeit und Veränderung der Unternehmenskultur. So betont Dr. Pugnetti: »Mitarbeitende sollten im Hinterkopf haben, dass sie von Spear-Phishing betroffen sein können. Deshalb ist die kulturelle, menschliche Vorbereitung extrem wichtig.«
Besonders bei personalisierten Angriffen liegt die Vermutung nahe, dass ältere oder technisch nicht affine Menschen stärker betroffen sind. Aber Studien haben festgestellt, dass die Klickrate auf Phishing-Links eine stärkere Korrelation mit dem Stressfaktor aufweist als mit Alter, Geschlecht oder Berufsprofil. Die Hypothese, dass Arbeitende in der IT-Branche weniger anfällig sind, wurde ebenfalls widerlegt. Dies liegt daran, dass die eigene Fähigkeit beim Behandeln von möglichen Phishing-Attacken überschätzt wird.
Eine konkrete Planung für die Sensibilisierung und Ausbildung gegen Spear-Phishing wird für Unternehmen immer wichtiger. Denn der Fortschritt der KI führt auch dazu, dass ihr Missbrauch für Cyberattacken ausgeklügelter und effizienter wird. Selbst wenn die Entwicklung von Filtern und anderen technologischen Präventionsmaßnahmen mitzuhalten versucht, rechnet Dr. Pugnetti mit einem Rückstand von drei bis sechs Monaten. Deshalb ist es umso wichtiger, Mitarbeitende zu schulen und mit Übungen so vorzubereiten, dass sie mit den unvermeidlichen Phishing-Angriffen umgehen können.
Schreibe einen Kommentar