Bitte keine KI-Tools wie ChatGPT mehr verwenden – das war eine Ansage bei Samsung im Frühjahr. Das Unternehmen verbietet seinen Angestellten vorerst den Einsatz von KI-Anwendungen, damit keine Interna in solche Systeme gelangen. Auch andere Unternehmen handeln bei KI ähnlich oder haben ähnliche Vorgaben. So auch DATEV, die aktuell die Einsatzmöglichkeiten von KI im beruflichen Alltag untersuchen.

Neben Wirtschaftsspionage haben Unternehmen aber auch eine weitere Befürchtung, wenn es um KI geht: Cyber-Angriffe, die durch künstliche Intelligenz unterstützt werden. Dazu haben wir mit Daniela Ruckwied von der DATEV eG, IT-Auditorin und externe Datenschutzbeauftragte bei Kanzleien, gesprochen.

DiFü-News: Europol warnt davor, dass Kriminelle künstliche Intelligenz für Cyber-Angriffe ausnutzen. Wie genau könnte das aussehen?

DATEV: Es gibt grundsätzlich zwei Wege, auf denen KI einen Cyberangriff unterstützen kann: Zum einen gibt es Malware, zum Beispiel Verschlüsselungstrojaner. Das ist Software, mit denen Kriminelle wichtige Daten verschlüsseln und Unternehmen damit zur Freigabe erpressen – wir beobachten das seit Jahren immer wieder in Unternehmen. Mit künstlicher Intelligenz lässt sich der Schadcode erstens schneller schreiben und zweitens lassen sich unendlich viele Variationen dieses Codes schreiben. Die Antivirenprogramme müssten dann erst einmal lernen, diese Varianten zu erkennen, und die Kriminellen wären einen Schritt voraus.

DiFü-News: Sie haben von zwei Wegen gesprochen – was ist der zweite?

DATEV: Viele Unternehmen setzen zusätzliche Schutzmechanismen ein, die Malware automatisch erkennen. Zum Beispiel, indem sie beobachten, ob im Netzwerk etwas Ungewöhnliches passiert. Wenn etwa sehr schnell sehr viele Daten verschlüsselt werden, stimmt etwas nicht, und der Mechanismus schlägt Alarm. So kann man Cyber-Angriffe schneller und besser erkennen. Künstliche Intelligenz wird zum Teil bereits als Basis für solche Software genutzt, aber umgekehrt könnten Kriminelle mit einer eigenen KI dagegenhalten. Hier stellt sich dann die Frage, wer dank Technologie schneller ist. Und die traurige Realität ist leider, dass die Bösen einfach immer schneller sind. Sie haben mehr Ressourcen, also Personal und Budget.

DiFü-News: Wie können sich Unternehmen trotzdem schützen – insbesondere in Bezug auf Cyber-Angriffe mit künstlicher Intelligenz?

DATEV: Es hilft, wenn alle im Unternehmen zumindest eine grobe Ahnung davon haben, was sicherheitstechnisch alles passieren kann. So eine Sensibilisierung geschieht aber nicht von heute auf morgen – und ist daher auch ein Dauerthema in Unternehmen. Mittlerweile gibt es in vielen Unternehmen Trainings zu diesem Thema. Phishing-Versuche sind in der Regel das größte Problem, aber auch Social Engineering. Das bedeutet, dass Kriminelle persönliche Daten oder Informationen von Angestellten nutzen, um gezielte Angriffe zu starten.

DiFü-News: Gibt es Trends bei bestimmten Angriffsmethoden?

DATEV: Die Maschen wurden in den letzten 20 Jahren verfeinert. In den 1990er- oder 2000er-Jahren versprachen E-Mails angebliche Lotto-Gewinne oder Erbschaften. Heute gibt es zum Beispiel die Chef-Masche, bei der Ihnen scheinbar Ihr Chef schreibt, dass ganz dringend Geld überwiesen werden muss – und im schlimmsten Fall arbeiten Sie in der Buchhaltung Ihres Unternehmens. Nicht wenige Unternehmen sind darauf hereingefallen.

DiFü-News: Wie wehrt man sich dagegen?

DATEV: Indem man anfängt, Mitarbeitende zu sensibilisieren: Wenn vermeintlich Vorgesetzte schreiben, dass es jetzt ganz schnell gehen muss und dass es geheim ist, dann sollte man sich kurz rausnehmen und zum Beispiel mit Kolleg:innen darüber reden. Das nimmt den Druck raus und das ist das Wichtigste. Denn eines haben all diese Angriffe gemeinsam: Jemand baut Druck auf, dass Sie sofort tätig werden müssen.

DiFü-News: Einige Cyber-Angriffe setzen nicht auf E-Mails, sondern z. B. auf Anrufe. Mittlerweile gibt es KI-basierte Anwendungen, die Stimmen fälschen können. Wie lassen sich Fake-Anrufe erkennen?

DATEV: Mittels KI generierte Bild- und Tonaufnahmen können täuschend echt aussehen – und doch sind sie künstlich, können aber Angriffsmaterial enthalten. Das heißt: immer wachsam und misstrauisch bleiben, selbst bei bekannten Kontakten. Gefälschte Bild- und Tonaufnahmen sind oft schwierig zu erkennen. Es gibt zwar digitale Analysemethoden, die dies leisten könnten, aber diese sind aufwändig und auch nicht zu 100 % zuverlässig. So können bspw. Aufnahmen vor allem von Personen des öffentlichen Lebens (Musiker, Politiker) sehr gut verfälscht werden, da die KIs bereits vorab mit vielen echten Aufnahmen „angefüttert“ werden konnten. Das sind sogenannte Deepfakes.

Im Zweifelsfall hilft es, den Kanal zu wechseln. Wenn ein verdächtiger Anruf reingekommen ist, könnte man zum Beispiel auf den Chatkanal wechseln und bei der Person nachhaken. Wenn eine E-Mail reingekommen ist, könnte man umgekehrt anrufen. Hauptsache, es ist ein zweiter Kanal. Das Schlimmste, was man machen kann, ist nämlich, auf dem Kanal, auf dem die Betrüger:innen sich gemeldet haben, zu antworten. Eine Sache ist noch ganz wichtig, wenn Unternehmen sich vor gefälschten Aufnahmen, Anrufen oder E-Mails schützen wollen: Ich darf keine Angst vor meinen Vorgesetzten haben. Es muss eine offene Kommunikation und eine Kultur geben, die Fehler zulässt und in der Mitarbeitende sich trauen, Situationen und auch Anweisungen von Vorgesetzten zu hinterfragen. Eine gute Fehlerkultur stärkt die Cybersicherheit im Unternehmen – insbesondere bei KI-gestützten Angriffen.

DiFü-News: Vielen Dank für das Gespräch!

Artikelbild: Ben Sweet via unsplash.com