Social Engineering: Die Schwachstelle Nummer 1 ­mit Awareness patchen

Künstliche Intelligenz ist in der Gesellschaft angekommen, bei Cyberkriminellen leider auch. Mit Hilfe von KI werden etwa Angriffsmethoden verbessert und die Angriffskadenz massiv erhöht. Was das für die Security Awareness in Unternehmen bedeutet.

Artikel erschienen in Swiss IT Magazine 2024/06

     

Während Cyberkriminelle in Sachen Angriffsmethoden äusserst progressiv unterwegs sind, bleiben sie bezüglich bevorzugter Schwachstelle traditionell und fokussieren sich auf den Menschen. Aus gutem Grund: Der Mensch ist – mit oder ohne KI – bezüglich Informationssicherheit die Schwachstelle Nummer 1. Dementsprechend dringend und unverzichtbar ist seine gezielte Sensibilisierung für das Thema Sicherheit. Besser gesagt: für das Thema Sicherheit im Kontext KI-getriebener Cyberkriminalität.

Es war einmal

Das waren noch Zeiten, als E-Mail-Absender oder Links relativ einfach als verdächtig zu erkennen waren. Als man noch davon ausgehen durfte, dass am anderen Ende der Telefonverbindung tatsächlich ein Kollege aus dem Unternehmen sitzt. Als der CEO im Teams-Meeting nicht nur wie der leibhaftige CEO aussah, sondern es wirklich war. Tempi passati. KI hat übernommen. Inhalte betrügerischer E-Mails kommen grammatikalisch und orthografisch einwandfrei daher, Absenderadressen sind unauffällig. Dank Deepfakes (mit KI erstellte, digitale Fälschungen) sind Gesichter und Stimmen von Personen in Videos oder Audiodateien so realistisch, dass ein Unterschied zum Original kaum mehr bemerkt werden kann. KI ist so zur perfekten Spielwiese kreativer Cyberkrimineller geworden.
Awareness-Checkliste für ­Unternehmen
- Fokus auf KI-getriebene Angriffe und Deepfakes
- Durchführung regelmässiger Phishing-Simulationen per E-Mail, Telefon, SMS oder Videoanruf
- Schulung besonders gefährdeter Funktionsträger wie CEOs oder Mit­arbeitende mit Zugriff auf Bankkonten
- Implementierung organisatorischer Massnahmen, zum Beispiel Verifizierung grosser Zahlungen durch eine zweite Person
- Vereinbarung eines Codeworts zur Verifizierung der anrufenden Person
- Einrichten eines zweiten Authentifizierungsfaktors
- Etablierung einer positiven Fehler- und Feedback-Kultur

Hallo, hier spricht Ihr CEO

Man stelle sich vor, das Telefon klingelt. Die Nummer auf dem Display ist zwar nicht zwingend bekannt, man nimmt den Anruf aber trotzdem an. Glücklicherweise, denn es ist der CEO, der sein Smartphone vergessen oder verloren hat und nun über eine andere Telefonnummer anruft. Obwohl er in den Ferien oder an einer Konferenz ist, müsste er ganz schnell diese oder jene vertrauliche Information haben (die natürlich auf seinem Smartphone war) oder es müsste eine Überweisung getätigt werden. Wenn die Stimme gut gefälscht ist – und das wird sie sein –, wird dabei kaum Verdacht geschöpft.


Verhaltensweisen, die man in bisherigen Awareness-Übungen erlernt hat, helfen da nur bedingt. Allerdings ist eine gesunde Portion Skepsis und Aufmerksamkeit schon mal ein guter Anfang und durchaus erfolgversprechend, wie vereitelte Betrugsversuche gegen verschiedene Unternehmen zeigen – auch wenn dabei wohl auch ziemlich viel Glück und/oder der Dilettantismus der Kriminellen eine Rolle gespielt haben mag. Dass darauf zu hoffen äusserst risikoreich und – ehrlich gesagt – unverantwortlich ist, versteht sich von selbst. Die KI-Büchse der Pandora ist nämlich eben erst geöffnet worden.

Was KI-getriebene Angriffe so gefährlich macht

Ihre einfache Verfügbarkeit: KI-Tools werden immer besser und sind immer einfacher zu handhaben. Anleitungen zur Herstellung von Deepfakes etwa unterscheiden sich kaum mehr von Anleitungen zum Aufbau eines Bücherregals. Und weil die Verfügbarkeit solcher Tools gross (und ihre Anschaffung günstig) ist, nehmen KI-gesteuerte Angriffe stark zu.

Ihre Skalierbarkeit: KI ermöglicht es, Angriffe in einem Umfang und mit einer Geschwindigkeit durchzuführen, die manuell schlicht unmöglich wären. Die Automatisierung von Angriffen mittels KI eröffnet Cyberkriminellen ungeahnte Möglichkeiten. Sicherheitslücken in Software entdecken? Aber sicher! Massenversand personalisierter Phishing-Mails? Klar doch.


Die Lernfähigkeit von KI-Systemen: KI-Systeme können aus erfolgreichen und erfolglosen Angriffen lernen und ihre Strategien entsprechend schnell und effizient anpassen. Die Bedrohungen ändern und entwickeln sich deshalb rasend schnell: der Albtraum eines jeden Sicherheitsteams.

Die immer komplexer werdende Bedrohungserkennung: KI-getriebene Angriffe werden – wie gesagt – immer intelligenter. Das bedeutet auch, dass es immer schwieriger wird, diese zu identifizieren. Bisher bewährte Sicherheitslösungen stossen an ihre Grenzen. Sie müssen, sofern möglich, angepasst werden und/oder mit KI-gestützten Systemen ergänzt werden.

KI-Angriffe (er)kennen

Potenzielle Ziele KI-getriebener Angriffe sind sowohl kleine als auch grosse Unternehmen aller Branchen. Neben technischen und organisatorischen Massnahmen muss deshalb auch und gerade bezüglich Awareness eine Antwort auf diese hochaktuelle Angriffsmethode gefunden werden. Das beginnt mit dem Wissen, was KI-Tools können beziehungsweise wie sie in Erscheinung treten.

Beispiel Phishing E-Mails: KI-gesteuerte Systeme können dazu verwendet werden, überzeugende Phishing E-Mails zu generieren. Überzeugend heisst: Einwandfrei verfasst und so stimmig, dass kein Verdacht aufkommt und betrügerische Links angeklickt und Daten weitergegeben werden. Ganz perfid wird es, wenn Phishing E-Mails sogar auf die psychologischen Schwächen bestimmter Empfängerinnen und Empfänger zugeschnitten sind.


Beispiel Deepfake und Deepvoice – Videocalls und Telefonanrufe: Der Begriff Deepfakes ist bereits im Beispiel oben erwähnt worden. Es handelt sich dabei um hoch entwickelte digitale Manipulationen, bei denen Gesichter oder Stimmen von Personen durch KI in Videos oder Audiodateien so verändert werden, dass es scheint, als würden sie Dinge sagen oder tun, die nie wirklich passiert sind. Diese Technologie nutzt maschinelles Lernen und neuronale Netzwerke, um überzeugende Fälschungen zu erstellen, die oft nur schwer von der Realität zu unterscheiden sind. Cyberkriminelle versuchen so, zum Beispiel an vertrauliche Daten zu gelangen oder Überweisungen zu provozieren, aber auch Desinformation zu verbreiten.

Security Awareness schaffen

Awareness – die Sensibilisierung von Mitarbeitenden für Sicherheit – ist und bleibt eine wirkungsvolle Schutzmassnahme. KI verstärkt nun den Fokus auf das Zwischenmenschliche zusätzlich, weil sie Angreifern ermöglicht, Mitarbeitende sehr persönlich, quasi massgeschneidert anzusprechen. Die Aussicht auf eine erfolgreiche Manipulation steigt daher massiv.

KI-getriebene Angriffe sind eine der Kehrseiten von Künstlicher Intelligenz. Und ja, sie sind gefährlich, perfid und leider immer mehr verbreitet. Den Kopf vor dieser Herausforderung in den Sand zu stecken ist – wie bei allen Sicherheitsthemen – keine gute Idee. Vielmehr gilt es, die Sensibilisierung von Mitarbeitenden schnellstmöglich anzupassen, aktuelle Gefahren immer wieder zu thematisieren und geeignete Massnahmen – auch solche, die über die reine Awareness hinausgehen – zeitnah umzusetzen. Dazu gehört unter anderem die Implementierung spezifischer organisatorischer Massnahmen, ausgelegt auf die Risiken durch potenzielle Angriffe mittels KI-Technologie, für Teams oder Funktionsträger und -trägerinnen (bspw. CEO, CFO etc.), die besonders von diesen neuen Gefahren betroffen sind.

10 Awareness-Handlungsempfehlungen für Unternehmen

1. Phishing-Simulationen regelmässig durchführen ­(lassen)
Wichtig dabei ist, dass verschiedene Arten von Phishing-Simulationen durchgeführt werden, also nicht nur per E-Mail, sondern auch per Telefon, Chats und Videocalls.

2. Deepfakes zum Thema machen
Mitarbeitende müssen wissen, was Deepfakes sind und wofür sie eingesetzt werden. In den Medien thematisierte Deepfake-Angriffe eignen sich gut, um auf internen Kommunikationskanälen auf diese Gefahr aufmerksam zu machen. Die Durchführung von Deepfake-Angriffssimulationen bringt dann an den Tag, ob Mitarbeitende richtig reagieren.


3. Authentifizierungsfaktor und weitere Authentifizierung vereinbaren
Stimmen und Gesichter können immer besser digital gefälscht werden (Deepfake und Deepvoice). Die Vereinbarung eines Codewortes für Fälle, in denen es zum Beispiel um die Aufforderung zur Zahlung hoher Beträge oder die Weitergabe vertraulicher Daten geht, ist eine kleine, aber wirkungsvolle Sicherheitsmassnahme. Der Anrufende kann sich so als echter CEO oder CFO ausweisen. Die anschliessende Bestätigung (zweite Authentifizierung) des telefonisch platzierten Auftrags über einen gemeinsam definierten, sicheren Kanal (Mail, Whatsapp etc.) erhöht die Sicherheit zusätzlich. Das Bestimmen eines Codewortes empfiehlt sich auch für andere Mitarbeitende, die bezüglich Informationsweitergabe oder als Auftragsempfänger für Betrüger interessant sein könnten. Und selbstverständlich ist ein Codewort auch im familiären Umfeld eine gute Sache, zum Beispiel dann, wenn vermeintliche Polizisten anrufen oder mit der Stimme der eigenen Tochter ein Notfall vorgetäuscht wird.

4. Anspruchsgerecht sensibilisieren
Je mehr sich Mitarbeitende von Sicherheitsthemen direkt angesprochen fühlen, desto grösser ist die Wahrscheinlichkeit, dass Awareness-Übungen nicht einfach erduldet, sondern wirklich als Mehrwert betrachtet werden. Inhalte und Kommunikation sollten deshalb individuell auf Funktionen und Kenntnisse angepasst werden. Echte Beispiele aus der gleichen Branche oder von betroffenen Organisationen in der Nähe erwecken oder verstärken das Gefühl der Betroffenheit. Und Awareness ist selbstverständlich nicht nur für Mitarbeitende, die im Office am Computer arbeiten, ein Muss.

5. Das Security-Awareness-Programm aktuell halten
Die Bedrohungslage durch Cyber- und andere Angriffe verändert sich immer schneller. Das bedeutet, dass auch Security-Awareness-Programme auf dem neusten Stand sein müssen. Neue Herausforderungen und Angriffsmöglichkeiten sollten in den Awareness-Schulungen genauso abgebildet werden wie mögliche Lösungsansätze.

6. Praxis, Praxis, Praxis
Für die Mitarbeitersensibilisierung werden idealerweise Beispiele aus der Praxis verwendet, die mit Know-how und Tipps und Tricks ergänzt werden. Realistische Szenarien, die zeigen, wie KI-getriebene Angriffe aussehen können, schärfen das Bewusstsein. Awareness soll so interaktiv und spannend wie möglich gestaltet sein und zu richtigem und selbstbewusstem Handeln anleiten. Selbstbewusstsein braucht es nämlich, um verdächtige Videocalls oder Anrufe abzubrechen, erst recht, wenn der Anrufer sich als CEO ausgibt.

7. Sicherheitskultur ist Teil der Unternehmenskultur
Awareness braucht die Unterstützung und Vorbildwirkung der Chefetage und kann nicht einfach verordnet werden. Vielmehr soll das Management – auch zum eigenen Schutz – in Awareness-Massnahmen eingebunden werden und die Wichtigkeit von Awareness immer wieder zum Thema machen. Sicherheitsvorfälle bieten wertvolle Lernmöglichkeiten und sollten keinesfalls aus Angst vor Konsequenzen verschwiegen werden. Eine positive Fehlerkultur und eine offene und unterstützende Umgebung ermutigen Mitarbeitende, Fehler zu melden und aus ihnen zu lernen, und stärken dadurch die Sicherheitskultur nachhaltig.

8. Ressourcen aufstocken
Die neuen Herausforderungen durch KI-getriebene Angriffe machen Awareness unabdingbar. Für die regelmässige Durchführung von Awareness-Massnahmen und deren kontinuierliche Anpassung sind genügend personelle, finanzielle und zeitliche Ressourcen bereitzustellen. Deren Kosten stehen in keinem Verhältnis zu den Summen, die auf Unternehmen nach erfolgreich durchgeführten Angriffen zukommen können. Awareness ist nicht irgendeine Sicherheitsbeilage, sondern ein vollwertiger Teil der Sicherheitskultur in einem Unternehmen.

9. Mitarbeitende zu Feedbacks und Mitwirkung ­motivieren
Das Feedback von Mitarbeitenden zu Awareness-Massnahmen ist Gold wert, weil sich Awareness dadurch stetig verbessern lässt. Das Teilen positiver Awareness-Erfahrungen mit Kolleginnen und Kollegen («Dank diesem Awareness-Training habe ich doch tatsächlich...») sorgt zudem für zusätzliche Motivation.

10. Sich nicht in falscher Sicherheit wiegen
Die Frage ist nicht, ob ein Unternehmen Opfer von Phishing und Ransomware wird, sondern wann. Nur weil man bisher von Angriffen verschont blieb (oder es glaubt), darf nicht bei Sicherheitsmassnahmen gespart werden, schon gar nicht bei der Awareness. Die Mitarbeitersensibilisierung für KI-getriebene Angriffe und Deepfakes hat hohe Priorität, denn der Einsatz von KI erhöht die Wahrscheinlichkeit von Angriffen enorm.

KI verändert die Bedrohungslage entscheidend und stellt Unternehmen vor grosse Herausforderungen. Mit umfassenden Awareness-Massnahmen kann diesen Herausforderungen besser begegnet werden, denn Awareness vermittelt Wissen, das Sicherheit schafft.

Der Autor

Ken Vogel ist Senior Consultant Awareness und E-Learning Product Manager bei Swiss Infosec. Mit seiner Expertise in KI und Informationssicherheit leitet er Awareness-Programme und entwickelt innovative E-­Learning-Lösungen, um Unternehmen gegen KI-getriebene Cyberkriminalität zu wappnen.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER