Aktuelle Innovationen im Bereich KI und LLM haben die Entwicklung neuer Angriffstaktiken und Schadsoftware erheblich beschleunigt. Unternehmen und Organisationen müssen konkrete Schritte unternehmen, um den Rückstand aufzuholen. [...]
Die Bedrohungslage im Cyberraum hat in den vergangenen Jahren eine neue Qualität erreicht. Verantwortlich dafür ist vor allem die Geschwindigkeit, mit der Angreifer neue Technologien entwickeln und in ihre Methoden integrieren. Besonders Künstliche Intelligenz wirkt hier als Treiber: Sie ermöglicht täuschend echte Social-Engineering-Kampagnen, automatisierte Phishing-Angriffe in bisher unerreichter Skalierung sowie Deepfake-Kommunikation, die vertraute Stimmen und Gesichter überzeugend nachbildet. Ein neues Risiko entsteht zudem durch adaptive Malware, die sich mithilfe von generativer KI schnell und kontinuierlich anpassen und verändern kann, um Antivirensysteme zu umgehen und Verteidigungsmaßnahmen ins Leere laufen zu lassen.
Parallel dazu boomt Deepfake Social Engineering: Während beim klassischen Social Engineering Angreifer das menschliche Verhalten ihrer Opfer auszunutzen versuchen, erhält diese Taktik durch Deepfake-KI-Tools ein neues, mächtiges Werkzeug. Eine der klassischen Methoden sind Phishing-Mails, bei denen sich Absender als Geschäftsführer von Unternehmen ausgeben. Durch Deepfakes wird dieses Rollenspiel umso schwerer zu durchschauen: In Echtzeit können Stimmen und Gesichter geklont werden, sodass Mitarbeiter im Glauben sind, mit Vorgesetzten oder Kollegen zu sprechen und so unter Druck gesetzt werden sollen, um beispielsweise Zahlungen freizugeben oder vertrauliche Informationen preiszugeben. Bereits wenige Sekunden Sprachaufnahme können Angreifer genügen, um Stimmprofile zu trainieren und täuschend echte Imitationen zu erzeugen. Diese Entwicklungen führen dazu, dass klassische Indikatoren für Betrug immer weniger greifen und die Erkennung von Täuschungen erheblich erschwert wird.
Parallel dazu professionalisiert sich die Cybercrime-Ökonomie. Durch arbeitsteilige Modelle – etwa zwischen Initial Access Brokern (IAB), die gestohlene Passwörter oder andere unbefugte Zugänge zu Systemen bereitstellen, und Gruppen, die Schadsoftware entwickeln oder Erpressungsdienste anbieten – werden Cyberangriffe zu einem industriell organisierten Geschäftsfeld. Die Folge ist, dass selbst technisch weniger versierte Gruppen komplexe Angriffsszenarien umsetzen können, indem sie Bausteine auf dem kriminellen Markt einkaufen und kombinieren. So werden Schwachstellen in IT-Systemen und Cloud-Umgebungen in immer kürzeren Zyklen ausgenutzt. Zwischen der Veröffentlichung einer Lücke und den ersten automatisierten Angriffen liegen heute oft nur wenige Stunden. Für Verteidiger entsteht damit ein enormer Zeitdruck, den viele Organisationen in ihren etablierten Prozessen kaum bewältigen können.
Auch die Taktiken selbst haben sich weiterentwickelt. Phishing bleibt zwar das klassische Einfallstor, gewinnt aber durch KI-gestützte Texte oder die bereits beschriebenen Deepfakes an Präzision und Glaubwürdigkeit. Ransomware-Kampagnen kombinieren schon lange Verschlüsselung mit Datendiebstahl, um den Druck auf die Opfer zu erhöhen. Supply-Chain-Angriffe wiederum nutzen das Vertrauen in Zulieferer oder Partnerunternehmen, um sich Zugang zu den eigentlichen Zielsystemen zu verschaffen. In Multi-Cloud-Umgebungen entstehen zusätzliche Risiken durch Fehlkonfigurationen und unklare Verantwortlichkeiten. Besonders tückisch sind schließlich die sogenannten „Living off the Land“-Techniken, bei denen Angreifer legitime Systemwerkzeuge einsetzen und sich so nahezu unsichtbar im Netzwerk bewegen können. All diese Entwicklungen zusammengenommen zeigen, dass die Verteidigungsseite es mit Gegner zu tun hat, die sich technisch immer schneller in immer größeren Vorsprüngen weiterentwickelt, während sie sich organisatorisch der Effizienz von (IT-)Unternehmen annähern oder sogar bereits übertreffen.
Gegen KI-Bedrohungen hilft nur eine Haltung permanenter Anpassung
Um nicht dauerhaft in Rückstand zu geraten, reicht es für Organisationen nicht aus, die Sicherheit bestehender Prozesse und Systeme organisatorisch oder technisch zu erhöhen. Erforderlich ist vielmehr ein grundlegender Perspektivwechsel, der Resilienz, Geschwindigkeit und kontinuierliche Anpassungsfähigkeit ins Zentrum stellt. Geschwindigkeit ist dabei der entscheidende Faktor: Sicherheitslücken müssen innerhalb kürzester Zeit geschlossen, Vorfälle rasch erkannt und Gegenmaßnahmen unmittelbar eingeleitet werden. Nur so lässt sich die Spanne zwischen Angriff und Reaktion verkürzen, die derzeit jedoch fast immer zugunsten der Angreifer ausfällt.
Ebenso wichtig ist es, den Anspruch auf absolute Sicherheit zu relativieren. Angriffe werden sich nie vollständig verhindern lassen, daher sollte die Fähigkeit, Systeme schnell wiederherzustellen und den Geschäftsbetrieb trotz Störungen aufrechtzuerhalten, während betroffene Systeme und Schadsoftware so gut es geht isoliert werden, Vorrang haben. Notfallpläne, Wiederanlaufstrategien und regelmäßige Übungen sind dafür unverzichtbar. Einen zentralen Baustein stellt zudem das Zero-Trust-Prinzip dar, das sämtliche Identitäten, Zugriffe und Software konsequent überprüft, anstatt pauschal Vertrauen zu gewähren. Damit lässt sich die Ausbreitung von Angriffen erheblich erschweren, selbst wenn erste Barrieren überwunden wurden.
Neben technischen und organisatorischen Maßnahmen spielt auch der Faktor Mensch eine Schlüsselrolle. Mitarbeiter sind nach wie vor ein häufiges Einfallstor, weshalb kontinuierliche Sensibilisierung und praxisnahe Schulungen notwendig sind. Jede Anfrage, selbst wenn sie von langjährigen Kollegen zu kommen scheint, muss entsprechend geprüft werden. Und auch wenn Zugriffe tatsächlich von vertrauenswürdigen Personen kommen, ist nicht garantiert, dass diese nicht von einer dritten böswilligen Seite getäuscht werden. Gerade in einer Zeit, in der KI-gestützte Täuschungen kaum noch als solche erkennbar sind, müssen Belegschaften darauf vorbereitet werden, ungewöhnliche Anfragen oder Kommunikationswege kritisch zu hinterfragen.
Dafür braucht es ein neues Verständnis von „Security Awareness in der KI-Ära“: Mitarbeiter müssen lernen, nicht nur klassische Betrugsversuche zu erkennen, sondern auch KI-generierte Fälschungen wie Deepfakes, manipulierte Voicemails oder hyperpersonalisiertes Spear Phishing – bei denen Angreifer hochgradig individuelle Informationen nutzen, um Nachrichten täuschend echt wirken zu lassen. Hierfür reicht es nicht, einmalige Workshops anzubieten – kontinuierliches Training und praxisnahe Übungen sind entscheidend.
Ergänzend sollten Unternehmen interne Red Teams aufbauen, die gezielt auch KI-gestützte Angriffsszenarien simulieren, um Abwehr- und Erkennungsfähigkeiten realitätsnah zu testen. So können Sicherheitslücken sichtbar gemacht und Verteidigungsstrategien unter Echtbedingungen erprobt werden.
Externe Beratungen und spezialisierte Trainingsanbieter – etwa Net Group – können hier wertvolle Unterstützung leisten. Sie helfen, Best Practices in die Organisation zu übertragen und Schulungen so zu gestalten, dass sie der Dynamik moderner Angriffe standhalten.
Schließlich sollten Unternehmen nicht nur passiv auf KI-gestützte Angriffe reagieren, sondern selbst intelligente Systeme einsetzen, um verdächtige Muster in Echtzeit zu identifizieren und automatisiert Gegenmaßnahmen einzuleiten. Die Realität zeigt, dass Angreifer durch Agilität, Geschwindigkeit und technologische Innovationsfreude einen Vorsprung haben. Doch dieser Vorsprung ist nicht uneinholbar. Organisationen, die auf Resilienz, schnelle Reaktionsfähigkeit und intelligente Abwehrstrategien setzen, können die Kluft verkleinern und verhindern, dass sie dauerhaft hinterherlaufen. Der Weg dahin erfordert Investitionen, klare Prioritäten und vor allem die Bereitschaft, tradierte Sicherheitskonzepte zugunsten eines dynamischeren Ansatzes zu überdenken.
*Der Autor Matthias Voss ist CEO bei Net Group Deutschland.
Be the first to comment