Nichts deutete daraufhin, dass dieses Video- Telefonat einen Schaden von rund 23 Millionen Euro nach sich ziehen und viele Schlagzeilen füllen würde. Ein Hongkonger Angestellter eines multinationalen Ingenieurbüros erhielt eine E-Mail seines Finanzvorstands, der ihn zu einer Videokonferenz einlud. Dabei sollten die Details einer vertraulichen Geldtransaktion besprochen werden. Auch wenn die E-Mail zuerst Skepsis erzeugte, verschwand jedes Misstrauen, als in der Video-Konferenz der Finanzvorstand zusammen mit mehreren anderen Beschäftigten des Unternehmens zu sehen und zu hören war und die Finanztranskation persönlich beauftragt wurde. Erst als die Transaktion durchgeführt war, ergab ein Anruf in der Firmenzentrale, dass es nicht der Finanzvorstand in dem Video-Telefonat gewesen war. Vielmehr waren alle Personen, die in der Video-Konferenz zu sehen waren, sogenannte Deep Fakes. Der Angestellte in Hongkong war die einzige reale Person, alle anderen waren mit KI (Künstlicher Intelligenz) generierte Nachbildungen, die aussahen und sprachen wie die realen Vorbilder. Dazu nutzten die Betrüger wahrscheinlich über Youtube öffentlich zugängliches Filmmaterial und Sprachaufnahmen der Unternehmensführung, so die zuständige Polizei. Doch die Kriminellen missbrauchten noch etwas, menschliches Vertrauen und die Wirkung von Autoritäten wie einem Finanzvorstand.
IM WERKZEUGKASTEN DER HACKER IST NICHT NUR SCHADSOFTWARE
Wenn Cyberkriminelle die sogenannte „Schwachstelle Mensch“ ausnutzen wollen, setzen sie auf menschliche Eigenschaften wie den Wunsch, anderen eine Gefälligkeit zu erweisen, die menschliche Neugier, das Bedürfnis nach sozialer Bestätigung oder den Stress, den Zeitdruck verursachen kann. „Amateure hacken Computer. Profis hacken Menschen“, so IT-Sicherheitsexperte Thomas Bürkle von der IHK München. „Die Erfahrung zeigt, es geht nichts einfacher, als Menschen reinzulegen“. Der Digitalverband Bitkom nennt Beispiele dafür: Ein Anrufer aus der IT-Abteilung, der das Passwort für ein PC-Update braucht, oder eine verzweifelte SMS der Kollegin, die nicht auf ihren Rechner zugreifen kann – dahinter können Cyberkriminelle stecken, die Informationen für einen Angriff sammeln, warnt der Bitkom. Social Engineering, die Methode, bei der die Opfer manipuliert werden, damit sie vertrauliche Daten preisgeben, kam innerhalb eines Jahres in fast jedem zweiten deutschen Unternehmen vor. 30 Prozent berichteten von vereinzelten Versuchen, 15 Prozent sogar von häufigen, so der Bitkom.
„Durch Social Engineering versuchen Cyberkriminelle zum einen, sich Zugangsdaten zu IT-Systemen zu verschaffen. Zum anderen kann es zunächst einmal nur darum gehen, wichtige Informationen zu sammeln, etwa zu Namen der direkten Vorgesetzten oder eingesetzter Software“, erläuterte Felix Kuhlenkamp, IT-Sicherheitsexperte beim Digitalverband Bitkom.
AM ANFANG STEHT EINE PHISHING-MAIL
Social Engineering kann auf verschiedenen Wegen erfolgen. 70 Prozent der erfolgreichen Angriffe starten mit einer Phishing-Mail, die von einem Angestellten nicht als solche erkannt wird, erklärte der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV). Doch es geht auch anders: Klassische Briefe, Fax-Nachrichten oder angebliche Strafzettel hinter dem Scheibenwischer, mit einem QR-Code. Wer diesen mit dem Smartphone einscannt, kann auf eine betrügerische Online-Seite geleitet werden. „Betrug mit QR-Codes ist ein Beispiel dafür, wie Cyberkriminelle immer neue Wege finden, um Menschen zu täuschen und ihnen Schaden zuzufügen“, so Bitkom-Präsident Ralf Wintergerst.
„Cybercrime hat viele Gesichter“, sagt auch die Polizei Nordrhein-Westfalen. Sie nennt als Beispiel USB Drop, ein Täuschungsmanöver, bei dem infizierte USB-Sticks auf Firmenparkplätzen verteilt werden. Die neugierigen Finder stecken sie an den PC, der infiziert wird und den Angreifenden Zugriff auf das interne Firmennetzwerk ermöglicht.
DER MENSCH WIRD ZUM SICHERHEITSFAKTOR
Bei so vielfältigen und raffinierten Cyberbedrohungen müssen Unternehmen davon ausgehen, eines Tages erfolgreich angegriffen zu werden. Deshalb ist Cyberresilienz das Gebot der Stunde, also die Widerstandskraft bei Cybervorfällen, das möglichst schnelle „Aufstehen“ und „weiter arbeiten können“ nach einer Cyberattacke. Im Bereich der Daten helfen hierbei vollständige und aktuelle Datensicherungen und das Wiedereinspielen der Backups, bei IT-Systemen und Netzwerken ist es zum Beispiel die Ausfallsicherheit durch Redundanzen. Doch auch wir Menschen müssen resilient gegen Cybergefahren werden.
Dafür reichen aber die klassischen IT-Sicherheitsschulungen nicht aus, denn die Internetkriminellen nutzen eine Bandbreite von Werkzeugen und Verfahren, die von Psycho-Tricks bis zur Künstlichen Intelligenz reichen. Allein das Wissen, dass es Cyberattacken gibt, kann nicht vor diesen schützen. Vielmehr müssen wir Menschen von der sogenannten „Schwachstelle Mensch“ zur „menschlichen Firewall“ (Human Firewall) werden. Unternehmen müssen dazu auf eine ebenso große Bandbreite an Werkzeugen setzen, wie es die Angreifenden tun.
Trainingsmethoden auf Basis moderner Lernpsychologie spielen dabei ebenso eine wichtige Rolle wie die Unternehmenskultur, die Cybersicherheit als Fundament des wirtschaftlichen Handels sieht und das Vertuschen von Fehlern verhindert. Wenn IT-Sicherheitsschulungen mit Gaming-Ansätzen persönliche Erfolgsmomente erzeugen und in Simulationen Fehler gemacht werden können, um aus ihnen zu lernen, entwickeln Mitarbeitende die notwendige Widerstandskraft, um sich den raffinierten Angriffsversuchen zu stellen.
Um Deepfakes in Videokonferenzen besser erkennen zu können, benötigen die Mitarbeitenden Zugang zu KI-Lösungen, die die Fälschungen enttarnen und eine „Waffengleichheit“ herstellen, um die technische Überlegenheit der Betrüger zu beenden. Erst dann wird aus der menschlichen Schwachstelle die Human Firewall, ohne die Cybersicherheit und Cyberresilienz nicht zu erreichen sind.
