Phishing-Mails, geschrieben von ChatGPT, sind Realität. Sie sind beeindruckend gut, mehrsprachig und kaum mehr als solche zu erkennen. "Das grosse Problem an KI ist, dass Angriffe skalieren", sagt Sascha Maier, CISO der SV Group. Wir haben im Interview mit ihm besprochen, welche Cybersecurity-Massnahmen nachhaltig helfen.

Speziell in meiner Branche, Hotellerie und Gastronomie, stelle ich eine massive Zunahme fest. Gerade im Bereich Social Engineering wird versucht, über Buchungsplattformen das Vertrauen der Hoteliers / Gastronomen zu erschleichen und so ihre Rechner zu infizieren.

Das heisst, es werden quasi gefakte Buchungen vorgenommen? Nein, echte Buchungen. Danach wird der Gastgeber kontaktiert und beispielsweise gefragt, ob man per E-Mail die geplante Anreise schicken und bestätigen lassen kann oder Ähnliches, und schon ist es passiert.

Inwiefern hat ChatGPT oder KI im Allgemeinen die Bedrohungslage verändert? Beeindruckend schnell. Kürzlich habe ich die erste Phishing-E-Mail gesehen, die von ChatGPT geschrieben wurde. Angreifer haben so die Möglichkeit, perfekte E-Mails in jeder Sprache zu schreiben. Wenn das automatisiert wird, dann lassen sich solche Angriffe weder kontrollieren, geschweige denn in den Griff kriegen.

Glauben Sie, dass KI die technische Entwicklung ist, welche künftig für die grösste Gefahr sorgt? Das grosse Problem an KI ist, dass es skaliert. Es ermöglicht Angreifern beispielsweise, eine ausgeklügelte Phishing-Welle an sehr viele Firmenadressen weltweit gleichzeitig zu schicken – perfekt in der richtigen Sprache formuliert. Da hat man keine Chance mehr. Die Geschwindigkeit und die Qualität werden garantiert zunehmen.

Braucht es in E-Mail-Clients die Integration von KI-Erkennungstools? Nein, einen Schritt vorher: Es braucht genauso wie Spam-Erkennung auch KI-Erkennung auf dem E-Mail-Gateway. Aber es wird zum Katz- und Mausspiel, weil es auch legitime KI-E-Mails gibt.

Mit grösster Wahrscheinlichkeit kommt bald die Meldepflicht für Cyberangriffe, zumindest für kritische Infrastrukturen. Der richtige Entscheid? Ja, weil es Transparenz und Awareness schafft. Ich sage sogar, dass es nicht nur für kritische Infrastrukturen, sondern für alle gelten sollte – zumindest ab einer gewissen Unternehmensgrösse. Es ist unangenehm, man hat Zusatzaufwand, aber es muss gemacht werden. Wie die Steuererklärung.

Ist auch Ihre interne Rolle so unangenehm wie die Steuererklärung? Sie sind der Bad Guy, der nervige Regeln aufstellt und Mitarbeitende zwingt, alle 2 Monate das Passwort zu wechseln. Anfangen und sofort nervige Regeln aufstellen, wäre taktisch falsch. Es braucht aber eine klare Strategie und den Support von Management und Verwaltungsrat. Ohne diese Unterstützung kann der Job nicht gemacht werden.

Wie hat ihre Strategie ausgesehen? Nebst der technischen Seite muss Awareness geschaffen werden, das ist das Wichtigste überhaupt. Vor allem in Firmen, die nicht reguliert sind, ist das Match entscheidend.

Aber wie macht man das? Phishing-Tests und USB-Sticks rumliegen lassen? Nein, gar nicht. Es gibt sogar Studien darüber, dass Phishing-Tests kontraproduktiv sind – mit einer Ausnahme. Auch E-Learning bringt nichts für die Awareness, sondern höchstens für die Compliance, weil das die Leute immer am Freitagabend kurz vor dem Wochenende machen. Es braucht eine gute Kampagne, welche auf die Unternehmenskultur zugeschnitten ist.

Welches ist die Ausnahme? In Bereichen mit hoher Fluktuation können Phishing-Tests tatsächlich wirksam sein.

Jetzt haben wir darüber geredet, was nicht funktioniert. Mich würde aber schon interessieren, was Ihrer Ansicht nach nachhaltig wirkt. Beim Awareness-Training geht es darum, gute Geschichten zu erzählen. Es braucht einen guten Brand und einen guten Claim für die Kampagne. Zudem müssen Zielgruppen und Kommunikationskanäle definiert sein. Es geht um Storytelling. Sie haben USB-Sticks erwähnt. Das funktioniert, weil man damit gute Geschichten erzählen kann. Mit E-Learning und Phishing-Tests ist das nicht möglich.

Man muss als CISO also auch ein guter Verkäufer sein? Die eigene Story verkaufen zu können, ist extrem wichtig beim Awareness-Training.

Sie sind ein knappes Jahr bei der SV Group. Ist in dieser Zeit schon etwas passiert, ein Angriff zum Beispiel? Ja, es ist einiges passiert. Aber wir hatten die Angriffe zum Glück im Griff. Ins Detail möchte ich aber hier nicht gehen.

Aber sollte ein Angriff gelingen, tragen Sie die Schuld daran als CISO. Das ist doch undankbar, oder nicht? Ich drehe den Spiess um und sage: Wir werden sowieso angegriffen. Meine Aufgabe ist es, das Unternehmen auf die Angriffe vorzubereiten und diese mit möglichst wenig Schaden abzuwickeln. Das müssen Konzernleitungen verstehen. Wir sind hier sehr gut aufgestellt als Unternehmen.

Und im Falle eines erfolgreichen Angriffs transparent kommunizieren? Absolut – das ist das Beste, was man machen kann. Mit proaktiver Kommunikation kann man steuern, was passiert – tut man das nicht, wird man gesteuert.