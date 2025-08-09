Ein Kommentar von Richard Werner, Security Advisor bei Trend Micro
Wir müssen aufhören, die Schuld abzuschieben. Auch wenn es unpopulär ist: der Schutz des Unternehmens bleibt Aufgabe der IT-Sicherheitsabteilung. Andere Mitarbeitende können lediglich eine unterstützende Funktion einnehmen, indem sie gefährliche Mails rechtzeitig erkennen. Das ist nicht selbstverständlich und wird in Zukunft immer seltener passieren – trotz Schulung, wie eine aktuelle Studie zeigt [1]. IT-Sicherheit muss auch funktionieren, wenn der Mensch einen Unfall baut, genau wie bei einem Auto. Denn wenn es knallt und der Mensch nicht mehr in der Lage ist, einzugreifen, übernehmen Automatismen wie Sicherheitsgurte oder Airbags die wichtige Aufgabe, die Auswirkung des Schadenfalles zu mindern, genau wie bei einem Auto.
Was bedeutet das im Angesicht von KI?
KIs, vor allem LLMs (Large Language Models), sind auf Maschine-Mensch-Kommunikation optimiert. Sie können dabei nicht nur Worte sinnvoll aneinanderreihen, sondern auch Schreib- beziehungsweise Sprechstile imitieren. Mittels sogenanntem »Prompt Engineering«, der Programmierung durch die Eingabe von Befehlen, kann praktisch jeder Nutzer der Maschine mitteilen, wie sie agieren soll. Für Opfer wird es dadurch immer schwieriger, den Unterschied zwischen einer normalen und betrügerischen Kommunikation zu erkennen, zudem verringert die KI die Aufwände und erhöht die Produktivität.
Im Bereich von Betrug gibt es die höchsten Aufwände im Bereich gezielter Angriffe. Ein Täter beschäftigt sich dabei mit seinem Opfer und versucht, aus verfügbaren Informationen einen unwiderstehlichen Angriff zu erschaffen. Bei so genanntem »Spear Phishing« reden wir nicht über Unfälle, denn sie entstehen nicht zufällig. Es sind im weiteren Sinne Attentate, und ihre Erfolgsquote, so eine weitere Studie, liegt auch bei rein menschlichen Experten bei über 50 Prozent. Diese Art Angriff kommt in der Realität bisher eher selten vor. Denn der dafür nötige Arbeitsaufwand ist erheblich. Was aber, wenn KI das Ruder übernimmt? Die Auswertung der Daten sowie das Erzeugen eines Angriffsprofils läuft dann automatisiert ab. In 88 Prozent der Fälle hätte dies laut Studie zu vernünftigen Ergebnissen geführt. Die erzeugten Inhalte sind von einer normalen Kommunikation nicht mehr zu unterscheiden.
Je schneller und effektiver KI-Lösungen werden, desto häufiger werden sie auch in der Cyberkriminalität eingesetzt, und desto seltener wird der Mensch als Sicherheitsbaustein dies erkennen – unabhängig vom Trainingsgrad.
Wie kann es weitergehen?
Technik war immer schon das Gegenstück zum menschlichen Fehler und ist dazu entwickelt, ihn zu vermeiden, oder zumindest den daraus entstehenden Schaden einzudämmen. In der IT-Sicherheit sind die Bausteine Zero Trust, Cyber Risk Exposure Management (CREM) sowie Detection und Response hinreichend bekannt. Diese Bausteine verringern das Eintrittsrisiko sowie die Auswirkungen von Schadensfällen. Für diese Technologien und Strategien ist es unerheblich, woher der Angriff kommt und warum er nicht abgewendet werden konnte. Es sind, bildlich gesprochen, die Sicherheitsgurte und Airbags, die im Schadensfall das Überleben garantieren. Wenn ein Link-klickender Mitarbeiter dafür verantwortlich ist, dass ein Unternehmen vollverschlüsselt wird, dann ist nicht er das Problem, sondern die eigene Sicherheitsinfrastruktur.
Fazit: Braucht es Schulungen? Wann sind sie sinnvoll?
Schulungen sind teuer. Nicht nur die Kosten für Einführung der Prozesse, auch der Arbeitsaufwand jedes einzelnen Mitarbeiters ist zu berücksichtigen. Es ist deshalb legitim, den Mehrwert zu hinterfragen. Dieser liegt darin, die Eintrittswahrscheinlichkeit von Cyberattacken zu verringern. Schulungen waren bislang ein wichtiger Bestandteil von Security-Strategien. Aber wie ausnahmslos alles in der Security verliert auch dieser mit der Zeit an Wirkungsgrad. Das bedeutet aber nicht, dass dieser Baustein sofort sinnlos wird. Solange die IT-Sicherheit durch die schiere Anzahl an Einzelereignissen, die geprüft werden müssen, ausgelastet ist, braucht es Schulungen, um diese zu reduzieren.
Schulungen sind vor allem wichtig, wenn es um den Betrug an sich geht und darum, »Red Flags« zu erkennen, wie das Einfordern von Geld oder den Zugriff auf Unternehmensdaten. Auch müssen Mitarbeiter verstehen, warum sie Sicherheitsprozessen, zum Beispiel Multifaktor-Authentifizierung beim Zugriff auf Daten, befolgen müssen und wie Angreifer versuchen, daran vorbeizukommen. Ja, Schulungen bleiben wichtig. Aber sie sind keine Ausrede für Sicherheitsvorfälle. Das Stigma der Schuld, wenn ein Mitarbeiter es nicht erkannt hat, ist nicht zielführend, denn es wird in Zukunft öfter passieren. Unternehmen sollten vorsorgen, dass selbst im Fall der Fälle die Auswirkungen begrenzt bleiben.
[1] Die neue Studie »Pwning User Phishing Training Through Scientific Lure Crafting« wurde von Forschern der University of Chicago, der University of California San Diego (UCSD) und UCSD Health vorgestellt. Diese beleuchtet, was in der Unternehmenswelt im Bereich Cybersecurity, bereits seit längerem für Diskussionen sorgt: Sind Phishing-Schulungen für Mitarbeiter überhaupt sinnvoll?
Da der Mensch weiterhin als Einfallstor Nummer 1 für Cyberkriminelle gilt, liegt es nahe, diese Schwachstelle so gut es geht auszumerzen. Doch, wie schon Seneca sagte, »Irren ist menschlich« und auch gut geschulte Mitarbeiter klicken weiterhin auf böswillige Links in E-Mails.
Knapp zusammengefasst belegen die Ergebnisse der Studie:
-
Gesamtwirkung gering: Awareness Trainings steigerten die Sicherheit im Schnitt nur um 1,7 Prozent
-
Interaktive Inhalte etwas besser: Wer interaktive Trainings absolvierte, war danach 19 Prozent weniger klickanfällig
-
Statische Trainings wirkungslos/kontraproduktiv: Diese bieten keine messbaren Vorteile. Bei mehrfachen statischen Sessions stieg die Klickrate auf bösartige Inhalte sogar um 18,5 Prozent
-
Kein »Auffrisch Effekt«: Einmal jährliche Kurse zeigten weder kurzfristig noch nach mehr als einem Jahr bessere Klickraten
-
Gute Täuschungen bleiben wirksam: Selbst die besten, am stärksten geschulten Mitarbeitenden klickten bei sehr überzeugenden Mails in mehr als 15 Prozent der Fälle
Statt auf Prävention durch Mitarbeiter-Schulungen zu setzen, sollten Unternehmen ihre Sicherheitsstrategie nicht stärker auf den Ernstfall ausrichten?
