Digitale Angriffe werden zunehmend raffinierter und schwieriger zu erkennen. KI verstärkt die Täuschungskraft von Phishing, Deepfakes und personalisierten Betrugsversuchen. Unternehmen stehen nun vor der Herausforderung, ihre Sicherheitskultur und Prävention konsequent zu stärken.
Gemäss neuen Zahlen vom Bundesamt für Cybersicherheit BACS wurden 2024 rund 63 000 Cybervorfälle gemeldet – eine Verdoppelung gegenüber den Zahlen des Vorjahres. Phishingangriffe gehören dabei zu den meistgemeldeten. Die Täterschaft erstellt gefälschte E-Mail-Adressen oder Websites, um den Opfern ein falsches Gefühl der Sicherheit zu vermitteln. Diese werden aufgefordert, persönliche oder zu schützende Informationen wie Login-Daten anzugeben, die dann kriminell missbraucht werden. Besonders Schweizer KMU gelangen immer häufiger ins Visier, da dort die Wahrnehmung für diese Gefahren fehlt.
Unbekannte Welt der virtuellen Gefahr
Viele Unternehmen fühlen sich angesichts der Cybersecurity überfordert. Früher war es einfacher, gefälschte oder böswillige E-Mails zu identifizieren und zu vermeiden. Aber die Zeiten des abgesetzten nigerianischen Prinzen oder der reichen, einsamen Witwe sind längst vorbei. Für das ungeübte oder abgelenkte Auge sehen Phishingmails immer echter aus und lassen sich von legitimer Korrespondenz fast nicht unterscheiden. Grosse nationale Institutionen wie Die Post oder Swisscom werden besonders häufig imitiert.
Eine neu auftretende Variante ist das sogenannte «Spear-Phishing». Solche Attacken sind auf das Opfer angepasst und greifen auf persönliche Daten wie Namen und Wohnort zurück. Sie kamen ursprünglich fast ausschliesslich im Finanzsektor vor. So wurden Treuhand- und Audit-Unternehmen zur regelmässigen Zielscheibe der Täterschaft, da deren Mitarbeitende Zugriff auf wertvolle und vertrauliche Informationen haben. Allerdings sind heutzutage Mitarbeitende aller Funktionen und Grade betroffen. Und: Für Spear-Phishing wird auch immer häufiger KI benutzt, um mehr Informationen über das Opfer zu sammeln und den Angriff zu personalisieren. Die Gefahr von persönlich formulierten Spear-Phishing-Angriffen wird daher in Zukunft weiter steigen.
Angesichts der rasanten Weiterentwicklung von KI-gestützten Angriffsmethoden wird es für Unternehmen immer wichtiger, Sensibilisierung und praxisnahe Trainings klar zu planen.
Ein prominentes Opfer: der Vorsitzende von Hillary Clintons Präsidentschaftskampagne 2016. Er erhielt eine E-Mail, die wie eine legitime Sicherheitswarnung von Google aussah. Als er mit dem mitgeschickten Link die Zugangsinformationen zu seinem E-Mail-Account eingab, wurde dieser kompromittiert und Tausende vertrauliche E-Mails veröffentlicht. Manche Expert:innen attribuierten diesen Vorfall als einen der Gründe, warum Clinton die Präsidentschaftswahl nicht gewinnen konnte.
Neue Risiken durch Deepfakes
Parallel zum Aufschwung von Spear-Phishing entstehen neue Bedrohungen durch Deepfakes und KI-basierte Bildgeneration. Cyberkriminelle können inzwischen täuschend echte Fotos oder Videos erzeugen, die Führungskräfte, Mitarbeitende oder Geschäftspartner imitieren. Diese Materialien werden genutzt, um Vertrauen zu gewinnen oder potenzielle Opfer zu manipulieren. Ein kurzes Video, das scheinbar vom eigenen CEO stammt und eine dringende Zahlungsfreigabe verlangt, kann heute innerhalb weniger Minuten künstlich erzeugt werden und ist für Laien kaum noch als Fälschung erkennbar.
Auch statische Bilder bergen ein zunehmendes Risiko. KI-Modelle wie Sora oder NanoBanana Pro können aus wenigen öffentlich zugänglichen Informationen professionelle Porträtfotos generieren, die etwa für gefälschte Mitarbeiterprofile, Social-Engineering-Kampagnen oder manipulierte Firmenwebsites verwendet werden. Solche Täuschungen verstärken die Glaubwürdigkeit böswilliger Nachrichten enorm und erschweren es Unternehmen, die Authentizität digitaler Kommunikation zuverlässig einzuschätzen.
KI als Lösungsansatz
Um sich gegen diese Gefahren zu wappnen, werden laufend neue Technologien und Trainingskonzepte entwickelt. Da KI vermehrt dazu genutzt wird, Angriffe realistischer und personalisierter zu gestalten, wird auch untersucht, wie sie als Verteidigungsmittel eingesetzt werden kann. Moderne KI-basierte Phishingsimulationen zielen darauf ab, das Verhalten von Mitarbeitenden realitätsnah zu trainieren. Dabei werden Übungen so gestaltet, dass sie auf den individuellen Arbeitsalltag und die persönliche Situation der Teilnehmenden abgestimmt sind.
Der Effekt dieser personalisierten Trainingsansätze ist deutlich: Je näher eine Simulation an echte Bedrohungen herankommt, desto stärker steigt die persönliche Relevanz für die betroffene Person und damit ihr Bewusstsein für Gefahren. Diese Art von Erfahrung hat nachweislich einen grösseren Einfluss auf das zukünftige Verhalten als rein theoretisches Sicherheitswissen oder allgemeine Hinweise.
Prävention statt Korrektur
Technische Schutzmassnahmen können viele Angriffe abfangen, doch ein beträchtlicher Teil gelangt trotz Filter bis zu den Mitarbeitenden. Deshalb rücken die kontinuierliche Sensibilisierung und die Entwicklung einer starken Sicherheitskultur in den Mittelpunkt. Mitarbeitende müssen verinnerlichen, dass jede Person Ziel eines personalisierten Angriffs sein kann, unabhängig von Position, Funktion oder technischer Erfahrung.
Angesichts der rasanten Weiterentwicklung von KI-gestützten Angriffsmethoden wird es für Unternehmen immer wichtiger, Sensibilisierung und praxisnahe Trainings klar zu planen. Da Sicherheitsfilter oft neu entwickelten Angriffstechniken hinterherhinken, bleibt die menschliche Vorbereitung ein zentraler Baustein im Kampf gegen gezielte Cyberattacken. Nur wer geschult und aufmerksam ist, kann auf unvermeidliche Angriffe angemessen reagieren.
Schreibe einen Kommentar