Hannes Hartung
Hannes Hartung ist Mitgründer und Geschäftsführer der Increase Your Skills GmbH. Das 2017 gegründete Unternehmen hat sich schnell zu einem relevanten Player im Security-Awareness-Markt entwickelt und wird 2020 als eines der 100 am schnellsten wachsenden Start-ups in Deutschland gelistet. Mit ihrer interaktiven Plattform haben sie es sich zur Aufgabe gemacht, informative und ansprechende Online-Trainings sowie Phishing-Simulationen anzubieten, um Unternehmen und Angestellte in der Prävention, Erkennung und Reaktion auf Cyberangriffe zu schulen. Im folgenden Interview skizziert Herr Hartung, wie Cyberkriminelle mithilfe künstlicher Intelligenz Spear Phishing automatisieren und wie wir uns vor Angriffen schützen können.
Herr Hartung, mittlerweile gibt es eine Vielzahl von Angriffsvektoren in der Informationssicherheit. Wie haben sich diese über die Zeit entwickelt und was ist aus Ihrer Sicht das häufigste Einfallstor für Cyberkriminelle?
Die größte Schwierigkeit für Unternehmen ergibt sich aus der Vielzahl an zu schützenden Assets. Angreifende Personen oder Organisationen können sich ein Ziel aussuchen und bereiten diese Angriffe teilweise Jahre im Voraus vor. Wir, die verteidigenden Personen oder Organisationen müssen alle Vektoren gleichzeitig im Auge behalten und schützen. Dies stellt viele Unternehmen vor eine große Herausforderung. Dabei bemerken wir, dass der Angriffsvektor Mensch nach wie vor am größten ist.
Als den größten Angriffsvektoren beschreiben Sie den Menschen. Wir alle kennen massenhaft versandte Spam E-Mails und Phishingattacken. Wie genau haben sich diese Angriffe in der letzten Zeit gewandelt?
Auch in diesem Bereich haben die Angriffsvektoren erheblich zugenommen. Digitale Angriffe im Social Engineering Segment reichen mittlerweile von einfachen Phishing E-Mails, Angriffen via SMS (Smishing), über Angriffe per Telefon (Vishing). Das größte Ziel der Cyberkriminellen dabei: Automatisierung der Angriffe in Form von Phishing as a Service (PhaaS). Während im Recruiting- und Sales-Bereich AI as a Service (AIaaS) im kommerziellen Umfeld längst angekommen ist, nutzen Angreifende mittlerweile künstliche Intelligenz, um sehr realistische Attacken automatisiert zu erstellen.
Wie genau funktioniert die künstliche Erzeugung dieser Angriffe? Wobei unterstützt die KI mittlerweile?
‚Gute‘ Angriffe bestehen aus drei Zutaten: einer gelungenen Analyse des Angriffsziels, einer perfekten Kontextanalyse und der daraus resultierenden Angriffserstellung. Die Analyse des Angriffsziels erfolgt zumeist durch sogenannte Open Source Intelligence Analysen (OSINT). Dabei werden frei zur Verfügung stehende Informationen aus diversen Quellen genutzt, um ein Angriffsprofil zu erstellen. Mittlerweile können diese durch intelligente Dienste wie z. B. „Humantic AI“ automatisiert werden. Der zweite Schritt ist die Generierung von sinnvollen Angriffsszenarien aus den gesammelten Daten.
Im letzten Schritt werden beide Analysen verbunden und ein Angriff mit einem spezifischen Kontext erstellt. Durch die Verbindung mit psychologischen Faktoren, wie beispielsweise emotionaler Druck, Zeitdruck oder Autorität, erhält man den perfekten Angriff. Der Text wird dabei automatisch durch autoregressive Sprachmodelle wie z. B. GPT-3 geschrieben. Diese Modelle nutzen Deep Learning, um Texte zu erzeugen, welche denen echter Menschen in nichts nachstehen.
Das klingt ja in der Theorie erstmal spannend, kann denn die KI mit manuellen Angriffen mithalten?
Eine Forschungsgruppe aus Singapur hat bereits im Sommer 2021 auf der Konferenz „blackhat” in den USA eine mehrjährige Forschungsarbeit zu diesem Thema vorgestellt. Wie sich herausstellte, verbesserten sich die Modelle mit der Zeit enorm und aktuelle KI-generierte E-Mails sind nahezu nicht mehr vom menschlichen Text zu unterscheiden.
Wir haben innerhalb der Firma weitere Tests gefahren – das Ergebnis war erschreckend. Die künstlich erstellten Texte erschienen so realistisch, dass diese nicht von manuell erstellten Texten zu unterscheiden waren. Durch die vorangegangene OSINT-Analyse zeichneten sich die Texte besonders durch einen persönlichen Bezug der Testpersonen aus.
Wenn Angriffe nicht mehr von echten E-Mails zu unterscheiden sind, können wir uns dann überhaupt davor schützen? Wenn ja, wie?
Das Ziel sollte immer die Reduzierung der Eintrittswahrscheinlichkeit eines erfolgreichen Angriffes sein. Komplett ausschließen wird man den Erfolg dieser Angriffe nicht. In der Informationssicherheit sprechen wir von einem Gleichgewicht zwischen Benutzer:innenfreundlichkeit und Sicherheit. Ich könnte beispielsweise auf das Medium E-Mail verzichten, dann hätte ich diesen Angriffsvektor ausgeschlossen. Allerdings wäre dies im Geschäftskontext wohl kaum umsetzbar. Daher empfiehlt es sich, eine nachhaltige Security-Awareness-Strategie zu implementieren. Bestenfalls wird in das bestehende Informationssicherheitsmanagementsystem (ISMS) direkt ein Security-Awareness-Management-System (SAMS) integriert.
Neben technischen Schutzmechanismen ist es notwendig, das Verhalten der Mitarbeitenden durch Schulungen sicherer zu gestalten. Dazu dienen regelmäßige Angriffssimulationen, Trainings durch z.B. E-Learning, aber auch Live-Workshops oder Posterkampagnen. Besonders wichtig ist es, immer wieder für mögliche Social Engineering-Angriffsszenarien zu trainieren, um ein nachhaltiges Sicherheitsniveau im Unternehmen zu integrieren. Die Schnelligkeit, mit der sich Angreifende und ihre Attacken entwickeln, ist erschreckend – aus diesem Grund müssen Unternehmen agil agieren, um sich zu jeder Zeit an die aktuellen Begebenheiten anzupassen.
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.