Der Mensch als Faktor in der IT-Sicherheit

Im digitalen Zeitalter läuft nichts ohne IT-Netzwerke und IT-Systeme, was sowohl mit Vor-, als auch mit Nachteilen verbunden ist.

Denn mit zunehmender Abhängigkeit von digitalen Infrastrukturen wächst vor allem das Risiko von Cyberangriffen – längst sind nicht mehr nur große Konzerne, sondern nahezu jedes Unternehmen und auch Privatpersonen im Visier von Cyberkriminellen und Betrügern. 

Bei einem Großteil der Fälle sind nicht komplexe Sicherheitslücken oder professionelle Hacking-Techniken Ursache von IT-Sicherheitsvorfällen, sondern schlicht menschliches Fehlverhalten. Viele Unternehmen unterschätzen den Faktor Mensch in der IT-Sicherheit allerdings und gehen so ein unnötiges Risiko ein. Was also sollte man in diesem Zusammenhang berücksichtigen?  

Psychologie statt Technik: Die wachsende Gefahr durch Social Engineering 

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist menschliches Fehlverhalten der Grund für mehr als 90 % aller erfolgreichen Cyberangriffe. Betrüger und Cyberkriminelle gehen immer öfter dazu über, sich nicht mehr durch komplexe Firewalls zu hacken, sondern sogenanntes Social Engineering zu betreiben. In zunehmendem Maße steht Social Engineering im Zentrum entsprechender Angriffe. Als “Social Engineering”, zu Deutsch etwa “Soziale Manipulation”, versteht man unterschiedliche Betrugsmethoden, bei denen Menschen durch psychologische Beeinflussung dazu gebracht werden, bestimmte Handlungen durchzuführen oder vertrauliche Informationen preiszugeben. Die Betrüger manipulieren, beeinflussen oder täuschen ihre Opfer also, um an ihre Ziele zu gelangen, was große Schäden verursachen kann. 

Ein einfaches Beispiel für einen solchen Fall: Eine Assistentin überweist, beauftragt von ihrem Vorgesetzten, einen hohen Betrag auf ein Auslandskonto, was zunächst einmal nicht ungewöhnlich ist, denn ähnliche Transaktionen zwischen Unternehmen werden jeden Tag weltweit millionenfach durchgeführt. Der Haken an der Sache: Der Vorgesetzte wusste davon nichts. In Wahrheit stammte die E-Mail mit der Anweisung von Betrügern, die allerdings hinsichtlich Anrede, Wortwahl und Duktus exakt dem Stil des tatsächlichen Vorgesetzten entsprach.   

Einsatz von KI: Warum Social Engineering immer raffinierter wird 

Wer nun denkt, solch ein Fall, der eine Form des sogenannten CEO-Fraud (Geschäftsführer-Betrug) darstellt, könnte sich kaum ereignen, irrt. Denn mit dem Einsatz von Künstlicher Intelligenz (KI) haben Angreifer mittlerweile völlig neue Möglichkeiten, selbst gewissenhafte und vorsichtige Personen zu täuschen. Mithilfe von KI können nicht nur täuschend echte E-Mails geschrieben werden, sondern auch Sprachaufnahmen und Videos erzeugt werden. 

So ist es durchaus auch möglich, die Stimme eines Geschäftsführers für Anrufe authentisch nachzuahmen oder mittels Deepfake-Technologie sogar reale Personen an einer Videokonferenz  teilnehmen zu lassen. Die Möglichkeiten, echt von unecht zu unterscheiden, werden zunehmend schwieriger und sind in vielen Fällen bereits jetzt nicht mehr möglich. Einige reale Beispiele für Social Engineering: 

– Voice-Cloning

Ein britisches Unternehmen hat 23 Millionen Euro verloren, nachdem ein Mitarbeiter einem Deepfake-Videoanruf des vermeintlichen Finanzchefs (KI-generierter Klon) folgte und eine Überweisung tätigte.

KI-generierte Phishing-Mails

Ein Berliner Einzelhändler zahlte über 80.000 Euro an falsche Lieferantenkonten, da die E-Mails im perfekten Corporate Design und mit persönlichen Details (KI-optimiert) wirkten. Erst sehr viel später fiel auf, dass kein einziger Mitarbeiter die Kontodaten verifiziert hatte.  

Fake-Support-Anrufe

Betrüger imitieren IT-Support mit KI-Stimmen, um Remote-Zugriff zu erlangen. Dokumentierte Fälle zeigen Schäden in Millionenhöhe durch Systemübernahmen und die anschließende Installation von Schadsoftware oder Datendiebstahl. 

Effektiven Schutz durch mehr Bewusstsein schaffen 

Die einzige Möglichkeit, das Risiko dieser oder weiterer Formen von Social Engineering effektiv zu minimieren, besteht darin, mehr Bewusstsein für Betrugsmethoden zu schaffen und klare Sicherheitsstandards im Unternehmen zu etablieren. Security-Awareness-Trainings oder andere Sicherheitsmaßnahmen und Schulungen zum Thema Informationssicherheit und IT Sicherheit (z.B. nach dem Standard der ISO 27001 Beratung) gewährleisten, dass Mitarbeiter und Entscheider mögliche Angriffsversuche frühzeitig erkennen und angemessen handeln können. Verdächtige Vorkommnisse sollten über effektive Meldewege unverzüglich an Verantwortliche weitergeleitet und entsprechend überprüft werden. 

Technische Schutzmaßnahmen sind selbstverständlich nach wie vor unverzichtbar. Solange Mitarbeiter, also der einzelne Mensch, aber kein Bewusstsein für die Bedrohungen haben, bleibt jedes noch so ausgefeilte Sicherheitssystem wirkungslos. Nur wenn sämtliche Beschäftigten auf allen Ebenen die Risiken kennen, kann ein maximal hohes Sicherheitsniveau erreicht werden.  

Fazit 

Eine effektive IT-Sicherheitsstrategie darf den Faktor Mensch nicht außer Acht lassen, im Gegenteil. Man kann davon ausgehen, dass die Anzahl der Cyberangriffe auch in Zukunft weiter zunehmen wird, was für Unternehmen bedeutet, dass sie nicht nur die technische Infrastruktur hinsichtlich der IT-Sicherheit kontinuierlich optimieren müssen, sondern vor allem auch Mitarbeiter sensibilisieren und schulen. Da sich Hacker und Cyberkriminelle immer neue Methoden und Strategien einfallen lassen, ist es ratsam, solche Schulungen oder Trainings regelmäßig durchzuführen, um stets auf dem neusten Stand zu sein.