Die Mehrheit der europäischen CISOs sieht das eigene Management blind gegenüber Cyberrisiken durch Mitarbeiter.
Sicherheitsverantwortliche in europäischen Unternehmen sehen sich zunehmend mit KI-gestützten Angriffen konfrontiert, die auf ihre Mitarbeiter statt auf technische Systeme abzielen. Wie eine Befragung von 200 CISOs in Großbritannien, Frankreich, Deutschland und Schweden ergab, glaubt eine deutliche Mehrheit von ihnen, dass das eigene Management das damit verbundene Risiko nicht in vollem Umfang erkennt. Auftraggeber der Studie ist der Anbieter MetaCompliance, der Software für das sogenannte Human Cyber Risk Management vertreibt.
Angriffe zielen auf Menschen statt auf Technik
Nach Einschätzung der Befragten verschiebt sich der Schwerpunkt von Cyberangriffen spürbar: Statt Sicherheitslücken in Systemen auszunutzen, versuchen Angreifer immer häufiger, einzelne Beschäftigte direkt zu täuschen. Unter jenen CISOs, die die Widerstandsfähigkeit ihres Unternehmens gegenüber Cyberangriffen schlechter bewerten als noch vor einem Jahr, führt fast jeder Zweite dies auf zunehmend raffinierte, KI-gestützte Social-Engineering-Methoden zurück. In der Gesamtbefragung stufen 68 Prozent die eigene Belegschaft inzwischen als größte Schwachstelle der Organisation ein.
Als konkrete Sorgen nennen die Sicherheitsverantwortlichen unter anderem:
- KI macht Social-Engineering-Angriffe schneller und treffsicherer (über 40 Prozent)
- Beschäftigte geben vertrauliche Daten in öffentliche KI-Tools ein (40 Prozent)
- Interne Täter setzen KI für Betrug oder Datendiebstahl ein (41 Prozent)
Ein Ländervergleich zeigt zudem, dass Deepfakes für Identitätsbetrug in Großbritannien als besonders bedrohlich gelten: Dort hält mehr als jeder zweite CISO diese Angriffsform für ernsthaft gefährlich, der höchste Anteil unter den vier befragten Ländern.
Unterstützung durchs Management lässt nach
Neben der wachsenden Bedrohung durch KI beklagen die Studienteilnehmer vor allem den nachlassenden Rückhalt im eigenen Haus. 79 Prozent geben an, dass das Engagement der Führungsebene für Security-Awareness-Maßnahmen im Laufe der Zeit abnimmt. Erschwerend kommt hinzu, dass 76 Prozent Schwierigkeiten haben, unterschiedliche und teils gegensätzliche Erwartungen verschiedener Stakeholder an Kennzahlen zum Human Risk Management zu erfüllen. Knapp ein Viertel nennt außerdem die bereichsübergreifende Abstimmung im Unternehmen als eine der größten eigenen Schwachstellen, ein Indiz dafür, wie schwierig sich eine einheitliche Sicherheitsstrategie über Abteilungsgrenzen hinweg durchsetzen lässt.
MetaCompliance-CEO James Mackay ordnet die Zahlen so ein: „KI hat die Risiken durch menschliche Fehler erheblich vergrößert. Angreifer haben offensichtliche Betrugsversuche oder schlecht geschriebene Phishing-Mails schon lange hinter sich gelassen. Sie können heute täuschend echt die Identität von Personen nachahmen, Social-Engineering-Angriffe starten und Kommunikation im großen Maßstab fälschen.“ Diese rasante Entwicklung mache die Unterstützung der Geschäftsführung wichtiger denn je, so Mackay weiter: „Human Cyber Risk ist längst keine reine Awareness- oder Schulungsfrage mehr, sondern ein strategisches Risiko für jedes Unternehmen. Unsere Studie zeigt, dass viele CISOs nach wie vor allein dastehen, wenn sie versuchen, Veränderungen voranzutreiben. Ihnen fehlen oft verlässlicher Rückhalt von oben, klare Zuständigkeiten und ein unternehmensweites Grundverständnis der Risiken.“
Dauerhaftes Risikomanagement statt einmaliger Schulungen
Die Studienautoren plädieren dafür, Security Awareness nicht länger als einmaliges Schulungsprojekt, sondern als fortlaufende Managementaufgabe zu behandeln. Bereits jetzt zählt für knapp ein Viertel der befragten CISOs die Stärkung der Abwehr gegen KI-gestütztes Social Engineering zu den wichtigsten Prioritäten der kommenden zwölf Monate.
„Am besten werden in Zukunft die Organisationen aufgestellt sein, die Human Cyber Risk als kontinuierliche Managementaufgabe begreifen, und nicht als wiederkehrendes Schulungsevent“, sagt Mackay dazu. „Mitarbeiter brauchen immer genau dann Unterstützung, wenn sie einem Risiko ausgesetzt sind. Dafür müssen Unternehmen Einblicke in Verhaltensweisen nutzen, zielgerichtet in Echtzeit intervenieren und ihren Mitarbeiter kontextbezogene Orientierung bieten. So können sie bessere Sicherheitsentscheidungen treffen, obwohl KI-gestützte Angriffe immer schwerer zu erkennen sind.“
(red/MetaCompliance)