Cyber-Risiken und der Faktor Mensch

Die Bedrohung aus dem Netz wächst stetig. Die Angriffe werden KI-gestützt intelligenter. Dabei zielen die Angriffe häufig nicht nur auf die Unternehmens-IT, sondern auch einzelne Mitarbeiter ab. Diese gelten als größtes Einfallstor für unbefugte Zugriffe von außen. Das Fraunhofer-Institut für Sicherheit und Informationstechnologie (SIT) und die Hochschule Mittweida habe sich dem Thema Cyber-Sicherheit verschrieben und erforschen hier Phänomene wie das Social Engineering. Zudem haben sie Skalen erarbeitet, anhand derer die Cyber-Sicherheit einzelner Mitarbeiter bewertet werden kann. Im Interview mit Prof. Dr. Dirk Labudde von der Fakultät für angewandte Computer‐ und Biowissenschaften an der Hochschule Mittweida haben wir mehr erfahren.

Typ:
Blogartikel
Rubrik:
Schaden & Leistung
Themen:
Cybercrime Schaden-/Leistungsmanagement KI / AI / künstliche Intelligenz
Cyber-Risiken und der Faktor Mensch

Das Fraunhofer SIT und die HS Mittweida betreiben ein Lernlabor Cyber-Sicherheit. Was genau passiert dort?

In einer Initiative des Bundes und der Fraunhofer Gesellschaft wurden an sechs Standorten Lernlabore eingerichtet. Sie bestehen immer aus einem Fraunhofer Institut und einer Hochschule. Dadurch sollen die Forschungsergebnisse der Hochschulen schneller sichtbar gemacht werden und in die Praxis überführt werden. Diese Konsortien beschäftigen sich mit aktuellen Themen aus den Bereichen Cyber-Sicherheit und Cyber-Kriminalität. 

Sie befassen sich auch intensiv mit dem Thema Social Engineering. Was genau verbirgt sich dahinter? 

Das Konsortium aus dem SIT Darmstadt und der Hochschule Mittweida beschäftigt sich vorrangig mit Themen im Bereich Internetsicherheit und digitaler Forensik. Dazu gehört auch der Komplex Social Engineering. Social Engineering ist sowohl eine Wissenschaft als auch eine Kunst. Einfach ausgedrückt, beinhaltet es die Manipulation von Menschen zum Ausführen von Handlungen. Dabei wird Vertrauen aufgebaut und es im nächsten Schritt missbraucht, um Informationen zu erhalten.  Über welchen Kanal das passiert, ist erst einmal zweitrangig. Menschen können über E-Mails, Telefonate oder im direkten Umgang manipuliert werden. 

Welche Arten von Social Engineering gibt es? 

Man unterscheidet zwischen dem traditionellen Social Engineering, auch analoges S.E. genannt, und dem digitalen S.E. Die verwendeten Techniken, Methoden und Konzepte sind jedoch identisch, man verwendet lediglich unterschiedliche Kanäle.  

Welche Rolle spielt hier die künstliche Intelligenz? 

In den letzten drei Jahren haben sich die Angriffsvektoren für das Social Engineering deutlich verändert. Der Einsatz von künstlicher Intelligenz hat dazu beigetragen. Es geht um Manipulation, also um das Täuschen. Technisch ist es möglich, künstliche Stimmen und Gesichter oder sogar Bewegungen herzustellen. Oder in ein bestehendes Video eine andere Stimme oder anderes Gesicht einzubauen. Es wird also für uns Menschen immer komplizierter, Wahrheit von Lüge zu unterscheiden. Oder anders ausgedrückt, zu sagen, das ist die Realität oder eine Fiktion. Angreifer haben somit die Möglichkeit, eine ganz neue Stufe von Manipulation zu erreichen und direkt Emotionen anzusprechen. In die Phase der Entwicklung von Vertrauen wird somit direkt eingegriffen und der Möglichkeitsraum für Manipulationen wird deutlich größer.

Bild von Dr. Dirk Labudde und beschreibung seiner Tätigkeiten

Wie kann man sich schützen? 

Auch wenn es scheinbar immer komplizierter wird, sich aktiv zu schützen, gibt es keinen Grund wie der Vogelstrauß den Kopf in den Sand zu stecken – was er eigentlich auch nicht macht, er legt nur den Kopf ab. Wir lernen, ein gesundes Mistrauen aufzubauen, die Kunst des Hinterfragens. Unsere Daten, die wir wissentlich oder auch unwissentlich im Netz hinterlassen, gilt es zu schützen. Dafür sollten wir die Frage stellen: Was ist uns schützenswert? Diese Daten brauchen einen gesonderten Schutz. Beides müssen wir lernen.  

Um Mitarbeiter beim Thema IT-Sicherheit fit zu machen, haben Sie einen risk score und ein immunity level entwickelt, dass die Mitarbeiter sensibilisieren soll. Wie funktioniert das? 

Das ist richtig, wir haben diese beiden Größen vorgeschlagen. Dabei geht es um einen ganzheitlichen Prozess, der vielleicht vergleichbar mit unseren Maßnahmen im Bereich Arbeitsschutz in Bezug auf betriebliche Ersthelfer ist. Es muss solche geschulten Ersthelfer auch im Bereich IT-Sicherheit geben. Sie bilden die zentralen Ansprechpartner im Alltag. Die beiden Scores können für die Mitarbeiter eines Unternehmens, einer Behörde oder anderen Institutionen bestimmt werden. Wir benötigen einen risk score und ein immunity level, um die Mitarbeiter zu sensibilisieren und sie auf Gefahren aufmerksam zu machen. 

Der risk score veranschaulicht das individuelle Risiko, dem jeder Mitarbeiter ausgesetzt ist. Er beinhaltet verschiedene Faktoren, wie Anwendungen die benutzt werden und die Position des Mitarbeiters. Das immunity level beschreibt, wie geschützt ein Mitarbeiter gegenüber Cyber-Angriffen ist. Die Höhe der Immunität berechnet sich aus verschiedenen Faktoren wie zum Beispiel Training oder/und Testergebnissen. Wir schlagen aber vor, dass es sich dabei nicht um „gewohnte“ schriftliche Tests handelt, sondern um wahre Cybererlebnisse und deren Bewältigung. In die Betrachtung der beiden Parameter muss auch die aktuelle Cyberlage miteinfließen. 

Wie ist das Verhältnis von technischer Sicherheit zur gefühlten Sicherheit? Können wir wirklich sicher sein? 

In vielen Artikeln und Vorträgen ist immer die Rede von technischer Sicherheit. Also ein Kanon an technischen Maßnahmen, die uns „sicher“ machen. Doch gerade der Mensch steht oft im Zentrum, er wird zurecht oft auch als Schwachstelle bezeichnet. Er muss sich also selber auch sicher machen. Wenn ich das Gefühl habe, sicher zu sein, fällt es mir schwer, eigene Maßnahmen zu ergreifen und auf viele Handlungen des Alltags bewusst zu achten.  Aus meiner Sicht gibt es drei Beschreibungen von Sicherheit: technische Sicherheit, gesetzliche Sicherheit und die gefühlte Sicherheit. Gesetzliche Sicherheit ist der gesamte juristische Rahmen bezogen auf diese Fragestellung – Gesetze, Normen, Regelungen. Diese ändern sich und sollten auch beachtet werden. Gefühlte Sicherheit ist eigentlich eine Art persönliche Reflexion der technischen und der gesetzlichen Sicherheit. Kurz, fühlen wir uns sicher? Doch Achtung – auch Gefühle können sich irren.  

Vielen Dank für das Interview.

Ihr Kommentar

Ihr Kontakt
Mit dem Absenden erkläre ich mich damit einverstanden, dass mein Kommentar mit Angabe meines Namens auf den Webseiten der Versicherungsforen Leipzig GmbH veröffentlicht werden darf. Meine E-Mailadresse wird dabei nicht veröffentlicht.