Im Interview erklärt Cybersecurity-Experte Dr. Niklas Hellemann, warum es so wichtig ist, die Mitarbeiter für das Thema "IT-Sicherheit" zu sensibilisieren und wie sie lernen können, Cyberrisiken besser einzuschätzen.
Springerprofessional.de: Herr Dr. Hellemann, welche Rolle spielen die Beschäftigten eines Unternehmens beim Thema "Cybersicherheit"?
Dr. Niklas Hellemann: Die Sicherheit von Organisationen steht und fällt mit dem Faktor Mensch in der Verteidigung von Cyberangriffen. Forrester prognostiziert, dass 2024 an 90 Prozent aller Datenschutzverstößen der menschliche Faktor beteiligt sein wird. Technische Schutzmaßnahmen allein sind also schon lange nicht mehr ausreichend. Die Sensibilisierung der Mitarbeiter in Bezug auf Cyberbedrohungen ist eine robuste und vielschichtige Strategie, denn sensibilisierte Mitarbeiter sind in der Lage, selbstbewusst auf jegliche Art von Angriff zu reagieren – sei es auf Ransomware im System, auf klassische Business-E-Mail-Compromises oder andere Betrugsmaschen – und das im Arbeits- wie auch im privaten Umfeld.
Warum sind Social-Engineering-Angriffe nach wie vor so erfolgreich?
Letztlich ist Social Engineering und die verbundene emotionale Manipulation der Zielperson der eine gemeinsame Nenner, der viele Cyberangriffstaktiken über verschiedene Sektoren, Demografien und Unternehmensarten hinweg vereint. Bei Social-Engineering-Taktiken kommen emotionale Hebel zum Einsatz, die die Zielperson zu riskanten Verhaltensweisen verleiten. Die hohe Anpassbarkeit dieser Methode verstärkt den Erfolg: Kaum eine andere Angriffstaktik kann so gezielt auf aktuelle gesellschaftliche oder politische Entwicklungen abgestimmt werden, um die Unsicherheit und Ängste der Menschen auszunutzen. Hinzukommt, dass der Aufmarsch von Künstlicher Intelligenz (KI) dazu führt, dass Cyberkriminelle ihre Angriffe mühelos skalieren können. Diese Gemengelage führt nach wie vor zu sehr hohen Erfolgsquoten von Social Engineering, vor allem Phishing: In unserem diesjährigen Human Risk Review bestätigten 51 Prozent der Security-Beauftragten, dass ihre Organisation im vergangenen Jahr per E-Mail angegriffen wurde. Angreifer nutzen die menschliche Psychologie gezielt aus und setzen auf Emotionen wie Vertrauen, Angst oder Neugier, um Menschen zu manipulieren und dazu zu bringen, unsicher zu handeln – sei es das Öffnen eines schädlichen Links oder das Preisgeben von vertraulichen Informationen.
Wie können Unternehmen ihre Mitarbeiter am besten für Cyberbedrohungen sensibilisieren?
An erster Stelle sollte der Aufbau einer starken, holistischen Sicherheitskultur innerhalb des Unternehmens stehen. Mitarbeiter müssen sich als aktive Mitgestalter der digitalen Sicherheit verstehen und dazu motiviert werden, sicherheitsbewusst zu handeln. Eine solche Kultur schafft ein gemeinsames Verständnis für Cyberrisiken und trägt maßgeblich zur Minimierung menschlicher Fehler bei. Das funktioniert für Unternehmen am besten, indem sie einen ganzheitlichen Ansatz wählen, der sowohl das das Bewusstsein langfristig verändert als auch Menschen befähigt, sichere Routinen zu erlernen. Der Schlüssel liegt in einem nachhaltigen Lernprozess, der über die reine Wissensvermittlung hinausgeht und das Verhalten der Mitarbeiter dauerhaft prägt. Ziel ist es, dass sich sicheres Verhalten im digitalen Raum zur Intuition entwickelt. Ein essenzieller Bestandteil dieses Prozesses ist lernpsychologisch fundiertes Training. Es reicht nicht, nur theoretisches Wissen zu vermitteln – vielmehr müssen Mitarbeiter gezielt dabei unterstützt werden, ihre Verhaltensweisen im digitalen Alltag anzupassen. Dabei sollte das Ziel sein, dass Sicherheitsbewusstsein zu einer natürlichen, alltäglichen Handlung wird, anstatt nur in speziellen Situationen aktiv zu werden. Um das zu erreichen, ist die Personalisierung der Lerninhalte als auch das praktische Einstudieren von großer Bedeutung. Schulungen, die auf die spezifischen Aufgaben und Bedürfnisse der Mitarbeitenden zugeschnitten sind, stellen sicher, dass die Inhalte auch tatsächlich in der Praxis relevant und umsetzbar sind. Nur so kann gewährleistet werden, dass das Gelernte im beruflichen Alltag verankert wird.
Statt Angst als Lernmotivator zu verwenden, sollten Unternehmen auf positive Verstärkung setzen. Methoden wie Gamification und Storytelling machen das Lernen nicht nur interessanter, sondern tragen auch dazu bei, dass Sicherheitsverhalten langfristig verinnerlicht wird. Solche spielerischen und interaktiven Ansätze motivieren die Mitarbeiter und fördern gleichzeitig ein nachhaltiges Sicherheitsbewusstsein. Cybersecurity muss als ein kontinuierlicher Lernprozess verstanden werden, der über einmalige Schulungen hinausgeht. Regelmäßige und kontextbezogene Lernmöglichkeiten helfen dabei, das Wissen zu vertiefen und in realen Szenarien anzuwenden. Dadurch bleibt das Thema relevant und wird kontinuierlich im Arbeitsalltag präsent gehalten. Schließlich sollten Unternehmen nicht nur auf die Erfüllung von Compliance-Vorgaben abzielen. Vielmehr sollte eine Unternehmenskultur geschaffen werden, in der sicheres Verhalten zur Norm wird. Wenn die richtigen Verhaltensweisen verinnerlicht und im Alltag routiniert angewendet werden, kann das Risiko von Cyberangriffen nachhaltig reduziert werden.
Inwieweit vergrößert der Einsatz generativer KI durch Cyberkriminelle das Angriffsrisiko?
Unsere Befragung für den Human Risk Review hat ergeben: 79 Prozent der Sicherheitsbeauftragten halten den Einsatz generativer KI für Social-Engineering-Angriffe durch Cyberkriminelle für besorgniserregend. Technologische Entwicklungen und KI machen auch komplexere Angriffe immer einfacher und die Auswirkungen dessen lassen sich im Deepfake-Engineering bereits seit 2017 spüren. KI-generierte Deepfakes können die Realität auf überzeugende Weise verzerren. Angreifer nutzen KI-basierte Technologien, um das soziale Ökosystem der Zielpersonen zu durchleuchten und Social-Engineering-Angriffe noch weiter zu personalisieren und/oder zu skalieren. Durch Deepfakes wurden bereits politische Ansichten ins Wanken gebracht und haben für spektakuläre Betrugsfälle gesorgt. Vor allem CEO-Fraud wird eine immer beliebtere Methode, die auf diesen Technologien beruhen.
Insgesamt liegt das erhöhte Risiko durch KI in der Steigerung der Glaubhaftigkeit sowie den recht simplen Möglichkeiten der Skalierung. KI-Tools wie WormGPT und FraudGPT erlauben es, personalisierte Phishing-Mails in großem Maßstab zu erstellen. Diese Mails sind oft frei von Fehlern und können Spamfilter umgehen, was es schwieriger macht, sie zu erkennen. Andererseits gelingt es ihnen traditionell aufwendige Prozesse zu automatisieren. Hierzu zählt etwa die Suche nach Schwachstellen in IT-Systemen oder das Erstellen von Schadsoftware, die Antivirus-Programme umgeht. Selbst für technisch unerfahrene Hacker wird es ein leichtes durch den Einsatz von KI erfolgreichere Angriffe zu starten. Die rasante Entwicklung von KI ist ein zweischneidiges Schwert: Sie erleichtert zwar Cyberkriminellen den Zugriff auf immer ausgeklügeltere Angriffsmethoden, bietet aber gleichzeitig innovative Werkzeuge zur Erkennung und Abwehr solcher Attacken – daher ist es entscheidend, stets auf dem neuesten Stand der Technologie und Trends zu bleiben, um sich wirksam zu schützen.