Cyberangriffe mit Künstlicher Intelligenz: So schützt Security Awareness
Seit Jahrzehnten arbeiten Sicherheitsexpert:innen darauf hin, die Menschen für Cyberangriffe zu sensibilisieren. Bringen die Angreifer künstliche Intelligenz (KI) ins Spiel, sinken die Chancen für eine erfolgreiche Verteidigung. Wie können Unternehmen die KI-Awareness ihrer Mitarbeitenden steigern?
Generative KI (GenAI) bringt eine neue Dynamik in die Cybersicherheit: Bessere Phishing-Anschreiben, überzeugende Telefonstimmen, ausgefeilte Deepfake-Videos und smarte Tools für Schwachstellen oder Botnetze setzen die Verteidiger unter Druck. Angreifer sind dank der Künstlichen Intelligenz in der Lage, ausgeklügelte Operationen auf Geheimdienst-Level und gezielte Angriffe auf Schwachstellen durchzuführen. Eine Studie der Information Systems Audit and Control Association (ISACA) aus dem Oktober 2024 bestätigt diesen Trend: 39 Prozent der fast 6.000 weltweit befragten Organisationen räumten ein, dass sie mehr Cyberangriffe und Datenschutzverletzungen erlitten haben als im Jahr zuvor.
Bessere Angriffe durch KI
Dabei steht vor allem die „menschliche Firewall“ im Kreuzfeuer der KI: GenAI kann Angreifern dabei helfen, Profile von Opfern innerhalb einer Organisation zu analysieren und Inhalte zu generieren, die menschliche Kommunikation täuschend echt imitieren. Je professioneller und überzeugender die Phishing-E-Mail oder ein „Anruf“ gestaltet sind, desto höher ist die Wahrscheinlichkeit, dass Mitarbeitende darauf hereinfallen. Auch haben individuelle E-Mails, die aktuelle oder persönliche Themen ansprechen, in der Regel eine höhere Klickrate.
KI-Awareness statt Security Fatigue
Die KI-Angriffswelle trifft Unternehmen zu einem schlechten Zeitpunkt, denn denn viele Mitarbeitende sind sicherheitsmüde und reagieren zunehmend abgestumpft auf neue Bedrohungen. Gerade deshalb rückt das Thema KI-Awareness erneut in den Fokus. Denn nur informierte und sensibilisierte Mitarbeitende können Risiken frühzeitig erkennen und angemessen auf diese reagieren.
KI und Security – Fluch und Segen
Dies gelingt jedoch nur durch Sensibilisierungsmaßnahmen, die auf KI-Bedrohungen zugeschnitten sind. P-pauschale Warnungen vor Angriffen erreichen Mitarbeitende meist nicht mehr: sie werden überhört, ignoriert oder geraten in Vergessenheit. Unternehmen sollten daher ihre Security-Awareness-Schulungen gezielt auf KI-basierte Bedrohungen ausrichten. Denn nur mit speziellem Training können Mitarbeitende KI-generierte Phishing-E-Mails, Deepfakes und andere KI-unterstützte Angriffe erkennen.
Zugleich bietet GenAI auch Chancen zur Verbesserung der Security-Awareness: So ermöglichen KI-basierte Tools personalisierte Schulungen, die auf die spezifischen Bedürfnisse und Schwachstellen der Mitarbeitenden zugeschnitten sind. Beispiele für solche Maßnahmen sind:
- Regelmäßige Phishing-Simulationen mit KI-generierten E-Mails und Deepfakes. Diese sollten täuschend echt sein, ohne die Mitarbeitenden zu überfordern.
- Social-Engineering-Tests, bei denen Mitarbeitende mit KI dazu gebracht werden, sensible Informationen preiszugeben oder auf schädliche Links zu klicken.
- Szenarien aus dem echten Leben, die sich auf den Arbeitsalltag der Mitarbeitenden beziehen, um Schulungen relevanter zu gestalten.
- Fallstudien zur Analyse echter Fälle von KI-gestützten Angriffen, um mit Mitarbeitende zu diskutieren, wie sie sich in solchen Situationen verhalten sollten.
- Regelmäßige Updates, um Mitarbeitende und das Management über neue KI-gestützte Angriffsmethoden zu informieren – auch Schulungsmaterialien sollten entsprechend aktualisiert werden.
- Best Practices von Mitarbeiter: innen, die KI-Angriffe erkannt und gemeldet haben.
Wichtig ist, dass Awareness-Maßnahmen fest in den Arbeitsalltag und die Kommunikation integriert werden. Positive Verstärkung spielt dabei eine zentrale Rolle: Belohnungen von Mitarbeitenden, die KI-Angriffe erkennen sowie melden, fördern das Engagement und halten die Aufmerksamkeit aufrecht. Auch Führungskräfte wirken als Vorbilder, indem sie Schulungen aktiv unterstützen, Sicherheitsempfehlungen ernst nehmen und offen über die Gefahren von KI-gestützten Angriffen sprechen.
Zudem muss die IT-Abteilung konsequent eingebunden werden, damit die Mitarbeitende im Zweifelsfall einen direkten Ansprechpartner haben.
Auch wenn „Kultur der Sicherheit“ hochtrabend klingt: Schaffen Sie eine Unternehmenskultur, in der Sicherheit einen hohen Stellenwert hat und Menschen ermutigt werden, verdächtige Vorfälle zu melden. Unsere Erfahrung zeigt, dass bereits herkömmliche Phishing-Mails regelmäßig Mitarbeitende zum Klicken verleiten, sie klicken also auf einen Link oder öffnen einen (potenziell verseuchten) Anhang. Mit KI spielen die generischen Angreifer eine Klasse besser.
Um das Sicherheitsbewusstsein stetig zu trainieren, kuratieren wir die interessantesten Security-Vorfälle jede Woche in unseren Security News Collections. Die Zusammenfassungen mit Links auf Quellen können nicht nur CISOs oder ISOs, sondern auch den Mitarbeitenden sowie dem Top-Management zur Verfügung gestellt werden. Ziel ist, die Achtsamkeit hinsichtlich Cyberrisiken zu erhöhen – im Büro, unterwegs und zuhause.
Zu unseren Security News Collections
