Sind Schulungen gegen Phishing im Zeitalter von KI noch sinnvoll?

Wir müssen aufhören, die Schuld abzuschieben. Auch wenn es unpopulär ist: Der Schutz des Unternehmens bleibt Aufgabe der IT-Sicherheitsabteilung. Andere Mitarbeitende können lediglich eine unterstützende Funktion einnehmen, indem sie gefährliche Mails rechtzeitig erkennen. Das ist nicht selbstverständlich und wird in Zukunft immer seltener passieren – trotz Schulung, wie eine aktuelle Studie zeigt. IT-Sicherheit muss auch funktionieren, wenn der Mensch einen Unfall baut, genau wie bei einem Auto. Denn wenn es knallt und der Mensch nicht mehr in der Lage ist, einzugreifen, übernehmen Automatismen wie Sicherheitsgurte oder Airbags die wichtige Aufgabe, die Auswirkung des Schadenfalles zu mindern, genau wie bei einem Auto.

Was bedeutet das im Angesicht von KI?

KIs, vor allem LLMs (Large Language Models), sind auf Maschine-Mensch-Kommunikation optimiert. Sie können dabei nicht nur Worte sinnvoll aneinanderreihen, sondern auch Schreib- bzw. Sprechstile imitieren. Mittels sogenanntem „Prompt Engineering“, der Programmierung durch die Eingabe von Befehlen, kann praktisch jeder Nutzer der Maschine mitteilen, wie sie agieren soll. Für Opfer wird es dadurch immer schwieriger, den Unterschied zwischen einer normalen und betrügerischen Kommunikation zu erkennen, zudem verringert die KI die Aufwände und erhöht die Produktivität.

Im Bereich von Betrug gibt es die höchsten Aufwände im Bereich gezielter Angriffe. Ein Täter beschäftigt sich dabei mit seinem Opfer und versucht, aus verfügbaren Informationen einen unwiderstehlichen Angriff zu erschaffen. Bei so genanntem „Spear Phishing“ reden wir nicht über Unfälle, denn sie entstehen nicht zufällig. Es sind im weiteren Sinne Attentate, und ihre Erfolgsquote, so eine weitere Studie, liegt auch bei rein menschlichen Experten bei über 50 Prozent. Diese Art Angriff kommt in der Realität bisher eher selten vor. Denn der dafür nötige Arbeitsaufwand ist erheblich. Was aber, wenn KI das Ruder übernimmt? Die Auswertung der Daten sowie das Erzeugen eines Angriffsprofils läuft dann automatisiert ab. In 88 Prozent der Fälle hätte dies laut Studie zu vernünftigen Ergebnissen geführt. Die erzeugten Inhalte sind von einer normalen Kommunikation nicht mehr zu unterscheiden.

Je schneller und effektiver KI-Lösungen werden, desto häufiger werden sie auch in der Cyberkriminalität eingesetzt, und desto seltener wird der Mensch als Sicherheitsbaustein dies erkennen – unabhängig vom Trainingsgrad.

Wie kann es weitergehen?

Technik war immer schon das Gegenstück zum menschlichen Fehler und ist dazu entwickelt, ihn zu vermeiden oder zumindest den daraus entstehenden Schaden einzudämmen. In der IT-Sicherheit sind die Bausteine Zero Trust, Cyber Risk Exposure Management (CREM) sowie Detection und Response hinreichend bekannt. Diese Bausteine verringern das Eintrittsrisiko sowie die Auswirkungen von Schadensfällen. Für diese Technologien und Strategien ist es unerheblich, woher der Angriff kommt und warum er nicht abgewendet werden konnte. Es sind, bildlich gesprochen, die Sicherheitsgurte und Airbags, die im Schadensfall das Überleben garantieren. Wenn ein Link-klickender Mitarbeiter dafür verantwortlich ist, dass ein Unternehmen vollverschlüsselt wird, dann ist nicht er das Problem, sondern die eigene Sicherheitsinfrastruktur.

Fazit: Braucht es Schulungen? Wann sind sie sinnvoll?

Schulungen sind teuer. Nicht nur die Kosten für die Einführung der Prozesse, sondern auch der Arbeitsaufwand jedes einzelnen Mitarbeiters ist zu berücksichtigen. Es ist deshalb legitim, den Mehrwert zu hinterfragen. Dieser liegt darin, die Eintrittswahrscheinlichkeit von Cyberattacken zu verringern. Schulungen waren bislang ein wichtiger Bestandteil von Security-Strategien. Aber wie ausnahmslos alles in der Security verliert auch dieser mit der Zeit an Wirkungsgrad. Das bedeutet aber nicht, dass dieser Baustein sofort sinnlos wird. Solange die IT-Sicherheit durch die schiere Anzahl an Einzelereignissen, die geprüft werden müssen, ausgelastet ist, braucht es Schulungen, um diese zu reduzieren.

Schulungen gegen Phishing sind vor allem wichtig, wenn es um den Betrug an sich geht und darum, „Red Flags“ zu erkennen, wie das Einfordern von Geld oder den Zugriff auf Unternehmensdaten. Auch müssen Mitarbeiter verstehen, warum sie Sicherheitsprozessen, z.B. Multifaktor-Authentifizierung beim Zugriff auf Daten, befolgen müssen und wie Angreifer versuchen, daran vorbeizukommen. Ja, Schulungen bleiben wichtig. Aber sie sind keine Ausrede für Sicherheitsvorfälle. Das Stigma der Schuld, wenn ein Mitarbeiter es nicht erkannt hat, ist nicht zielführend, denn es wird in Zukunft öfter passieren. Unternehmen sollten vorsorgen, dass selbst im Fall der Fälle die Auswirkungen begrenzt bleiben.

Quelle: Trend Micro