Durch den Einsatz künstlicher Intelligenz (KI) lassen sich Geschäftsprozesse grundlegend optimieren. Davon profitieren jedoch nicht nur Unternehmen, sondern auch Cyberkriminelle. Cyberangriffe werden in Zukunft deutlich gefährlicher, und die aktuellen Schutzmassnahmen werden zunehmend unwirksam.

Eine neue Studie der Universität Harvard untersucht die Wirksamkeit von KI-basierten Spear-Phishing-Angriffen. Im Gegensatz zu normalen Phishing-Angriffen, bei denen Opfer generische E-Mails oder Nachrichten erhalten, sind Spear-Phishing-Angriffe gezielt personalisiert. Die Nachrichten wirken glaubwürdiger, da der Absender dem Opfer bekannt sein kann oder das Thema eine persönliche Relevanz hat.

Partner-Inhalte
 
 
 
 
 
 
Über die Gastautoren

Carlo Pugnetti ist als Dozent und Projektleiter und Stefan Hunziker als Professor für Risk Management am Institut für Finanzdienstleistungen Zug der Hochschule Luzern tätig. Palo Stache ist Managing Director des Cybersecurity-Unternehmens Cyberdise.  

Neue KI-Tools ermöglichen es, personalisierte Phishing-Nachrichten mithilfe öffentlich zugänglicher Informationen effizient und präzise zu erstellen. Die Studie zeigt, dass diese automatisch generierten E-Mails genauso überzeugend sind wie manuell entwickelte Angriffe – und das zu nur 2 Prozent der Kosten. Diese Angriffe umgehen bestehende Schutzsysteme, die auf Signaturerkennung basieren und Bedrohungen anhand wiederkehrender Muster identifizieren. Da die KI-generierten E-Mails individuell formuliert sind, erscheinen sie diesen Systemen als legitime, persönliche Mitteilungen – und werden daher nicht als Bedrohung erkannt.

Fragiles Versicherungsmodell?

KI-Tools stehen den Angreifern bereits jetzt zur Verfügung, und die bevorstehende Angriffswelle wird die Welt schon bald vor grosse Herausforderungen stellen – mit potenziell verheerenden Folgen für die Cyberversicherung. Versicherung funktioniert am besten, wenn Schäden breit verteilt und auf stabilen, historisch belegten Schadensmustern kalkuliert werden können. Bei Cyberrisiken sind weder stabile Schadensmuster noch eine breite Risikoverteilung gegeben. Das stellt Versicherer vor zusätzliche Herausforderungen: höhere Prämien, geringere Deckungen sowie eine schwankende Profitabilität und Nachfrage.

Die Lösung liegt in einem effektiveren Cyberschutz – insbesondere in präventiven Massnahmen. Ein entscheidender Ansatz ist die Entwicklung einer KI-gestützten Gefahrenerkennung, die ebenso dynamisch ist wie die Bedrohungen selbst. Doch Technologie allein reicht nicht aus: Mindestens genauso wichtig ist, wie Mitarbeitende auf verdächtige Nachrichten reagieren – denn trotz allen Schutzmassnahmen werden einige dieser Nachrichten ihren Weg in den Posteingang finden.

Mitarbeitende sensibilisieren

Am Institut für Finanzdienstleistungen Zug (IFZ) der Hochschule Luzern läuft derzeit eine Studie zur Aktivierung von Mitarbeitenden für einen risikobewussten Umgang mit Cyberangriffen. Mitarbeitende müssen nicht nur sensibilisiert, sondern aktiv in den Schutz des Unternehmens und ihrer eigenen digitalen Sicherheit eingebunden werden.

Ein entscheidender Faktor dabei ist die Exponierung: Wie häufig werden Mitarbeitende mit Cyberangriffen konfrontiert? Und wie realistisch und schwer erkennbar sind diese Angriffe? Häufig werden Mitarbeitende mit wenig individualisierten Phishing-Simulationen konfrontiert, die nur einen begrenzten Lerneffekt haben und deren Wirkung zeitlich begrenzt ist. Eine als gering wahrgenommene Bedrohung reduziert die Wirksamkeit solcher Massnahmen. Gleichzeitig bringt die Automatisierung der Gefahrenerkennung und das konsequente Filtern von Bedrohungen – obwohl grundsätzlich positiv – auch unerwartete Nebenwirkungen mit sich. Wenn Mitarbeitende seltener mit Bedrohungen in Kontakt kommen, sinkt ihre Fähigkeit, Gefahren eigenständig zu erkennen.

Simulierte Cyberangriffe

Ein zentraler Aspekt der Forschung am IFZ ist es daher, diesen Effekt systematisch zu untersuchen. In der Studie werden Mitarbeitende gezielt mit simulierten Cyberangriffen unterschiedlicher Komplexität konfrontiert, um die Auswirkungen auf ihr Cyber-Risiko-Verhalten zu messen. Dabei werden standardisierte oder personalisierte Szenarien verwendet. Bei den personalisierten Angriffen kommen auch Large Language Models (LLMs) wie Chat GPT zur Anwendung, welche – gleich wie die Angreifer – auf Osint-Daten basieren.

HZ Insurance-Newsletter DAILY
Andrea Hohendahl, Chefredaktor von HZ Insurance, und sein Versicherungsexpertenteam liefern Ihnen die Hintergründe zu Themen, welche die nationale und internationale Versicherungswelt bewegen. Jeden Tag (werktäglich) in Ihrem E-Mail-Postfach. Jetzt kostenlos zum Newsupdate für Insurance-Professionals anmelden.
HZ Insurance-Newsletter DAILY

Ein umfassender Schutz eines Unternehmens erfordert mehr als klassisches Training und technische Massnahmen. Vielmehr braucht es eine deutlich häufigere und realitätsnähere Exponierung der Mitarbeitenden – durch gezielte, dynamische und praxisnahe Simulationen. Die gezielte Aktivierung der Mitarbeitenden wird künftig eine Schlüsselrolle spielen – und erfordert neue, innovative Ansätze. Versicherer sind gut beraten, diesen Aspekt sowohl in ihr Underwriting als auch in ihr Dienstleistungsangebot zu integrieren und kontinuierlich zu verbessern.

Dieser Beitrag ist Teil des am 27. Februar 2025 erschienenen HZ-Insurance-Print-Specials «Cyber Risk».