“Kultur der Vorsicht” schützt vor Phishing-Attacken

Sind Unternehmen für KI-gestützte Phishing-Attacken gewappnet? Nur bedingt, wie Beispiele aus der jüngeren Vergangenheit immer wieder zeigen. Regelmäßige Schulungen und eine unternehmensweite „Kultur der Vorsicht“ helfen dabei, die immer raffinierteren Bedrohungen effektiv abzuwehren.

Ist Ihr Chef, der Ihnen aus dem Computerbildschirm entgegenlächelt, tatsächlich Ihr Chef? In Zeiten der rasanten Entwicklung der Künstlichen Intelligenz (KI) ist dies nicht mehr unbedingt selbstverständlich. Denn wie der Global Threat Report von Elastic Security Labs zeigt, bedienen sich Phishing-Versuche immer neuer KI-Technologien und machen Angriffe dadurch immer bedrohlicher. So passierte es zum Beispiel einem Angestellten eines in Hongkong ansässigen internationalen Unternehmens, dass er während einer fingierten Videokonferenz voller KI-Teilnehmer zu einer dubiosen Überweisung genötigt wurde. Auf diese Weise verschwanden 24 Millionen Euro binnen weniger Sekunden in den Händen unbekannter Angreifer, nachdem eine Phishing-E-Mail ihn auf das gefährliche Teams-Meeting geleitet hatte.

Die erste Verteidigungslinie: das eigene Team

Dieser Fall aus dem Februar zeigt eindrücklich zwei wesentliche Aspekte: Erstens sind KI-gestützte Cyberangriffe längst Realität und werden zunehmend ausgefeilter. Zweitens stellen die Mitarbeitenden die erste Verteidigungslinie eines Unternehmens dar. Um das Risikoprofil eines Unternehmens zu senken, ist es entscheidend, das Bewusstsein der Belegschaft für Cybersicherheit zu schärfen.

Mitarbeiterschulungen sind für Unternehmen seit jeher eine wichtige Maßnahme, um Cyber-Angriffe frühzeitig abzuwehren. Insbesondere Phishing-E-Mails stehen traditionell im Fokus der Security-Aufklärung, denn diese zielen mit Social-Engineering-Methoden wie etwa der berüchtigten „Chef-Masche“ auf die Vertrauensseligkeit oder Unbedarftheit der Mitarbeitenden ab.

Mit dem Aufkommen der künstlichen Intelligenz sind die Phishing-Attacken jedoch deutlich überzeugender und effizienter geworden. Konnte man vor einigen Jahren Betrugsversuche noch mühelos an fehlerhafter Rechtschreibung und schlechter Grammatik erkennen, so sind Phishing-E-Mails, die mit Hilfe von Large Language Models (LLM) generiert wurden, sprachlich kaum noch von einer echten Geschäfts-E-Mail zu unterscheiden.

Mitarbeiterschulungen – im Zeitalter der KI noch sinnvoll?

KI-Tools ermöglichen es zudem, sich noch einfacher als eine andere Person auszugeben. LLMs können beispielsweise dazu verwendet werden, die Sprech- oder Schreibweise einer Person zu analysieren und nachzuahmen. Moderne KI-Werkzeuge erlauben es auch, Stimmen zu fälschen oder sogar ganze Videokonferenzen zu simulieren, wie im erwähnten Fall. Diese rasante Weiterentwicklung stellt Verantwortliche im Bereich der Cybersicherheit vor große Herausforderungen. Ist Phishing-Aufklärung für Mitarbeitende überhaupt noch sinnvoll, wenn es doch keine Merkmale mehr gibt, an denen man einen Phishing-Versuch erkennen kann? Die Antwort lautet: Ja, und mehr denn je. KI-gestützte Angriffe machen es unerlässlich, das Bewusstsein der Mitarbeitenden für Cyberrisiken langfristig und grundlegend zu schulen.

Cybersicherheits-Schulungen sind zwar eine wichtige Maßnahme, kommen in vielen Unternehmen dennoch oft zu kurz. Häufig nehmen Mitarbeitende nur einmal im Jahr an einem Kurs teil, häufig auf freiwilliger Basis. Hier lernen sie beispielsweise, externe Links oder schlechte Rechtschreibung zu erkennen. In Zeiten, in denen KI täuschend echte Phishing-E-Mails in großen Mengen erzeugt, reicht dies nicht mehr aus.

Bessere Schulungen, vorsichtigere Mitarbeiter

Anstatt sich ausschließlich auf die Erkennung offensichtlicher Phishing-Anzeichen zu konzentrieren, ist es wichtiger, eine allgemeine Kultur der Vorsicht zu fördern. Es ist entscheidend, dass jede eingehende Kommunikation hinterfragt wird: Warum sollte diese Nachricht von dieser Person stammen? Habe ich mich wirklich für dieses Webinar angemeldet? Ist dieser Vorschlag nicht zu gut, um wahr zu sein? Der Fokus sollte auf dem Inhalt der E-Mails liegen, nicht nur auf deren äußerer Form.

Eine umfassende Kultur der Vorsicht bei der Verwendung von E-Mail und sonstiger Internetkommunikation ist die beste Verteidigung für Unternehmen. Doch wie lässt sich eine solche Kultur im Unternehmensalltag umsetzen? Zunächst müssen die Schulungen des Personals systematisch verbessert werden. Regelmäßige und obligatorische Fort- und Weiterbildungen sind notwendig. Es könnte sogar sinnvoll sein, solche Maßnahmen bereits im Arbeitsvertrag zu verankern. Ein gut geschulter Mitarbeitender ist ein wachsamer Mitarbeitender – und dieses Bewusstsein muss in Unternehmen gestärkt werden.

Fazit: Dynamische Bedrohungen brauchen sensibilisierte Mitarbeiter

Zusammenfassend lässt sich feststellen, dass Cybersicherheitsschulungen eine zentrale Rolle spielen, um KI-gestützte Phishing-Angriffe abzuwehren. Alle Mitarbeitenden eines Unternehmens müssen sich der Bedrohungen durch Phishing-Angriffe bewusst sein. Benutzerberichte über Phishing in Google Cloud zeigen, dass 29,52 Prozent der Vorfälle durch aufmerksame Mitarbeitende erkannt wurden, was die Wichtigkeit von Schulungen zur Erkennung solcher Angriffe unterstreicht. So sind nicht nur Unternehmen sicher vor Cyberangriffen, Security Experten können solche Vorfälle zudem besser analysieren. Nur durch regelmäßige und verpflichtende Schulungen lässt sich eine Kultur der Vorsicht und des kritischen Hinterfragens etablieren. Wachsamkeit bei der Überprüfung von E-Mail-Inhalten – unabhängig von sprachlicher oder technischer Perfektion – reduziert das Risikoprofil eines Unternehmens erheblich. So kann verhindert werden, dass hohe Geldsummen, wie im oben erwähnten Fall 24 Millionen Euro, in die Hände von Cyberkriminellen gelangen.