Social-Engineering-Angriffe waren früher mit einem hohen Zeit- und Arbeitsaufwand verbunden.

Angreifer recherchierten ihre Ziele, verfassten Phishing-E-Mails von Hand und gaben sich sorgfältig als vertrauenswürdige Personen oder Organisationen aus. Realistisch betrachtet konnten sie nur eine begrenzte Anzahl dieser Aufgaben gleichzeitig bewältigen und daher auch nur eine begrenzte Anzahl von Zielen gleichzeitig angreifen.

Die KI hat dies grundlegend verändert. Was früher Stunden dauerte, ist nun in Sekundenschnelle erledigt. Angreifer können im Handumdrehen überzeugende Phishing-E-Mails erstellen, öffentliche Informationen nach persönlichen Daten durchsuchen und Nachrichten in großem Umfang auf bestimmte Personen zuschneiden.

Social Engineering ist schneller, kostengünstiger und weitaus überzeugender geworden.

Dies stellt Unternehmen vor ein ernstes Problem, da diese Angriffe nicht mehr auf offensichtliche Fehler oder allgemeine Betrugsmaschen beruhen. Sie sind so konzipiert, dass sie authentisch und vertraut wirken und nur schwer anzuzweifeln sind.

Warum KI Social Engineering gefährlicher macht

Herkömmliche Phishing-Angriffe verrieten sich oft selbst.

Rechtschreibfehler, umständliche Formulierungen, verdächtige Formatierungen und allgemeine Anreden machten es leichter, sie zu erkennen. Die Mitarbeiter wussten, worauf sie achten mussten, da die Warnzeichen offensichtlich waren.

KI beseitigt viele dieser Anhaltspunkte. Angreifer können nun ausgefeilte, professionelle Mitteilungen verfassen, die natürlich und glaubwürdig klingen. Diese Nachrichten können den Tonfall eines Kollegen nachahmen, auf echte Projekte Bezug nehmen und für den Empfänger persönlich relevant erscheinen. Dadurch steigt die Wahrscheinlichkeit erheblich, dass Menschen dem, was sie sehen, Vertrauen schenken.

Eine E-Mail, die so klingt, als stamme sie von Ihrem Vorgesetzten, eine Teams-Nachricht, die den Anschein erweckt, als käme sie von der Personalabteilung, oder eine Anfrage, die gleichzeitig dringend und alltäglich wirkt. Diese Angriffe zielen darauf ab, das Misstrauen zu verringern und zu schnellen Entscheidungen zu verleiten.

Der Aufstieg von Deepfakes und synthetischer Identität

Die Deepfake-Technologie treibt das Social Engineering weiter voran.

Tools zur Stimmklonung und zur Erstellung KI-generierter Videos werden immer leichter zugänglich und bieten Angreifern neue Möglichkeiten, sich als vertrauenswürdige Personen auszugeben. Gefälschte Anrufe von Führungskräften und manipulierte Videobotschaften werden bereits bei Betrugsversuchen und Finanzbetrug eingesetzt.

Das Beunruhigende daran ist, wie glaubwürdig diese Technologie mittlerweile geworden ist.

Mitarbeiter sind es gewohnt, vertrauten Gesichtern und Stimmen zu vertrauen, doch wenn jemand wie eine Führungskraft klingt oder auf dem Bildschirm auftritt und dabei authentisch wirkt, reagieren die Menschen instinktiv anders.

In hektischen Arbeitsumgebungen, in denen Entscheidungen schnell getroffen werden, fällt es nicht immer von selbst, inne zu halten und zu hinterfragen, ob eine Sprach- oder Videoverbindung echt ist. Genau darauf setzen Angreifer.

Warum menschliches Verhalten nach wie vor das vorrangige Ziel bleibt

KI mag zwar die treibende Kraft hinter diesen Angriffen sein, doch die Menschen sind nach wie vor das eigentliche Ziel.

Angreifer wissen genau, wie sich Mitarbeiter unter Druck verhalten. Sie wissen, dass Menschen schnell auf Autorität, Dringlichkeit und vertraute Kommunikationsstile reagieren. Sie wissen auch, dass vielbeschäftigte Mitarbeiter eher zuerst handeln und erst später nachfragen.

KI hilft ihnen dabei, diese Verhaltensweisen schneller und in viel größerem Umfang auszunutzen. Deshalb funktioniert Social Engineering nach wie vor so gut. Es umgeht technische Kontrollmaßnahmen, indem es Menschen dazu bringt, Informationen, Zugangsdaten oder Zugriffsrechte freiwillig preiszugeben. Da KI-generierte Kommunikation immer überzeugender wird, lässt sich der Unterschied zwischen legitimen und böswilligen Interaktionen immer schwerer erkennen.

Warum veraltete Ansätze bei der Sicherheitsschulung nicht mehr funktionieren

Viele Sensibilisierungsmaßnahmen wurden für eine andere Art von Phishing-Angriffen entwickelt. Den Mitarbeitern wurde beigebracht, offensichtliche Warnzeichen wie Rechtschreibfehler, ungewöhnliche Formatierungen und verdächtige Links zu erkennen. Doch durch KI generierte Angriffe sehen mittlerweile ganz anders aus.

Die heutigen Phishing-E-Mails sind professionell gestaltet, glaubwürdig und personalisiert. Angreifer können Kommunikationsstile nachahmen und Nachrichten verfassen, die so authentisch wirken, dass sie den Instinkt der Empfänger überlisten – was die Herausforderung für die Mitarbeiter verändert.

Die heutigen Angriffe sind schwerer zu erkennen, da sie professionell und seriös wirken. Bei der Erkennung kommt es daher vor allem darauf an, zu bemerken, wenn etwas ungewöhnlich, überstürzt oder leicht untypisch wirkt – was ein gutes Urteilsvermögen und Erfahrung mit realistischen Szenarien erfordert.

Mitarbeiter benötigen Schulungen, die die Angriffe widerspiegeln, denen sie tatsächlich ausgesetzt sind. Sie müssen erkennen, wie Manipulation in der Praxis funktioniert, und verstehen, wie schnell Druck und Zeitdruck die Entscheidungsfindung beeinflussen.

Genau hier macht ein auf Geschichten basierendes Sensibilisierungstraining den entscheidenden Unterschied aus.

„Cyber Police“ nutzt realistische Erzählungen und inszenierte Cybersicherheitsszenarien, um zu veranschaulichen, wie moderne Angriffe ablaufen – einschließlich der Druck- und Manipulationstechniken, mit denen Angreifer das Verhalten beeinflussen. Indem die Mitarbeiter diese Situationen im Kontext miterleben, können sie ähnliche Warnsignale in ihrem eigenen Arbeitsumfeld besser erkennen und selbstbewusster reagieren, wenn ihnen etwas verdächtig erscheint.

KI führt zu einer Zunahme der Angriffe

KI erleichtert zudem die Skalierung von Social-Engineering-Angriffen. Angreifer können Phishing-E-Mails innerhalb von Sekunden erstellen, Ziele automatisch recherchieren und Nachrichten weitaus schneller als bisher personalisieren. Das bedeutet, dass Unternehmen mit einer größeren Anzahl von Angriffen über mehr Kommunikationskanäle hinweg konfrontiert sind.

Für Sicherheitsteams stellt dies eine Herausforderung dar. Es gibt bereits täglich eine enorme Menge an Aktivitäten zu überwachen, und das steigende Angriffsaufkommen erschwert es, wirklich gefährliches Verhalten schnell zu erkennen.

Auch die Mitarbeiter stehen unter demselben Druck. E-Mails, Teams-Nachrichten, Tools für die Zusammenarbeit, SMS, Videoanrufe. Die Kommunikation reißt nie ab, und Angreifer wissen, dass Menschen eher Fehler machen, wenn sie abgelenkt sind oder unter Zeitdruck stehen.

Aus diesem Grund müssen Sensibilisierungsschulungen praxisnah sein und einen Bezug zum tatsächlichen Arbeitsalltag haben.

Die psychologische Seite KI-gestützter Angriffe

KI-gestütztes Social Engineering funktioniert, weil es auf normales menschliches Verhalten abzielt. Es ist ganz natürlich, dass Menschen vertrauten Namen vertrauen und auf Dringlichkeit reagieren, insbesondere im beruflichen Umfeld. Sie möchten hilfsbereit sein und Verzögerungen vermeiden.

Angreifer wissen das, und KI hilft ihnen dabei, diese Verhaltensweisen auszunutzen. Deshalb müssen Unternehmen über technische Kontrollmaßnahmen hinausdenken. Die Mitarbeiter müssen sich sicher fühlen, einen Gang zurückzuschalten, wenn ihnen etwas seltsam vorkommt, und Informationen zu überprüfen, bevor sie reagieren. Ohne dieses Selbstvertrauen wird es wesentlich schwieriger, überzeugende Angriffe abzuwehren.

Warum Unternehmen ihre Schulungen zur Sensibilisierung für Sicherheitsfragen überdenken müssen

Die Zunahme von KI-gesteuerten Angriffen zwingt Unternehmen dazu, ihren Ansatz zur Sensibilisierung für Cybersicherheit zu überdenken. Statische E-Learning-Angebote und auf Compliance ausgerichtete Module sind kaum in der Lage, Mitarbeiter auf Angriffe vorzubereiten, die realistisch wirken und emotional überzeugend sind.

Menschen lernen besser, wenn sie das Gelernte mit realen Situationen in Verbindung bringen können. Sie behalten Geschichten, Gespräche und realistische Beispiele weitaus besser im Gedächtnis als allgemeine Auflistungen von Warnzeichen.

Aus diesem Grund müssen Sensibilisierungsschulungen ansprechender gestaltet werden und einen engeren Bezug zu den Situationen herstellen, denen die Mitarbeiter tagtäglich begegnen. Moderne Social-Engineering-Angriffe sind so konzipiert, dass sie ganz normal wirken; daher benötigen die Mitarbeiter Schulungen, die sie darauf vorbereiten.

Vorbereitung auf die nächste Generation des Social Engineering

KI-gestützte Angriffe werden sich weiterentwickeln, da die ihnen zugrunde liegende Technologie immer leichter zugänglich und in großem Maßstab einfacher einsetzbar wird. Unternehmen können sich nicht mehr auf veraltete Sensibilisierungsmaßnahmen verlassen, die auf überholten Phishing-Taktiken und offensichtlichen Warnzeichen basieren.

Mitarbeiter benötigen praktische Erfahrung mit den Manipulationstechniken, denen sie am ehesten begegnen werden, um das Selbstvertrauen zu gewinnen, ungewöhnliche Anfragen zu hinterfragen und einen Gang zurückzuschalten, wenn ihnen etwas seltsam vorkommt.

Die Organisationen, die sich am schnellsten anpassen, werden diejenigen sein, die strenge technische Sicherheitsmaßnahmen mit realistischen, verhaltensorientierten Sensibilisierungsschulungen kombinieren, denn wenn Social Engineering zur Massenphänomen wird, dürfen Sensibilisierungsschulungen nicht in der Vergangenheit verharren.

Erfahren Sie mehr über die Cyberpolizei

„Cyber Police“ nutzt dramatische Darstellungen, um reale Cyberbedrohungen anschaulich zu machen, Diskussionen anzuregen und gängige Annahmen darüber, was wir heute über Cyberangriffe wissen, zu hinterfragen.

Jede Staffel befasst sich mit den Angriffen, denen Mitarbeiter am ehesten ausgesetzt sind – von Phishing über Ransomware bis hin zu Deepfakes – und setzt diese in Form spannender Episoden um.

Indem sie Bedrohungen aus der Perspektive der Betroffenen betrachten, entwickeln die Mitarbeiter ein klareres Bewusstsein und das Selbstvertrauen, effektiv darauf zu reagieren.

Erfahren Sie mehr über Cyber Police und entdecken Sie, wie storybasierte Sensibilisierungsschulungen Ihren Mitarbeitern helfen, moderne Cyberbedrohungen sicher zu erkennen und darauf zu reagieren.

Häufig gestellte Fragen zum Thema Social Engineering

Was versteht man unter KI-gestütztem Social Engineering?

KI-gestütztes Social Engineering bezeichnet den Einsatz künstlicher Intelligenz zur Entwicklung überzeugenderer und skalierbarer Phishing-Angriffe sowie von Betrugsmaschen, bei denen sich die Täter als andere Personen ausgeben Betrugsmaschensowie betrügerische Kommunikation, die darauf abzielt, Menschen dazu zu manipulieren, Informationen preiszugeben oder Maßnahmen zu ergreifen.