Awareness für IT-Bedrohungen bei Mitarbeitern schärfen

Das Risiko für Unternehmen, Opfer von Cyberattacken zu werden, ist ungebrochen sehr hoch; dabei erfolgen Angriffe häufig über die Mitarbeiter, deren Awareness für mögliche IT-Bedrohungen nicht ausreichend geschult ist. Täglich werden zigtausende Angriffe mit verschiedensten Mitteln auf IT-Systeme in Unternehmen und Behörden durchgeführt. Deren Erfolg oder Verhinderung hängt zum einen maßgeblich von der technischen Sicherheit ab (Virenscanner, Firewalls), zum anderen aber auch mindestens ebenso sehr von der organisatorischen. Hier sind es vor allem die Menschen, die in ihrem täglichen Umgang mit IT-Anwendungen lernen müssen, sich immer wieder auf neue Bedrohungen einzustellen. Laut dem Bericht des BSI von 2021 gab es im Jahr 2020 insgesamt 117 Millionen Schadprogramme. Die Anzahl der gemeldeten IT-Sicherheitsvorfälle stieg im Vergleich zum Vorjahr um 13 Prozent auf 117.000 Fälle. Für 2022 dürften die Zahlen noch höher liegen.

Nach wie vor sind es gerade der Mittelstand und Kommunen, die ungenügend gerüstet sind, den vielfältigen Bedrohungen aus dem Netz zu widerstehen. Große und international agierende Unternehmen verfügen über vergleichsweise gute technische und organisatorische Verfahren zur Cyberabwehr. Doch auch hier gibt es die Herausforderung, dass alle Mitarbeiter im Alltag immer aufmerksam sein müssen. Dass wird mit wachsender Mitarbeiterzahl natürlich auch immer komplexer. Da die technische IT-Abwehr meist zumindest auf einem Grundniveau vorhanden ist, die bereits viele Angriffe erfolgreich vereiteln kann, sind es überwiegend die Mitarbeiter, die im Fokus von Cyberattacken stehen. Phishing-E-Mails sind mit einer der häufigsten Methoden, mit der sich Kriminelle Zugang zu Systemen verschaffen, weil Mitarbeiter Anhänge oder Links öffnen, die Malware wie Trojaner und ähnliches enthalten.

Und diese Bedrohung ist nun noch einmal potenziell verschärft worden, seit es KI-Sprachmodelle wie ChatGPT gibt, und das aus mehreren Gründen. Solche selbstlernenden KI-Sprachsysteme sind in der Lage, grammatikalisch und sprachlich korrekt mit dem Menschen in Dialog zu treten. Das Schreiben von Phishing-E-Mails, die häufig auf eine Person zugeschnitten sind, können heute solche KI-Systeme bereits ohne Probleme übernehmen. Da mittlerweile auch bei den Cyberkriminellen eine Arbeitsteilung der Tätigkeiten vorliegt (Programmierung, Datensuche zu Personen, Verfassen der Texte) können KI-Sprachsysteme enorme Ressourcen einsparen, da sie selbstständig Texte mit Parametern und Angaben, etwa aus Social Media, generieren können. Und sie können es in vielen Sprachen. Theoretisch ließe sich einer solchen KI beibringen, aus der Reaktion der Opfer zu lernen, welche „ihrer“ Texte beim Empfänger erfolgreich waren und welche nicht, um sie dahingehend für ähnliche Adressaten zu optimieren. Und es endet nicht beim Text, auch gesprochene Sprache kann inzwischen von KI-Programmen anhand nur weniger Sekunden Aufnahmen der Originalstimme perfekt imitiert werden. Das bedeutet, der Mitarbeiter, der den Anruf des CEO erhält, der eine eilige Überweisung anfordert, kann diesen nicht mehr ohne weiteres als Fake entlarven.

Um angesichts dieser Möglichkeiten die IT-Sicherheit in den Unternehmen und Behörden aufrechtzuerhalten und zu verbessern, müssen Beschäftigte nicht nur mit den neuen Bedrohungen vertraut gemacht werden, es müssen unter Umständen auch organisatorische Maßnahmen getroffen werden, falls diese sowieso nicht schon etabliert sind. Etwa eine 2-Faktor-Authentifizierung, wenn es um sensible Daten oder Geldanweisungen geht. Es müssen BCM-Prozesse eingeführt sein, um im Worst-Case nicht handlungsunfähig dazustehen. Je besser aber die Mitarbeiter geschult sind, desto höher die Wahrscheinlichkeit, dass sie in der Lage sind, auch sehr spezifische Angriffe als solche zu erkennen und entsprechend zu handeln.

Ein nachhaltiges Mitarbeitertraining in Sachen Awareness gegenüber Cyber Security ist in vielen Unternehmen immer noch nicht an der Tagesordnung. Häufig werden Aufwand und Kosten gescheut und die Frage nach einem belegbaren Nutzen gestellt. Einmal-Schulungen mit Inhalten, durch die sich Mitarbeiter einfach „durchklicken“, sind in der Regel schnell wieder vergessen. Wichtig bei einer effektiven und nachhaltigen Security-Awareness-Schulung ist daher eine praxisbezogene Anwendung von Lerninhalten, die auch aktuelle Bedrohungen miteinschließt. Die Schwierigkeitsgrade bei der Erkennung von Phishing-Mails lassen sich jederzeit anpassen, um Fortschritte bei den Mitarbeitern zu dokumentieren und dort anzusetzen, wo Nachholbedarf oder zusätzlicher Schulungsbedarf besteht.

Die Anzahl von Cyberattacken gegen Unternehmen ist in den vergangenen Jahren immer weiter gestiegen. Mehr als eine Million der rund 3,5 Millionen kleinen und mittelständischen Unternehmen (KMU) in Deutschland hat in den letzten Jahren bereits Cyberangriffe gegen das eigene Unternehmen erfahren müssen. Vor allem unter den Mittelständlern mit 50 bis 250 Mitarbeitern berichtet mehr als jedes zweite Unternehmen (57%), schon mindestens einmal von einer Cyberattacke betroffen gewesen zu sein. Quelle: HDI Cyber-Studie 2022

David Kelm, Geschäftsführer des Cybersecurity-Unternehmens Hornetsecurity