Das Gefahrenpotenzial für Phishing und Social Engineering nimmt in den heißen Monaten zu. Das zeigt die Studie „Cybersecurity im Zeitalter von KI“ von Sopra Steria.
Im Sommer zieht es viele Beschäftigte zum Arbeiten raus aus den Büros. Dann wird vom heimischen Garten aus an wichtigen Projekten gearbeitet oder am Baggersee an Videokonferenzen teilgenommen. Vor allem größere Unternehmen bieten zudem sogenannte Workation-Modelle an. Sie geben ihren Mitarbeitenden die Möglichkeit, temporär vom Ausland aus zu arbeiten.
Wenn die Grenzen zwischen Arbeit und Freizeit verschwimmen, erfordert dies von den Unternehmen mehr und spezifischere Aufklärungsarbeit, besondere Arbeitsregelungen und technische Vorkehrungen. Cyberkriminelle nutzen gerne diese Zeit für speziell angepasste Kampagnen: Sie warten darauf, dass öffentliche WLAN-Netze genutzt werden und ohne VPN-Verbindung auf sensible Daten zugegriffen wird, um in die Netzwerke von Unternehmen und Behörden einzudringen. Zudem nutzen sie öffentliche Räume, um nützliche Informationen auf Bildschirmen von Laptops und Smartphones abzugreifen.
Ein Drittel fühlt sich nicht ausreichend informiert
Bislang besitzen nur vier von zehn Organisationen Richtlinien für Arbeit in Homeoffice und Remote Work, die den Zugriff auf Unternehmensdaten von außen regeln, zeigt die Studie. Damit steigt die Gefahr, dass sensible Daten nicht ausreichend geschützt sind, auch weil Angriffe mithilfe von Künstlicher Intelligenz (KI) immer ausgeklügelter werden. 31 Prozent der Erwerbstätigen in Deutschland bestätigen, dass Phishing-Nachrichten kaum noch als solche zu erkennen sind.
„Mithilfe von Künstlicher Intelligenz generieren die Angreifer beispielsweise Nachrichten, die den Stil von Vorgesetzten, Kollegen und Geschäftspartnern imitieren und sehr überzeugend klingen. Sie setzen auch darauf, dass Empfänger abgelenkt oder unachtsamer sind als beim Arbeiten im Büro und deshalb eher auf einen Link klicken, einen Anhang herunterladen oder Daten preisgeben“, so Stefan Beck, Senior Manager im Team Cybersecurity bei Sopra Steria.
Bislang sind 45 Prozent der Mitarbeitenden der Auffassung, dass ihr Arbeitgeber sie ausreichend über Risiken und Nutzen von KI in der Cybersecurity aufklärt und sensibilisiert. 35 Prozent wünschen sich mehr und bessere Aufklärung, zeigt die Studie.
Vorsicht bei Reisebestätigungen
„Es ist wichtig, dass Arbeitgeber die Sensibilisierungsmaßnahmen stärker auf die individuellen Bedürfnisse ausrichten. Zudem ist Aufklärung in kürzeren Abständen erforderlich, auch saisonal angepasst an die aktuell vorherrschenden Maschen der Kriminellen“, sagt Beck. Denn die Zahl der betrügerischen Nachrichten im Posteingang nimmt zu. Vier von zehn Erwerbstätigen sagen, dass sie heute deutlich mehr Phishing-Nachrichten (E-Mails, WhatsApp, SMS) erhalten als noch vor zwölf Monaten.
Aktuell zielen Cyberkriminelle zum Beispiel mit ihren Phishing-Attacken auch auf buchungswillige Urlauberinnen und Urlauber: Sie stellen gefälschte Seiten von Hotels und Reisebüros ins Netz oder verschicken dank generativer KI (GenAI) hochpersonalisierte Reisebestätigungen oder Reise-Rabattangebote.
„Die Angreifer nutzen inzwischen GenAI, wie zum Beispiel ChatGPT, um Phishing-Nachrichten deutlich besser auf ihre Zielpersonen zuzuschneiden“, bestätigt Stefan Beck. „Sie lernen automatisiert aus fehlgeschlagenen Angriffen und lassen diese Erkenntnisse sofort in die nächsten Cyberattacken einfließen. Damit erhöhen sie ihre Chance auf einen Treffer, der dann oft ausreicht, um Schaden anzurichten.“
Grundverständnis für KI-Gefahren verankern
Um Cyberangriffe erfolgreich abzuwehren, müssten auch Unternehmen KI einsetzen. So könne zum Beispiel eine KI-basierte Angriffserkennung im Security Operations Center (SOC) einen wertvollen Beitrag leisten. „Bereits in naher Zukunft werden Abwehrstrategien ohne KI-Einsatz keinen ausreichenden Schutz mehr bieten. Hier besteht dringender Handlungsbedarf“, prognostiziert Beck.
Um mit den Angreifern Schritt zu halten, sind Unternehmen gleichzeitig gefordert, Aufklärung und Sensibilisierung an die Bedrohungslage im KI-Zeitalter anzupassen. Das Bewusstsein ist vorhanden: 73 Prozent der befragten Unternehmen und Behörden weisen auf verbesserte Phishing-Attacken hin, so die Studie. Unklar ist, in welcher Form, in welcher Häufigkeit und zu welchen speziellen Anlässen.
„Aufklärung und Stichprobentests allein reichen heute ebenso wenig aus wie pauschale Maßnahmen“, sagt der Cybersecurity-Experte von Sopra Steria. „Schließlich fällt nicht jeder Mitarbeitende auf dieselben Tricks herein. Nur individuelle und saisonal angepasste Programme können das Bewusstsein für Sicherheitsrisiken nachhaltig stärken. Darüber hinaus sollten Unternehmen auch technische Möglichkeiten ausschöpfen. Lernende KI-Tools können beispielsweise Awareness-Kampagnen an neue oder unbekannte Angriffsmuster anpassen.“ (bs)
