Cybergefahren stellen weltweit das größte Risiko für Unternehmen dar. Zu diesem Schluss kommt das Allianz Risk Barometer 2023. Die erfolgreichsten Angriffstaktiken sind nach dem Human Risk Review 2023 von SoSafe aktuell Malware, Phishing und Ransomware, während die häufigsten Angriffsziele IT-, Finance- und Security-Abteilungen sind.
In den vergangenen drei Jahren ist jede zweite Organisation Opfer eines erfolgreichen Cyberangriffs geworden, jede dritte sogar mehr als einmal – und eine Entspannung wird nicht erwartet: 82 Prozent der Organisationen gehen davon aus, dass die Lage auch 2023 weiter angespannt bleibt.
Neue Gefahren durch generative KI
Neben der prekären geopolitischen Lage stellen auch die jüngsten Entwicklungen bei künstlicher Intelligenz neue Herausforderungen für die Cybersicherheit dar. Generative-AI-Tools wie ChatGPT sind noch nicht lange öffentlich zugänglich und haben dennoch bereits jetzt die Möglichkeiten von Cyberkriminellen erweitert. Der Trend, innovative Technologien für Cyberangriffe zu missbrauchen, ist nicht zuletzt seit den ersten Deepfakes 2017 zu beobachten. Nun hat er durch generative KI und die damit verbundenen Skalierungsmöglichkeiten für Phishing-Attacken neue Fahrt aufgenommen. Zwar steht die Technologie noch am Anfang, doch Untersuchungen von SoSafe zufolge sind KI-generierte Phishing Mails schon heute so gut, dass sich jede fünfte Person durch sie täuschen lässt und diese anklickt.
Im Moment sind von Menschen erstellte Phishing-Mails noch erfolgreicher – hier klickt jede dritte Person – allerdings werden Large-Language-Modelle wie ChatGPT sich kontinuierlich verbessern und damit das Gefahrenpotenzial durch generative KI in Zukunft weiter steigern. Insgesamt gilt für generative KI, dass sie den Aufwand für personalisierte Phishing-Angriffe senkt und sich damit häufiger und intensiver einsetzen lassen.
Social Engineering Taktiken
Phishing und andere Arten von Social Engineering stellen ein häufiges Einfallstor für weitere Angriffstaktiken wie Malware und Ransomware dar. Daher ist es nicht überraschend, dass 61 Prozent der befragten Sicherheitsverantwortlichen angeben, dass ihre Organisation über E-Mails angegriffen wurde. Schadhafte E-Mails sind nicht nur ein gängiges Angriffsmittel, sondern treten in intensiveren Wellen und kürzeren Intervallen auf.
Beim Social Engineering entscheiden zwei Faktoren darüber, ob das Angriffsopfer auf die schädlichen Inhalte klickt: Wie glaubwürdig die E-Mail wirkt und wie stark sie die Opfer emotional anspricht. Sowohl positive als auch negative Gefühle können die gewollte Reaktion hervorrufen. Noch führen Taktiken wie Lob und Hilfsbereitschaft, also solche, die auf positive Gefühle abzielen, zu höheren Klickraten.
Allerdings ist ein Anstieg der Klickraten bei Taktiken wie dem Einsatz von Autorität oder Druck zu beobachten, was auf eine höhere Anfälligkeit für diese Art der Manipulation hindeutet. Das liegt möglicherweise an der gestiegenen Verunsicherung durch die weltweiten Krisen und Konflikte der letzten Jahre. In den erfolgreichsten Betreffzeilen von Phishing-Mails zeigt sich dieser Trend konkret. Die Top 5 beinhalten Szenarien wie eine Beschädigung des Autos, ein Fehler in der Gehaltsabrechnung oder verpasste Teams-Nachrichten.
Social Engineering passt sich an das Zeitgeschehen an. Da es sich um einen Angriff auf emotionaler Ebene handelt, ist es besonders hilfreich, ein Bewusstsein für Angriffe solcher Art zu kultivieren. So vermeidet man Reaktionen aus dem Bauch heraus und verbessert die Schutzmechanismen unter Mitarbeitenden.
Effektiv vorbeugen – aber wie?
Welche Hebel können Organisationen also ziehen, um sich vor den neuen Gefahren der Cyberkriminalität zu schützen? Entscheidend ist es, den Menschen als Hauptfaktor zu verstehen. Schließlich zielen Phishing und andere Social- Engineering-Taktiken speziell auf den Menschen als Sicherheitslücke ab. Ein gefestigtes Sicherheitsbewusstsein bei allen Mitgliedern einer Organisation kann daher ein Bollwerk gegen Cyberangriffe sein.
Maßnahmen wie bestehende Prozesse besser abzusichern, Identity und Access Management zu verbessern und bei hybriden Arbeitsmodellen die Sicherheit hochzufahren, sind essenziell für die Cybersicherheit. Doch selbst bei gründlicher Umsetzung dieser Maßnahmen bleiben Organisationen anfällig gegenüber Social Engineering. Um das Gefahrenpotenzial solcher Angriffe zu senken, sollten Organisationen das Sicherheitsbewusstsein der Mitarbeitenden stärken.
Grundsätzlich ist es vorteilhaft das Thema Cybersicherheit in den alltäglichen Arbeitsablauf zu integrieren. Dafür gibt es eine Vielzahl von Methoden. Um aktiv sichere Gewohnheiten zu fördern, sind Security-Awareness-Programme, die auf eine verhaltenspsychologische Methodik zurückgreifen, ideal. Organisationen setzen heute bereits erfolgreich zahlreiche verhaltenspsychologische Methoden ein.
Ein gefestigtes Sicherheitsbewusstsein kann ein Bollwerk gegen Cyberangriffe sein.
Dr. Niklas Hellemann
Nudging beispielsweise ist ein Konzept, bei dem Organisationen die Umgebung so anpassen, dass sie Mitarbeitende zu erwünschten Verhaltensweisen ermutigt. So können etwa regelmäßige EMails an die Sicherheitsthematik erinnern und sie so präsent halten. Beim sogenannten „Spaced Learning“ handelt es sich um eine Methode, bei der das Wissen mit kurzen Abständen wiederholt wird. Das hilft, die Erinnerung zu festigen.
Zudem können Organisationen das Wissen über verschiedene Kanäle vermitteln, sodass die Wiederholungen verschiedene Lerntypen abdecken. Beim Micro-Learning hingegen liegt der Gedanke zu Grunde, kurze und fokussierte Lerneinheiten anzubieten. So bleibt das pro Einheit vermittelte Wissen übersichtlich und die Lerneinheiten lassen sich leicht in den Arbeitsalltag integrieren. Kontextbasierte und personalisierte Lerninhalte ermöglichen wiederum, das relevanteste und dringendste Wissen an die Mitglieder einer Organisation zu bringen.
Synergieeffekte nutzen
Jede Organisation hat unterschiedliche Sicherheitsschwachpunkte und verschiedene Mitglieder haben individuelle Vorerfahrungen und Vorwissen zum Thema Cybersicherheit. Daher gibt es keine „One-Size-Fits-All“-Lösung. Der Situation angepasste Lerninhalte sind stattdessen angemessen. Sinnvoll ist es diese Methoden, zum Beispiel auf einer Lernplattform, zu kombinieren, um den Lernerfolg so leicht wie möglich erreichbar zu machen. Sie schließen einander keinesfalls aus, sondern ergänzen sich und multiplizieren so ihre Effekte.
Es ist nicht zu verkennen: Die Cyber-Bedrohungslage ist angespannt und dynamischen Entwicklungen ausgesetzt. Die gute Nachricht ist jedoch: Es gibt schon heute effektive und erprobte Methoden, mit denen sich Organisationen und deren Mitglieder wappnen können.