Abonnieren Sie unseren NEWSLETTER

GSM: Was waren Ihre Herausforderungen im Jahr 2024 und welche Lehren haben Sie daraus gezogen?

Martin J. Krämer: Ich glaube, der größte AHA-Moment des Jahres 2024 war der Vorfall in Hongkong. Das britische Unternehmen Arup erlitt in ihren Räumlichkeiten in Hongkong einen Deepfake-Social-Engineering-Angriff, bei dem 20 Millionen britische Pfund veruntreut wurden. Das Besondere an diesem Angriff war, dass alles mit einer Phishing-E-Mail innerhalb des Unternehmens begann, in der die Mitarbeiter zur Teilnahme an einem Online-Meeting aufgefordert wurden. Bei diesem Online-Meeting wurden finanzielle Transaktionen besprochen, die dringend durchgeführt werden mussten. Im Nachgang zu dem Meeting gab es normale To-dos und Follow-ups, und ein essenzieller Bestandteil davon war, 15 Transaktionen zu sieben verschiedenen Bankkonten durchzuführen. Insgesamt sind dabei 20 Millionen Pfund verloren gegangen. Im Online-Meeting war nur eine einzige Person tatsächlich real vor der Kamera präsent, und zwar der Mitarbeiter, der nachher die finanziellen Transaktionen durchgeführt hat. Alle anderen Personen, inklusive des CFO, waren vorab aufgenommene Deepfakes. Es war also mehr oder weniger ein vorgeführtes Theaterstück. Das ist besonders bemerkenswert, weil es das erste Ereignis dieser Art und dieser Größe ist. Das zeigt vor allem auch, dass Social-Engineering-Angriffe mit Deepfakes eine neue Qualität haben, und diese Qualität entsteht aus der Verknüpfung der verschiedenen Medien. In diesem Beispiel ist das eine Phishing-E-Mail, gefolgt von einem Fake-Online-Meeting, gefolgt von weiteren Business-E-Mail-Compromising. Dieses Ereignis hat auch direkt aufgezeigt, wie überzeugend Deepfakes inzwischen sind. Was man, glaube ich, heutzutage auf gar keinen Fall mehr tun darf, ist zu sagen: Deepfakes erkennst du an Augen, die schlecht dargestellt sind. Irgendwie am Haaransatz, der schlecht dargestellt ist oder an irgendwelchen anderen Bildfehlern.

Wir hatten im Sommer auch ein Beispiel beim Autohersteller Ferrari, wo ein Senior-Manager fast Opfer eines Deepfakes geworden wäre. Vermeintlich war der CEO am anderen Ende der Leitung, und der Manager war dann geistesgegenwärtig genug und hat gefragt, welches Buch der CEO ihm kürzlich empfohlen hatte. Der Cyber-Angreifer wusste natürlich nicht, welches Buch das war, und so ist dann dieser Anruf entlarvt worden. Solche Situationen brauchen die richtigen Prozesse, aber auch die richtige Herangehensweise und das richtige Denken. Es kommt ganz stark auf selbstreflektiertes Handeln und emotionale Intelligenz an. Das richtige Training, um dem Social-Engineering entgegenzuwirken, muss im Endeffekt diese Elemente trainieren. Also nicht nur die Red-Flags aufzählen, weil auf die können wir uns, wie gesagt, in der Zukunft nicht mehr verlassen. Wichtigere und nützlichere Fragen sind: Wie fühlt sich die Situation an? Was genau ist die spezifische Aufgabe, die von mir erwartet wird? Werde ich gerade unter Druck gesetzt? Scheint es etwas ungewöhnliches zu sein? Und genau dann kommt es auf das klassische Innehalten und Überprüfen an. Das Überprüfen kann man über verschiedene Kanäle durchführen. An der Stelle sind folgende Hilfestellungen, als Kanäle zur Verifizierung, nützlich: Aufhängen und bekannte Nummer zurückrufen, das vier Augenprinzip, ein Code oder Sicherheitswort, Fragen nach persönlichen Informationen … All diese Herangehensweisen müssen relevant werden, um Social-Engineering entgegenzubewegen. Es ist natürlich einfacher, wenn man die Person kennt, aber wenn man die Person nicht kennt, hilft das Vier-Augen-Prinzip auch. Mit diesem Prinzip hat man dann wenigstens von seiner Seite noch mal eine Art Sanity-Check gemacht. 

GSM: Was waren Ihre Hauptziele für 2024? 

Martin J. Krämer: Ziel für dieses Jahr als Unternehmen war natürlich, das Thema KI auch stark weiterzuverfolgen. Wir haben die Bedrohungslage der KI sehr, sehr genau beobachtet. Und gerade auch, was im Dark Web mit Deepfake-Werkzeugen passiert, und wie diese Tools genutzt werden, um zum Beispiel Phishing-Events zu generieren. Aber es ist natürlich auch klar, dass die KI sehr vieles an Werkzeug und an Mehrwert mitbringt, um Social-Engineering-Angriffen auch effektiver entgegenwirken zu können. Und so haben wir die KI schon seit sechs Jahren bei uns als Bestandteil der Plattform gehabt. Und zwar um personalisierte Phishing-Simulationen durchzuführen, und das bauen wir auch immer weiter aus. Als Beispiel haben wir ein optionales personalisiertes Training, basierend auf den eigenen Vorzügen und auf den Eigenschaften der Person. Jetzt haben wir auch den Smart-Security-Score, der im Endeffekt auf den Verhaltensweisen der Person basiert, und er wird kontinuierlich aktualisiert, um individuelle Trainingsbedarfe identifizieren zu können. Dies ist ein sehr wesentlicher Schritt in Bezug auf das Monitoring und das Reporting. 

Was für uns jetzt im Jahr 2025 ebenfalls ganz wichtig sein wird, ist der Risikofaktor Mensch effektiv zu managen. Dabei geht es darum, Risiken zu identifizieren, zu beobachten, zu bewerten und zu mitigieren. Wir haben jetzt eine Plattform entwickelt, die HRM+ (Human Risk Management Plus) heißt, und die genau diese vier Bedürfnisse abdeckt. Diese Plattform wird aber auch genutzt, um sich sehr stark im Bereich der E-Mail-Gateway-Security zu positionieren. Unser Fokus ist, eine ganzheitliche Plattform zu haben, die zum Ziel hat, das menschliche Risiko zu adressieren, aber auch eng mit anderen IT-Systemen verbunden ist. Wie mit dem Teamsystem, mit dem SOC (Security Operations Center), mit Systemen, die zum Beispiel Endpoint Protection machen. Anschließend muss die Plattform personalisierte Inhalte für das spezifische Risiko bereitstellen, damit sie vielen einzelnen Mitarbeitern zur Verfügung gestellt werden kann. Diese Inhalte müssen natürlich relevant sein, sowohl persönlich als auch beruflich, und sie müssen die Personen auch motivieren. Wir alle wissen, dass eine der größten Herausforderungen bei der Veränderung und Beeinflussung von Verhaltensweisen gerade die Relevanz von Inhalten ist. Unsere Plattform ist also relevant, personalisiert und adaptiv. Und die KI hilft uns dabei, Risiken zu erkennen und personalisierte Inhalte für Interventionen zu erstellen. 

GSM: Datenlecks sind ein großes Thema von 2024. Was sind Ihre Tipps für Anwender oder für Unternehmen? 

Martin J. Krämer: Jetzt in Bezug auf Datenlecks würde ich sagen: Hausaufgaben machen. Das heißt, sich um diese 3 Standards kümmern: Backups, Patching und Mitarbeitertraining. Diese drei Punkte sind nach wie vor absolut essenziell. Man muss aber dabei ganz bewusst vorgehen und ich würde immer damit starten, insofern das auch nicht bekannt ist, das Risikoprofil meiner IT-Landschaft und meines Unternehmens einmal ganz genau aufzuarbeiten. Nicht jedes Risiko, nicht jeder Eintrittspunkt ist gleich zu bewerten und muss auf gleiche Weise adressiert werden, aber im Endeffekt muss ich natürlich ganz genau schauen, wo meine wichtigsten Assets sind, wie sie geschützt sind, sind diese Daten mein intellectual property, was sind es für spezifische Unternehmensdaten. Das alles muss ich genau identifizieren, um dann die daraus ableitenden Risiken zeitlich zu adressieren. Es geht darum, Technologie zu verwenden (Backups), Prozesse sauber zu definieren (Patching) und die Menschen zu trainieren. Ich denke, dass dies der beste Schutz gegen Datenlecks im Allgemeinen ist. Glücklicherweise ist es jetzt an der Stelle nicht so, dass von heute auf morgen wir in einer neuen Welt leben würden, in der wir jetzt absolut neuartige Werkzeuge zwingender Weise brauchen würden. Für viele Unternehmen ist es ganz wichtig, sich auf die Grundlagen zu besinnen und da anzusetzen und auch weiterzumachen. 

GSM: Mehr als 50 Prozent der Bevölkerung wählen oder werden 2024 wählen. Sie haben neulich über die Wahl in den USA geschrieben. Was sind Ihrer Meinung nach derzeit die größten Herausforderungen für die Länder? 

Martin J. Krämer: Das Thema Desinformation muss man da aufhalten. Über die letzten paar Jahre, mit dem Aufkommen von generativer KI, haben wir schon eine Verstärkung von künstlicher Information oder zum Teil auch künstlerischer Desinformation auf den sozialen Medien mitverfolgen können. Heutzutage gibt es Menschen, die ihr Geld auf den sozialen Medien damit verdienen, am Morgen aufzustehen, auf ChatGPT zu gehen und einzugeben: „Ich würde gerne spannende, mystische Geschichten erzählen, zu dunklen Wäldern“. Dann erzeugt ChatGPT eine Liste von Ansatzpunkten und Ideen, im Anschluss geht die Person damit zu DALL-E, generiert die passenden Bilder dazu, setzt den Text mit einem Tool auf das Bild zu, geht zum nächsten AI, die einem dann dabei hilft, die Hintergrundmusik zu generieren, geht zurück zu ChatGPT und sagt: „jetzt brauche ich mal etwa längere Geschichten noch dazu“. Und am Ende des Tages postet man das Ganze automatisiert auf sozialen Medien. Was jetzt in dem Sinne Fantasy ist, lässt sich natürlich auf alle anderen Bereiche auch kopieren und umsetzen. Das heißt, heute sind Cyberkriminelle in der Lage, groß angelegt und skaliert, multimediale Desinformationskampagnen zu fahren. Dazu gibt es die verschiedensten Studien und vor allem auch ein nennenswertes Experiment, das CounterCloud heißt. CounterCloud ist eine Plattform, die von Journalisten mit der Unterstützung eines einzigen Softwareentwicklers entwickelt wurde. Diese Plattform abonniert RSS-Feeds von gängigen Nachrichtenportalen und führt einem Large Language Model zu, das von Prompt Engineering so programmiert wurde, dass es jegliche politische Tendenzen in eine bestimmte Richtung, zum Beispiel in Richtung rechts oder links, umsetzt. Die Plattform schreibt dann die entsprechenden Antworten und Gegenargumente zu diesen Artikeln und puscht das Ganze wieder über soziale Netzwerke aus. Diese Narrative, die manipuliert oder künstlich erzeugt werden, sind eigentlich Entwicklungen, die man seitens Unternehmen beobachten muss, weil diese Narrative negative Auswirkungen auf die Repräsentation der Unternehmen haben könnten. 

Enisa, die Cyber Security Agency der EU, hat schon seit längerer Zeit Desinformation als Cyber Security Threat auch aufgeführt. So das, was wir jetzt im Rahmen der Wahlen sehen werden, ist, dass die verstärkte Desinformation neben der eigentlichen politischen Kampagne, die nun Teil des politischen Wahlkampfes ist, auch private Unternehmen betreffen wird. Ich prognostiziere daher, dass Desinformation as a Service noch lange auftauchen wird und das vor allem auch gepaart werden kann mit anderen Cyber Security-Angriffen, wie zum Beispiel Ransomware. Ich glaube, dass wir, mit der Professionalisierung und Weiterentwicklung der Desinformation im Rahmen der politischen Wahlen, bald Ransomware-Gangs und Desinformations-Anbietern auf den Schulterschluss sehen werden. Und das ist ein probates Druckmittel am Ende des Tages für sie. Das ist, denke ich, eine der ganz großen Herausforderungen. 

GSM: Haben Sie eine Botschaft für unsere Leser?

Martin J. Krämer: Ja! Gerade im Zeitalter von Deepfakes und KI ist eine Sache ganz wichtig. Die Frage ist nicht, ob das Material, das wir uns gerade anschauen, original oder gefälscht ist. Das können wir über kurz oder lang nicht mehr unterscheiden. Es ist immer ganz wichtig, sich zu fragen, warum dieses Material oder diese Information existiert, wer sie erstellt hat, mit welcher Intention. Darauf basieren, das zu hinterfragen und sich natürlich auch andere Perspektiven nochmal einzuholen, um sich eine unabhängige Meinung zu bilden. Kritisches Denken ist eine Grundvoraussetzung im Umgang mit generativen KI.