Cybersicherheit braucht «Human-First»
Gastbeitrag
Anthropic hat mit der Ankündigung seines neuen KI-Modells «Claude Mythos» einiges versprochen, insbesondere auch für den Bereich Cybersicherheit: Das neue Modell soll in bestimmten Fällen besser als menschliche Hacking- und Cybersicherheitsexperten sein und könne schwerwiegende Sicherheitslücken schneller aufspüren als andere Methoden. Unabhängig davon, ob sich Claude Mythos letztlich als genauso leistungsfähig erweist oder nicht, wird in absehbarer Zeit keine KI der Welt einen 100-prozentigen Schutz vor Cyberbedrohungen bieten können. Dies hat zwei Gründe. Erstens können auch Angreifer KI nutzen, um beispielsweise Schwachstellen schneller zu identifizieren und auszunutzen oder um effizienter täuschend echt wirkende Phishing-E-Mails für Social Engineering-Angriffe zu erstellen. Zweitens, wenn Mitarbeitende im Unternehmen auf solche Angriffe hereinfallen, nützt auch der beste, KI-gestützte Schutz nichts, denn der Mitarbeiter selbst wird dann zur Sicherheitslücke. Dass dies kein theoretisches, sondern ein reales Risiko ist, zeigt eine von Sharp unter insgesamt 5'770 IT-Entscheidern in europäischen KMU durchgeführte Umfrage: 37 % der Befragten sehen fehlende oder unzureichende Mitarbeiterschulungen als grösstes IT-Sicherheitsrisiko für ihr Unternehmen an. Ein tatsächlich effektiver, umfassender Schutz vor Cyberbedrohungen erfordert also – noch vor dem Einsatz von ausgefeilten KI-Modellen –, dass die eigenen Mitarbeiter über das notwendige Wissen verfügen, um eine Cyberbedrohung zu erkennen und sinnvoll auf sie zu reagieren.
Cybersicherheitskompetenz für alle
Selbstverständlich kann und muss nicht jeder Mitarbeiter im Unternehmen zum Cybersicherheitsexperten werden, denn um einen für den Unternehmensalltag ausreichenden Grad an Expertise zu erlangen, reichen bereits einige Grundkenntnisse. Diese können Unternehmen mithilfe von Security Awareness Trainings vermitteln. Dabei handelt es sich nicht um eine klassische Weiterbildung, sondern um kurze, leicht verständliche Trainingseinheiten, die sich einfach in den Arbeitsalltag integrieren lassen. Diese Trainings finden regelmässig statt, um sicherzustellen, dass das Gelernte aktuell und relevant bleibt. Die kontinuierliche Wiederholung gewährleistet, dass die Lerninhalte im Alltag auch tatsächlich parat sind. Die Trainings sollten zudem möglichst praxisbezogen sein und Mitarbeitern auf Basis alltagsnaher Beispiele Entscheidungs- und Handlungsabläufe beibringen – beispielsweise, was im konkreten Fall eines Phishing- oder Ransomware-Angriffs zu tun ist. Um ihre IT-Teams nicht noch weiter zu belasten, sollten Unternehmen einen externen Partner an Bord holen, der die Trainings organisiert, durchführt und die dafür notwendige Technik bereitstellt.
Der Autor
Torsten Bechler, Manager Product Marketing DACH, Sharp Business Systems Deutschland.
