Lausanne – Die Gefahren durch Online-Angriffe werden besonders durch den Einsatz von künstlicher Intelligenz (KI) immer komplexer. Vor allem mithilfe von Large Language Models (LLM) können Cyberkriminelle ihre Erfolgsaussichten optimieren. Im Darknet lassen sich sogar ganze Tool-Kits für einen Angriff herunterladen, die keine Programmierkenntnisse erfordern. Und die Unternehmen müssen ihre Sicherheit permanent erhöhen. Ein technologisches Wettrüsten hat begonnen. Doch eine Schwachstelle lässt sich mit neuen Technologien nicht beheben: der Faktor Mensch.
Von Sanda Haas Würmli, Managerin Advisory Services bei Kudelski Security
Oftmals machen sich die Mitarbeiter eines Unternehmens unwissentlich zu Komplizen der Cyberkriminellen. Nach der Studie „2022 Cost of Insider Threats: Global Report“ von proofpoint ist die Zahl dieser sogenannten Insider-Angriffe von 2020 bis 2022 um 44 Prozent gestiegen. Durch unvorsichtiges Verhalten öffnen die eigenen Mitarbeiter Hackern Tür und Tor zu geschäftskritischen und sensiblen Daten. Neben dem finanziellen Schaden kann ein erfolgreicher Angriff auch negative Auswirkungen auf die Unternehmensreputation haben. Wie lassen sich diese Risiken reduzieren, worauf ist besonders zu achten?
IT-Risiken in der heutigen Business-Welt
Cyberattacken werden üblicherweise durch ein raffiniertes Webskript oder einen schädlichen Computercode vorbereitet, der in die IT-Infrastruktur eines Unternehmens eingeschleust wird. Online-Kriminelle verschaffen sich dadurch eine sogenannte Backdoor, mit deren Hilfe die Infiltration auch zu einem späteren Zeitpunkt erfolgen kann. Eingeleitet wird ein solcher Angriff unter anderem durch folgende Methoden:
- Phishing: Der klassische Angriff erfolgt mithilfe von Phishing. Dabei werden beispielsweise E-Mails mit einem schädlichen Link versendet. Eine Phishing-Attacke setzt auf Quantität, denn bei einer großen Menge an versendeten Mails ist es bereits ein Erfolg, wenn nur ein Bruchteil der Empfänger auf den Link klickt. Früher waren diese Angriffsversuche leicht anhand von Rechtschreibfehlern oder einem unüblichen Satzbau im E-Mail-Text zu erkennen. Doch durch den Einsatz von KI-Tools lassen sich mittlerweile seriös wirkende E-Mails ohne großen Aufwand erstellen.
- Social Engineering: Besonders heikel wird es für Unternehmen, wenn Hacker ihre Opfer vorher ausspionieren. Und das ist einfacher, als viele denken. Denn in Zeiten von Social Media geben Menschen zahlreiche Details über sich im Internet preis. Dieses Wissen lässt sich instrumentalisieren, um einen bestimmten Mitarbeiter als Schwachstelle in einem Unternehmen ausfindig zu machen und zu manipulieren. Diese gezielten Angriffe auf einzelne Personen werden auch Spear-Phishing genannt.
- Fake Identity: Eine weitere große Gefahr stellen gefälschte Identitäten dar. Dabei geben sich Online-Kriminelle als vertrauenswürdige Personen aus – beispielsweise aus dem Microsoft-Support, der unternehmenseigenen IT-Abteilung oder sogar als Vorgesetzte. Auch öffentliche WiFi-Spots können imitiert werden, um Remote-Worker zu einem Log-in in ein ungesichertes Netzwerk zu verleiten. So lässt sich der Internet-Traffic mithilfe eines „Man in the middle“-Angriffs ausspionieren, bei dem sich der Hacker in den Datenverkehr einschleicht und ihn kontrolliert.
- Schädliche USB-Sticks: Die Gefahr, die von ungesicherten USB-Zugängen ausgehen kann, wird oftmals unterschätzt. In einigen Unternehmen sind sie daher für die Mitarbeiter gesperrt. Ansonsten können Cyberkriminelle bestimmte Geräte über einen USB-Stick mit Malware infizieren – etwa einen Laptop, der auf einer Dienstreise für kurze Zeit unbeaufsichtigt ist. Mithilfe dieser Software lässt sich das kompromittierte Gerät später als Sprungbrett nutzen, um die IT-Infrastruktur des Unternehmens zu infiltrieren.
Höhere Resilienz gegen Cyberangriffe durch Schulungen
Je besser die eigenen Mitarbeiter die bestehenden IT-Risiken kennen, desto mehr achten sie auf Sicherheitsaspekte. Und das erhöht die Widerstandsfähigkeit des Unternehmens gegenüber Online-Attacken. Wichtig sind daher Security-Schulungen, in denen die Mitarbeiter korrekte Verhaltensweisen lernen und über aktuelle Bedrohungen informiert werden. Auch praktische Übungen sind sinnvoll. Dazu gehören sowohl Phishing-Simulationen aber auch Übungen, bei denen ein Angriffsszenario durchgespielt wird. Sie spielen also den Ernstfall in einem sicheren Szenario durch und trainieren dabei die richtigen Reaktionen und Vorgehensweisen.
Es gibt unterschiedliche Arten von Schulungen – web-basierte Trainingseinheiten oder Classroom-Trainings (remote oder onsite). Mit tool-basierten Schulungen und Phishing-Simulationen kann man viele Mitarbeiter auf einmal in regelmäßigen Abständen erreichen. Viele Firmen wünschen sich jedoch auch Classroom-Trainings mit speziell auf die Firma zugeschnittenem Trainingsinhalt und persönlichem Kontakt. Diese Classroom-Trainings können online oder auch vor Ort stattfinden. Die Bandbreite an Themen ist groß und lässt sich individuell zuschneiden. Dabei spielt auch der unterschiedliche Wissensstand der Mitarbeiter eine Rolle. Security-Dienstleister beraten, welche Art von Schulung und welche Schwerpunkte sich anbieten.
Wie häufig die Trainingsmaßnahmen stattfinden, hängt vom Unternehmen und der Branche ab. Einige Firmen setzen auf eine Fortbildung pro Jahr, andere bevorzugen regelmäßige Sessions. Wichtig ist allerdings, dass die Mitarbeiter nicht zu stark belastet werden, oder dass die Arbeit nicht darunter leidet. Unter Umständen empfiehlt sich eine Phishing-Simulation im Vorfeld, um zu testen, wie es um den aktuellen Wissensstand der Mitarbeiter bestellt ist und wie viele von ihnen auf einen schädlichen Link klicken würden.
Fazit
Kein Unternehmen darf die Gefahren von Cyberattacken in Verbindung mit KI-Technologien unterschätzen. Das Ziel dieser Angriffe sind häufig die eigenen Mitarbeiter. Daher ist es wichtiger denn je, dass diese sich verantwortungsbewusst verhalten. Je besser das eigene Personal über aktuelle Bedrohungen informiert ist und weiß, wer und wie Opfer eines solchen Angriffs werden kann, desto geringer ist das Risiko eines Sicherheitsvorfalls. Schulungen sollten daher Bestandteil jedes Security-Konzepts sein.