KnowBe4 mit 30-Tage-Testversion von SecurityCoach
Mittel gegen den trügerischen Schein
Manchmal trügt der Schein – auch wenn man den Beweis „schwarz auf weiß“ zu haben glaubt. Und das wohl immer öfter: Künstliche Intelligenz (KI) schickt sich an, das Auseinanderdividieren von Schein und Sein so schwierig zu gestalten wie nie zuvor. Dadurch drohen erhebliche Auswirkungen auf die IT-Sicherheit. Anbieter wie KnowBe4 wollen gegensteuern.
Der Berliner Fotokünstler Boris Eldagsen gewann jüngst bei den Sony World Photography Awards 2023 in der Kategorie „Kreativ“ den ersten Preis – und verweigerte die Annahme. Denn sein Siegerbild war gar kein Foto: Das Schwarz-Weiß-Doppelportrait zweier Frauen – die hintere stützt das Kinn auf dem Nacken der vorderen ab und hat ihre Hände auf deren Schultern gelegt, beide schauen ernst (oder gedankenverloren?) in die Ferne – ist das Produkt künstlicher Intelligenz (KI) und einer Nachbearbeitung durch Eldadsen, um es noch mehr nach einer Aufnahme aus den 1940er-Jahren aussehen zu lassen. Den Preis lehnte der Künstler laut Medienberichten ab, um darauf aufmerksam zu machen, dass KI-generierte Bilder, selbst wenn sie fotorealistisch wirken, eine eigene Kunstform sind. Er nennt dies „Promptography“, also „Malen mit Prompts“ (KI-Anweisungen) statt eines „Malens mit Licht“, als welches Fotokunst gerne firmiert.
Weiß man einmal, dass Eldagsens Bild KI-generiert ist, fällt auf, dass die Hände der hinteren Frau etwas seltsam geformt sind – KI hat nach wie vor häufig Probleme damit, Gliedmaßen und insbesondere Hände fotorealistisch darzustellen. Ohne dieses Telefonjoker-Wissen würde man vielleicht auf Arthrose oder Gicht tippen. Jedenfalls wirkt das Bild so überzeugend, dass man es der Sony-Jury nicht übelnehmen kann, prompt auf die Täuschung hereingefallen zu sein.
Wenn schon die Jury eines renommierten Fotowettbewerbs Opfer promptografischer Irreführung wird, legt einem ein schwarz-weißes Teufelchen von hinten die Hände auf die Schultern und flüstert einem ins Ohr: Wie sollen Endanwender im Unternehmen heutzutage noch KI-generiertes Phishing oder gar – Stichwort manuelle Nachbearbeitung – gezieltes Spearphishing erkennen? Und: Gehören Security-Awareness-Schulungen damit ins Reich des hölzernen Wagenrads, des Monokel-Etuis und des Wählscheibentelefons?
Tricks schwieriger zu enttarnen
„Die Tricks der Angreifer sind immer schwieriger zu enttarnen, sind zeitgleich aber immer effektivere Manipulationswerkzeuge. Umso wichtiger ist das Security-Awareness-Training“, betont Martin Krämer, Security Awareness Advocate bei KnowBe4, dem Anbieter einer Awareness-Schlungsplattform. Seine Argumentation: „Ein gesundes Maß an begründetem Misstrauen ist der beste Beitrag zur Sicherheit. Aber nur richtige, erlernte Verhaltensweisen führen zur effektiven Cyberabwehr.“
Deshalb, so Krämer, brauche ein Unternehmen nach wie vor Awareness-Trainings – aber bitte nicht generische Online-Fragebögen, die die Belegschaft viertel- oder halbjährlich lustlos durchklickt, weil man das halt so machen muss. „Sprichwörtlich ist die Gewohnheit Königin über den Verstand. Und der Verstand erkennt ohne Sinn keine Motivation, ohne Motivation kein Handeln“, sagt der Awareness-Verfechter.
Vor diesem Hintergrund hat KnowBe4 sein Portfolio bereits letzten Herbst um die Lösung SecurityCoach erweitert (LANline berichtete). Diese zielt darauf ab, die Sicherheitskultur in Unternehmen durch Echtzeit-Security-Coaching zu verbessern: Das Awareness-Tool, verfügbar als Cloud-Service, integriert sich in die Sicherheitslösungen eines Unternehmens und weist die Anwender bei potenziell riskantem oder vorschriftswidrigem Verhalten auf verschiedenen Kanälen – etwa per Slack – unmittelbar auf das aktuelle Risiko hin.
„Nur wer mit Herz und Verstand dabei ist, hat überhaupt eine Chance, durch Übung zum Meister zu werden“, sagt Krämer. SecurityCoach biete hier „konstruktives Feedback zu unsicherem Verhalten in Echtzeit“: „Das Werkzeug verwendet dazu Meldungen aus dem Security-Stack. Security-Teams verknüpfen diese mit ausgewählten Trainingsinhalten und vermitteln somit Motivation und Sinn eines sichereren Verhaltens immer dann, wenn es relevant ist.“
Jüngst hat KnowBe4 eine kostenlose 30-Tage-Testversion von SecurityCoach angekündigt. Dies erlaube es Unternehmen, im einmonatigen Feldversuch herauszufinden, wie sie risikoreiche Verhaltensweisen in ihrer Organisation mindern können. Denn wichtig ist laut KnowBe4 die schnelle Abfolge von Fehlverhalten und Warnung: Security-Teams können Coaching-Kampagnen so konfigurieren, dass Anwender bei einem erkannten Vorfall oder Richtlinienverstoß unmittelbar einen Security-Hinweis erhalten. Denn im Moment drohenden Fehlverhaltens sind Beschäftigte wohl am ehesten dafür offen, ihr Verhalten zu korrigieren – sofern man sie angemessen darauf aufmerksam macht, möglichst also ohne erhobenen Zeigefinger.
Mit Security-Awareness-Plattform gegen Social Engineering
KnowBe4, hierzulande mit einer Niederlassung in Berlin vertreten, unterhält laut eigenen Angaben die weltweit größte Plattform für Security-Awareness-Trainings und simuliertes Phishing. Die Plattform sei bei über 56.000 Unternehmen im Einsatz, um das Bewusstsein für Ransomware, CEO-Betrug und andere Taktiken des Social Engineerings (Beeinflussung durch Ausnutzen menschlicher Schwächen) zu schärfen.
An den KnowBe4-Schulungen mitgewirkt hat übrigens Hacker-Legende Kevin Mitnick, heute KnowBe4s „Chief Hacking Officer“. Mitnick ergaunerte schon in den 1970er-Jahren – zu Zeiten des Wählscheibentelefons – mittels Social Engineering den Quellcode eines Betriebssystems der damaligen IT-Größe DEC und bahnte sich den Weg in Dutzende Netzwerke. Denn das Ausnutzen menschlicher Schwächen ist älter, als es Boris Eldagsens inzwischen berühmtes „Foto“ je war – wahrscheinlich sogar älter als das hölzerne Wagenrad.
Heute aber steht Social Engineering mit Unterstützung durch geschickt gewählte Prompts – Fachleute nennen es „Prompt Engineering“ – an der Schwelle zu einer neuen Blütezeit: Generative KI wie ChatGPT und Bildgeneratoren wie Stable Diffusion, Midjourney oder Dall-E 2 ebnen den Weg zu einem „Social Prompt Engineering“, das im Grunde aber vielmehr ein antisoziales Manipulieren von KI-Vorgaben ist. Gut funktionierendes Social Engineering ist eine Kunst, wirkungsvolles Prompt Engineering ebenso – aber man darf nicht erwarten, dass diese Künstler so ehrlich mit ihren Erfolgen umgehen wie Boris Eldagsen. Deshalb heißt es wachsam bleiben – selbst wenn das Fotomodel, das Einlass zum Netzwerk begehrt, keine arthritischen Finger hat.
Lesen Sie mehr zum Thema
