Neue Cyberbedrohungen Social Engineering und Phishing: Wie GenAI die Bedrohungslage verändert

Anbieter zum Thema

Check Point Software Technologies GmbH

CADFEM Germany GmbH

xSuite Group GmbH

Esker Software Entwicklungs-und Vertrieb

Der Aufstieg von GenAI hat Social Engineering und Phishing auf ein neues Niveau gehoben. Was früher manuelle Arbeit erforderte, kann nun in Sekundenschnelle generiert werden. Die Folge sind perfekt personalisierte Nachrichten, geklonte Stimmen von Führungskräften und sogar realistische Video-Imitationen.

Deepfake-Vorfälle haben sich bereits von einer Online-Kuriosität zu einem echten Geschäftsrisiko entwickelt, welches weltweit zu finanziellen Verlusten und Betriebsstörungen in Unternehmen führt. Dies verändert auch Cyberangriffe per Social Engineering und Phishing. Auf alltäglichen Kollaborationsplattformen wird die Identitätsprüfung immer schwieriger. Durch das Klonen von Gesichtern und Stimmen in Echtzeit werden viele traditionelle Warnzeichen beseitigt, sodass Betrugsversuche schwerer denn je zu erkennen sind. Angesichts dieser sich zügig wandelnden Bedrohungslage benötigen Unternehmen moderne Abwehrmaßnahmen und intelligentere Sensibilisierungsprogramme, die auf die Realitäten des KI-Zeitalters zugeschnitten sind.

Check Points Services (ehemals IGS) hat kürzlich sein Schulungsportfolio erweitert, um Cybersicherheitsteams dabei zu unterstützen, KI-integrierte Umgebungen zu stärken und die dafür erforderlichen Fähigkeiten aufzubauen. Doch während sich die Technologie weiterentwickelt, nutzen Angreifer nach wie vor denselben Einstiegspunkt beim Social Engineering: den Menschen – und das aus gutem Grund: Menschliches Versagen ist und bleibt die am häufigsten ausgenutzte Schwachstelle in der Sicherheitskette.

Social Engineering und Phishing: Die neue Risikolandschaft

KI ermöglicht es Angreifern, Social Engineering in Echtzeit über mehrere Kanäle hinweg zu skalieren. Einige aktuelle Beispiele hierfür sind:

• Live-Deepfake: In Hongkong wurde ein Finanzmitarbeiter während eines gefälschten Gruppenvideoanrufs mit geklonten Identitäten von Führungskräften getäuscht, was zu einer Überweisung von etwa ca. 25 Millionen US-Dollar führte.
• Versuchter AI Scam bei Ferrari: Ferrari-Mitarbeiter konfrontierten einen verdächtigen „CEO“ in einem Teams-Anruf. Eine gut getimte Identitätsfrage beendete den Betrug und zeigte, wie effektiv Verifizierungsrituale sein können.
• Mehr als E-Mails: Berichte haben gezeigt, dass Echtzeit-Deepfake-Techniken, die bei Liebes- und Jobbetrug (sog. Romance- / Job-Scams) eingesetzt werden, nun auch in Social-Engineering-Umgebungen von Unternehmen Einzug halten. Dort erhöhen die Erfordernisse schneller Entscheidungen und schwache Vertrauenssignale das Risiko.

KI hat Phishing und Social Engineering auf eine Weise verändert, für die traditionelle Sensibilisierungsprogramme nicht ausgelegt sind. Angriffe sind heute hochgradig personalisiert: LLMs erstellen Nachrichten, die Führungskräfte, Kollegen oder Lieferanten unter Verwendung realer Kontexte imitieren. Angreifer können innerhalb von Minuten Dutzende von Varianten generieren und testen, zwischen E-Mail, Chat, Sprache und Video wechseln und durch überzeugende Live-Anrufe in Echtzeit Entscheidungsdruck erzeugen. Traditionelle Hinweise wie Tippfehler oder umständliche Formulierungen verschwinden zunehmend, da KI die Ausdrucksweise und Konsistenz verbessert. Das bedeutet, dass Mitarbeiter lernen müssen, Absichten und Identitäten zu überprüfen, anstatt sich auf klassische Warnsignale zu verlassen.

Social Engineering: Maßnahmen, die Unternehmen jetzt ergreifen können

Unternehmen können ihre Abwehrmaßnahmen stärken, indem sie einfache und einheitliche Gewohnheiten einführen, die KI-gesteuerten Betrugsversuchen entgegenwirken. Das Ziel besteht darin, die Überprüfung zu einer Selbstverständlichkeit zu machen und sicherzustellen, dass jeder Mitarbeiter weiß, wie er im Ernstfall reagieren muss. Folgende Maßnahmen können Betrugsversuche per Social Engineering und Phishing verhindern:

• Simulationen über mehrere Kanäle durchführen: Sicherheitsteams müssen E-Mails, SMS, Collaboration-Tools und Sprachkommunikation innerhalb des Unternehmens anlysieren und so Gewohnheiten wie Rückrufe an bekannte Nummern oder die Verwendung gemeinsamer Passwörter festigen und ritualisieren.
• Verifizierung: Sicherheitsteams müssen Out-of-Band-Prüfungen für Überweisungen, Bankaktualisierungen, Zurücksetzen von Anmeldedaten und dringende Anfragen durchführen.
• KI-Sensibilisierungskampagnen: Sicherheitsteams sollten Materialien von Anbietern wie Digital Detective nutzen und diese vierteljährlich mit neuen Beispielen und Anleitungen aktualisieren.
• Auf Risikogruppen fokussieren: Sicherheitsteams müssen Anfälligkeit und Meldezeiten nachverfolgen und sich bei Bedarf dann auf Übungen und Nachfassaktionen konzentrieren.

Die KI-Schulungskurse von Check Point Services stärken das Verständnis von Cyber-Fachleuten dafür, wie sie im Zeitalter der KI sicherere Systeme schaffen können. Die Smart-Awareness-Trainings (Powered by InfoSec) hingegen verbessern das Bewusstsein für Cybersicherheit („Cyber-Awareness“) auf Unternehmensebene für alle Mitarbeiter mit digitalem Zugriff. Smart Awareness entfernt sich von einmaligen, allgemeinen Lektionen und setzt stattdessen auf kontinuierliche Programme zum Aufbau von Fähigkeiten. Es fördert bei allen Lernenden eine „Prevention First“-Mentalität, indem es die Ausbildung an die sich entwickelnde Bedrohungslandschaft anpasst und Mitarbeiter befähigt, sowohl bei der Arbeit als auch auf privaten Geräten sicher zu bleiben.

KI hat das Ausmaß und die Komplexität von Angriffen per Social Engineering und Phishing erhöht und das Zeitfenster für menschliche Entscheidungen drastisch verkürzt. Eine wirksame Verteidigung basiert heute eher auf realistischen, Multichannel-Simulationen, effektiven und schnell konsumierbaren Schulungen und institutionalisierten Verifizierungsritualen als auf traditionellen Vorträgen. Check Point Services Smart Awareness liefert das für diese neuen Risiken erforderliche „Betriebssystem“ für ein solches Verhalten.