Der Aufstieg von GenAI hat Social-Engineering und Phishing auf ein neues Niveau gehoben. Was früher manuelle Arbeit erforderte, kann nun in Sekundenschnelle generiert werden. Die Folge sind perfekt personalisierte Nachrichten, geklonte Stimmen von beispielsweise Führungskräften und sogar realistische Video-Imitationen. Deepfake-Vorfälle haben sich bereits von einer Online-Kuriosität zu einem echten Geschäftsrisiko entwickelt, welches weltweit zu finanziellen Verlusten und Betriebsstörungen in Unternehmen führt.
Auf alltäglichen Kollaborationsplattformen wird die Identitätsprüfung immer schwieriger. Durch das Klonen von Gesichtern und Stimmen in Echtzeit werden viele traditionelle Warnzeichen beseitigt, sodass Betrugsversuche schwerer denn je zu erkennen sind. Angesichts dieser sich zügig wandelnden Bedrohungslage benötigen Unternehmen moderne Abwehrmaßnahmen und intelligentere Sensibilisierungsprogramme, die auf die Realitäten des KI-Zeitalters zugeschnitten sind.
Check Points Services, ehemals IGS, hat kürzlich sein Schulungsportfolio erweitert, um Cybersicherheitsteams dabei zu unterstützen, KI-integrierte Umgebungen zu stärken und die dafür erforderlichen Fähigkeiten aufzubauen. Doch während sich die Technologie weiterentwickelt, nutzen Angreifer nach wie vor denselben Einstiegspunkt: den Menschen – und das aus gutem Grund: Menschliches Versagen ist und bleibt die am häufigsten ausgenutzte Schwachstelle in der Sicherheitskette.
Die neue Risikolandschaft
KI ermöglicht es Angreifern, Social-Engineering in Echtzeit über mehrere Kanäle hinweg zu skalieren. Einige aktuelle Beispiele hierfür sind:
- Live-Deepfake: In Hongkong wurde ein Finanzmitarbeiter während eines gefälschten Gruppenvideoanrufs mit geklonten Identitäten von Führungskräften getäuscht, was zu einer Überweisung von etwa ca. 25 Millionen US-Dollar führte.
- Versuchter AI-Scam bei Ferrari: Ferrari-Mitarbeiter konfrontierten einen verdächtigen „CEO“ in einem Teams-Anruf. Eine gut getimte Identitätsfrage beendete den Betrug und zeigte, wie effektiv Verifizierungsrituale sein können.
- Über E-Mails hinaus: Berichte haben gezeigt, dass Echtzeit-Deepfake-Techniken, die bei Liebes- und Jobbetrug (sog. Romance- / Job-Scams) eingesetzt werden, nun auch in Social-Engineering-Umgebungen von Unternehmen Einzug halten. Dort erhöhen die Erfordernisse schneller Entscheidungen und schwache Vertrauenssignale das Risiko.
KI hat Phishing auf eine Weise verändert, für die traditionelle Sensibilisierungsprogramme nicht ausgelegt sind. Angriffe sind heute hochgradig personalisiert: LLMs erstellen Nachrichten, die Führungskräfte, Kollegen oder Lieferanten unter Verwendung realer Kontexte imitieren. Angreifer können innerhalb von Minuten Dutzende von Varianten generieren und testen, zwischen E-Mail, Chat, Sprache und Video wechseln und durch überzeugende Live-Anrufe in Echtzeit Entscheidungsdruck erzeugen. Traditionelle Hinweise wie Tippfehler oder umständliche Formulierungen verschwinden zunehmend, da KI die Ausdrucksweise und Konsistenz verbessert. Das bedeutet, dass Mitarbeiter lernen müssen, Absichten und Identitäten zu überprüfen, anstatt sich auf klassische Warnsignale zu verlassen.
Sicherheit gewährleisten: Maßnahmen, die Sie heute ergreifen können
Unternehmen können ihre Abwehrmaßnahmen stärken, indem sie einfache und einheitliche Gewohnheiten einführen, die KI-gesteuerten Betrugsversuchen entgegenwirken. Das Ziel besteht darin, die Überprüfung zu einer Selbstverständlichkeit zu machen und sicherzustellen, dass jeder Mitarbeiter weiß, wie er im Ernstfall reagieren muss.
- Simulationen über mehrere Kanäle durchführen: Sicherheitsteams müssen E-Mails, SMS, Collaboration-Tools und Sprachkommunikation innerhalb des Unternehmens anlysieren und so Gewohnheiten wie Rückrufe an bekannte Nummern oder die Verwendung gemeinsamer Passwörter festigen und ritualisieren.
- Verifizierung: Sicherheitsteams müssen Out-of-Band-Prüfungen für Überweisungen, Bankaktualisierungen, Zurücksetzen von Anmeldedaten und dringende Anfragen durchführen.
- KI-Sensibilisierungskampagnen: Sicherheitsteams sollten Materialien von Anbietern wie Digital Detective nutzen und diese vierteljährlich mit neuen Beispielen und Anleitungen aktualisieren.
- Auf Risikogruppen fokussieren: Sicherheitsteams müssen Anfälligkeit und Meldezeiten nachverfolgen und sich bei Bedarf dann auf Übungen und Nachfassaktionen konzentrieren.
Die KI-Schulungskurse von Check Point Services stärken das Verständnis von Cyber-Fachleuten dafür, wie sie im Zeitalter der KI sicherere Systeme schaffen können. Die Smart-Awareness (Powered by InfoSec) Schulungsprogramme hingegen verbessern das Bewusstsein für Cybersicherheit („Cyber-Awareness“) auf Unternehmensebene für alle Mitarbeiter mit digitalem Zugriff. Smart Awareness entfernt sich von einmaligen, allgemeinen Lektionen und setzt stattdessen auf kontinuierliche Programme zum Aufbau von Fähigkeiten. Es fördert bei allen Lernenden eine „Prevention First“-Mentalität, indem es die Ausbildung an die sich entwickelnde Bedrohungslandschaft anpasst und Mitarbeiter befähigt, sowohl bei der Arbeit als auch auf privaten Geräten sicher zu bleiben.
Fazit
KI hat das Ausmaß und die Komplexität von Phishing-Angriffen erhöht und das Zeitfenster für menschliche Entscheidungen drastisch verkürzt. Eine wirksame Verteidigung basiert heute eher auf realistischen, Multichannel-Simulationen, effektiven und schnell konsumierbaren Schulungen und institutionalisierten Verifizierungsritualen als auf traditionellen Vorträgen. Check Point Services Smart Awareness liefert das für diese neuen Risiken erforderliche „Betriebssystem“ für ein solches Verhalten.
Von Thomas Boele, Regional Director Sales Engineering, CER / DACH bei Check Point Software Technologies
