Kommentar von Patrick Lehnis, Account based Marketing Manager für Specops ein Unternehmen von Outpost24

Künstliche Intelligenz verändert die Bedrohungslage im Bereich Social Engineering grundlegend - insbesondere durch sogenanntes Voice-Phishing, kurz Vishing. Bei dieser Methode inszenieren Cyberkriminelle mit KI-generierten Stimmen täuschend echte Anrufe, um Mitarbeiter zu Zahlungen oder zur Herausgabe sensibler Informationen zu bewegen.

Wenn KI die Stimme von Vorgesetzten imitiert
Die Methode ist ebenso raffiniert wie gefährlich: Angreifer nutzen öffentlich zugängliche Sprachaufnahmen - etwa aus Videos, Webinaren, öffentlichen Auftritten wie Interviews oder Podcasts -, um innerhalb weniger Minuten eine täuschend echt klingende synthetische Stimme zu erzeugen. Diese Angriffstechnik ist bereits jetzt so überzeugend, dass selbst geschulte Mitarbeiter kaum einen Unterschied erkennen. Was früher eine technische Spielerei war, wird heute gezielt für kriminelle Zwecke eingesetzt.

Der psychologische Hebel dabei: Eine vertraute Stimme suggeriert Legitimität. Kombiniert mit Zeitdruck ("Es muss sofort gehen!") oder Autorität ("Ich bin"s - dein Chef!"), setzen Angreifer ihre Opfer massiv unter Druck. Diese emotionale Manipulation macht KI-Vishing so wirksam und gefährlich.

Der Faktor Mensch bleibt die Schwachstelle
So ausgeklügelt die Technologie auch sein mag - am Ende zielen die Angriffe auf die menschliche Psyche. Vertrauen, Autorität, Hilfsbereitschaft und Stress sind die Druckmittel, mit denen Cyberkriminelle arbeiten. Umso wichtiger ist es, Maßnahmen und Prozesse zu implementieren, die den Druck der Authentifizierung einer Anfrage vom Mitarbeiter fernhält. Dabei geht es zum einen darum, eine Unternehmenskultur zu schaffen, in der Mitarbeiter solche Anfragen kritisch hinterfragen und Rückfragen stellen können, sobald sie sich unsicher sind. Zum anderen auch technische Maßnahmen zu ergreifen, um Anrufer mithilfe mehrerer Faktoren zu Authentifizieren, ehe Aktionen wie Passwort-Resets, die Aufhebung von Kontosperrungen oder Deaktivierung von MFA Faktoren für den Helpdesk-Mitarbeiter möglich werden.

Sicherheit muss mit der Zeit gehen
Aufgrund der rasanten Geschwindigkeit mit der sich die Angriffstechniken weiterentwickeln, müssen Unternehmen ihre Schutzmaßnahmen immer weiter anpassen: Dazu gehören weiterhin klare Kommunikationsrichtlinien (z.B. keine Zahlungsanweisungen per Telefon), verpflichtende Rückbestätigungen über Zweitkanäle, Tools und technische Authentifizierungsmaßnahmen sowie regelmäßige Schulungen zum Erkennen manipulativer Gesprächstechniken. So können mögliche Social Engineering-Angriffe abgewehrt, und schlimmere Konsequenzen vermieden werden.