Phishing
IT Sicherheit

Phishingmails mit KI: Angriff oder Verteidigung?

15.10.2021
von Kevin Meier

Die Coronapandemie hat nicht nur gesundheitliche Gefahren hervorgebracht, sondern auch Bedrohungen in Bezug auf Wirtschaft, Infrastruktur und Netzwerke. Beispielsweise erlebten Spammails einen Boom, in der Hoffnung, über unachtsame Mitarbeitende in das System eines Unternehmens eindringen zu können. Kann die Künstliche Intelligenz hierfür Abhilfe schaffen oder ist sie Teil des Problems?

Google rapportierte 2020, dass jeden Tag mehr als 100 Millionen Phishingmails auf Gmail blockiert wurden. Laut dem Unternehmen fangen ihre Services über 99 Prozent aller Malware, Spam und Phishing ab – dank Machine Learning. Über Google hinaus werden Cyberangriffe ein immer grösseres Problem. Denn die Digitalisierung schreitet konstant voran und durch Covid-19 scheint die Gefahr durch den gesteigerten Datenaustausch infolge von Homeoffice erhöht. Tatsächlich schreibt Deloitte im «Cyber Security Report 2021», dass 34 Prozent der befragten Personen aus dem deutschen Wirtschaftsraum der Cyber Security in Zeiten von Corona eine höhere Bedeutung zumessen. Sind also Anwendungen der Künstlichen Intelligenz (KI) notwendig, um die Risiken zu minimieren?

Der Unterschied zwischen KI und dem Menschen

Die KI ist mittlerweile fähig, E-Mails zu schreiben und zu versenden, die durchaus menschengemacht daherkommen und die Lücke schliesst sich weiter. Der Hauptunterschied zwischen Algorithmus und Mensch liegt also woanders. Die Information Security Officer Patricia Egger erklärt, dass vor allem der Umfang ein anderer ist: «Eine automatisierte Attacke kann wesentlich mehr Menschen erreichen als eine, die menschliches Eingreifen erfordert. Benötigt der Angriff lediglich einen Klick von einer Person und ist er nicht auf ein bestimmtes Individuum ausgerichtet, so ist dies natürlich effizienter.» Auf der Seite der Verteidigung wird, wie das Beispiel von Google zeigt, ebenfalls auf KI-Anwendungen zurückgegriffen. Dennoch möchte man im Allgemeinen stets noch auf einen Menschen zählen, der das Ergebnis einer automatischen Erkennung validiert. «Ein Angriff ist immer einfacher als die Verteidigung», erläutert Egger.

KI und bösartige E-Mails

Die beunruhigende Wahrheit ist, dass KI für effiziente Angriffsversuche nicht vonnöten ist. «Sie wären überrascht, wie erfolgreich auch einfach zu erkennende Phishingmails sind», warnt Egger. Trotzdem hat sich eine perfidere Art des Angriffs entwickelt: die Spear-Phishingmail. Statt metaphorisch ein grosses Netz auszuwerfen und auf viele gefangene Fische zu hoffen, wird, wie beim Speerfischen, auf spezifische Beute abgezielt. Über Social Engineering gewinnen die Angreifenden das Vertrauen der Zielpersonen und bringen sie mit ihren Tricks dazu, vertrauliche Informationen preiszugeben oder auch beispielsweise auf einen Link zu klicken und eine bestimmte Seite aufzurufen. Hier sieht Egger ein mögliches Einsatzfeld von KI, denn Spear-Phishing «erfordert einen personalisierten und raffinierten Angriffsversuch». 

Readymade Malware

Um selbst einen Angriff zu starten, braucht es nicht einmal tiefgreifende Kenntnisse. Online sind unzählige Angebote von «Malware as a Service» zu finden. Diese sind grundsätzlich alle verfügbar. Dennoch heisst das nicht, dass man ohne Weiteres mit diesen Dienstleistungen zum schnellen Geld durch Hacking kommt. Auch Egger ist von dieser Art des Erfolgs innert Kürze nicht sehr beunruhigt: «Die Frage ist immer, welchen Grad an Raffinesse die Ziele der Angreifenden verlangen.» Um eine gute Sicherheitskultur eines Unternehmens zu umgehen, braucht es noch stets einiges an Erfahrung. 

Bezogen auf Phishingmails ist der Mensch zwar ein Risikofaktor, in erster Linie aber dennoch die Verteidigung.

Homeoffice als Gefahrenquelle?

Obwohl die Verlagerung in die Telearbeit den Datenaustausch erhöht hat, müssen die Cyberrisiken nicht unbedingt gesteigert sein. «Wenn die Endpunkte zu Hause genauso gut geschützt sind wie im Büro, bleibt das Risiko auf einem ähnlichen Niveau», meint Egger. Schliesslich sollte die Verlagerung an sich keinen grossen Einfluss darauf haben, ob die Mitarbeitenden auf verdächtige E-Mails klicken. Wichtig ist demnach, dass man sich der Risiken bewusst ist und befähigt wird, solche Attacken zu erkennen. Tatsächlich wurde in der Deloitte-Studie festgehalten, dass 82 Prozent der befragten deutschen Unternehmen in erneute Schulungen der Belegschaft oder Sicherheitssoftware investiert haben. Die Mehrheit der Personen aus Wirtschaft und Politik konstatiert dem Verhalten der Mitarbeitenden allerdings kein gesteigertes Risiko.

Der menschliche Faktor

KI kann grundsätzlich überall dort zur Verteidigung eingesetzt werden, wo viele Daten vorhanden sind. «Hier kann man von Algorithmen profitieren, da sie Muster von aussergewöhnlichen Aktivitäten besser als Menschen erkennen», weiss die Expertin. Allerdings gibt sie zu bedenken, dass auch KI-Anwendungen immer ausgetrickst werden können: «In einigen Fällen kann man beispielsweise über längere Zeit die Auffassung der KI darüber verändern, was sie als ‹normal› empfindet.» Bezogen auf Phishingmails ist der Mensch zwar ein Risikofaktor, in erster Linie aber dennoch die Verteidigung. Denn die Algorithmen sind nur so gut, wie die eingespeisten und verfügbaren Daten. 

Die erste Lösung: Awareness

In der Cyber Security verhält es sich wie bei vielen Bereichen, in denen der Mensch involviert ist: Awareness is key. Je besser die Sicherheitspraktiken der Mitarbeitenden sitzen, desto schwieriger ist es, einen erfolgreichen Angriff durchzuführen. Die Gefahr, die von Social Engineering ausgeht, schätzt Egger in der Schweiz als hoch ein, «obwohl vermutlich nicht viel höher als in anderen Ländern». Die Mitarbeitenden sollten also wissen, welche Möglichkeiten den Kriminellen zur Verfügung stehen und wie diese eingesetzt werden. Und dies geht über einzelne Unternehmen hinaus. «Wenn wir das Risiko reduzieren wollen, müssen wir die allgemeine Bevölkerung besser darüber informieren, wie man Angriffe erkennt. Ein guter Ansatz wäre, dies bereits in der Schule aufzugreifen», resümiert Egger. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Vorheriger Artikel Cybersicherheit – Aufholbedarf in der Chefetage?
Nächster Artikel Wie gehen Einbrechende vor? Wie kann man sich schützen?