Security-Awareness : Coach KI : Welche Rolle spielt künstliche Intelligenz für die Security-Awareness?
Können Chatbots und andere Anwendungen der künstlichen Intelligenz die IT- und Informationssicherheits-Abteilungen bei Security-Awareness-Programmen unterstützen oder wird hierdurch eine Entmenschlichung der IT propagiert? Unser Autor erörtert Möglichkeiten und Gefahren.
Security-Awareness hat in den letzten Jahren schon zahlreiche Automatisierungsbestrebungen erfahren: angefangen bei simulierten Phishing-Templates bis hin zu Content-Plattformen mit den unterschiedlichsten Trainingsinhalten in verschiedensten Formaten. Doch nicht nur Materialien konnten automatisiert werden, inzwischen können Trainer oder Programmmanager ganze Kampagnen wie Marketers aufsetzen, planen und mit inkludierter Erfolgsmessung ausspielen. All dies kann ohne menschliche Interaktion erfolgen – präferiertes Kommunikationsvehikel ist die E-Mail. Mit den seit November 2022 verfügbaren Möglichkeiten der generativen künstlichen Intelligenz (GenAI) lässt sich diese Automatisierung weiter vorantreiben: Die Einführung „intelligenter“ Chatbots könnte auch die letzte Interaktion mit den zu Schulenden ersetzen. Mögliches Anwender*-Feedback lässt sich ebenfalls durch künstliche Intelligenz steuern.
Ist das der Beginn einer Entpersonalisierung der Security-Awareness – noch bevor eine zunehmende Professionalisierung des Security-Awareness-Trainers das Berufsfeld für Verhaltensökonomen und für die Kommunikationsspezialisten unter den IT-Fachleuten erweitern kann? Oder zeigt sich hier eine weitere technische Kontrollfunktion, mit der sich Awareness und Verhalten verändern lassen – zweckmäßig, aber eben kein Abschied der IT von jeglicher menschlichen Interaktion? Diesen Fragestellungen geht der vorliegende Beitrag nach, indem er die aktuelle Situation der Security-Awareness beleuchtet, Möglichkeiten des GenAI-Einsatzes aufzeigt und die Diskussion zusammenfasst.
Status quo
Seit dem ersten „Security Awareness Month“ (damals noch als National CyberSecurity Awareness Month) im Oktober 2004 in den USA hat sich einiges getan – nicht nur wird er in vielen Organisationen jedes Jahr wieder begangen, sondern mehr und mehr gehen dazu über, ganzjährig Mitarbeiter zu sensibilisieren. Hierfür nutzen sie einen Mix aus Trainingsmaßnahmen: physisch und virtuell sowie mit simuliertem Phishing.
Phishing-Maßnahmen sind inzwischen dank jahrelanger Erfahrung mit verschiedenen Templates nicht nur einfach zu managen, sondern auch effektiv messbar. Die sogenannte Phish-Prone-Percentage (PPP) misst die Effektivität jeder einzelnen simulierten Phishing-E-Mail. Dieser Wert wird ganz klassisch als Prozentsatz der Mitarbeiter berechnet, die auf einen Phishing-Test „hereingefallen“ sind und auf heikle Links geklickt haben. Für das abgelaufene Jahr 2023 liegt der PPP-Durchschnitt über alle Branchen und Unternehmensgrößen hinweg weltweit bei 33,2 %. Aktuell läuft also knapp ein Drittel der Mitarbeiter eines Unternehmens Gefahr, auf eine Phishing-E-Mail zu klicken, bevor sie eine Schulung erhalten haben.
Der andere Bereich der Awareness besteht aus Trainings: Diese werden entweder physisch als klassische Vortragsreihe oder Tabletop-Übungen an speziellen Aktionstagen oder aber virtuell mit verschiedenen Inhalten aus einer Plattform durchgeführt. Je nach Trainer, Budget und Unterstützung durch die Geschäftsleitung können auch alle drei Elemente (und mehr) Bestandteil von Security-Awareness-Maßnahmen sein.
Bei größeren oder „reiferen“ Organisationen kann dies auch ein ganzes Programm sein, dass nicht nur von einem einzelnen Verantwortlichen, sondern von einem Team geleitet wird. Dessen Mitglieder haben unterschiedliche Ausbildungshintergründe, unterschiedliche Perspektiven auf das Sujet und einigen sich gemeinsam auf eine Gesamtstrategie. Teilweise arbeiten Marketing, Kommunikations-, Personal- und IT-Abteilung zusammen, um eine 360-Grad-Sicht auf das Thema legen zu können. Dabei ist es je nach Strategie gleichgültig, ob alle Team-Mitglieder fest angestellt oder aber als Freiberufler engagiert sind – über allem steht das Ziel, Mitarbeiter möglichst kontinuierlich für Cybergefahren, vor allem Social-Engineering-Methoden und -Taktiken zu schulen.
Verhaltensveränderung erwünscht, aber selten erreicht
Nach einer ersten Aufklärung, die vor allem taktisch zu sehen ist, gilt es dann, mit weiteren Maßnahmen das Verhalten von Mitarbeitern zu verändern. Normalerweise betrifft dies ein kleinere Gruppe, nämlich diejenigen, die wiederholt auf Phishing hereingefallen sind. Mit Maßnahmen wie spezialisiertem Training bis hin zu Personalgesprächen wird eine kontinuierliche Verhaltensveränderung angestrebt. Mit der Änderung des Verhaltens vorher auffälliger Mitarbeiter kann man beispielsweise über die Ernennung von „Security-Awareness-Champions“ in der Organisation einen spezifischen Teil zur Sicherheitskultur einführen.
Dies ist das große Ziel, das am Ende steht: eine Kultur zu etablieren, die dazu führt, sich gegenseitig zu unterstützen, zu motivieren und die eigene Organisation sowie die Kollegen vor Cybergefahren zu schützen. Es geht also im Grunde um nicht weniger als die Herzen und den Verstand zu erreichen, um Cyberrisiken zu minimieren.
Die Herausforderungen sind dabei in der Regel immer ähnlich: Menschen mit einem Paket an Maßnahmen und Zielen zu schulen, kann nur gelingen, wenn die Verantwortlichen erkennen, dass Menschen verschieden sind. Wissen wird unterschiedlich rezipiert – ähnlich ist es bei der individuellen Motivation oder beim Verhalten.
All diesen Herausforderungen kann man inzwischen mit hochprofessionellen Trainern, E-Mail-Tools mit vielfältigen Templates und Plattformen begegnen, die sich ähnlich wie Marketingkampagnen zentral steuern lassen. Diese Werkzeuge lassen sich mittlerweile sogar personalisieren und in weitere Unternehmensaktivitäten einbetten.
Ansatzpunkte für GenAI
Mit der Verfügbarkeit intelligenter Chatbots, die aufgrund von zahlreichen Interaktionen im Umgang mit menschlichen Fragestellern geschult wurden, ändert sich auch das Security-Awareness-Training. Der Einfluss ist zwar bislang noch gering, jedoch mit mehr und mehr verfügbaren Sprachmodellen (Language-Models) – egal ob groß (LLM) oder klein, ob generell oder spezialisiert – wird die Technologie über kurz oder lang Einzug in Unternehmen und Anwendungen halten.
Bei der Security-Awareness liegen die Vorteile vor allem in der individuellen Ansprache: Aktuell erfolgt diese eher generalisierend, vor allem bei der Interaktion während des simulierten Phishings – eine personalisierte Ansprache wird nur zu einem geringen Grad gewählt. Beispiele dafür sind die standardisierten Nachrichten, nachdem ein Mitarbeiter auf eine simulierte Phishing-E-Mail geklickt hat. Hier ergeben sich nicht nur Möglichkeiten, besser auf die jeweilige Person einzugehen, sondern auch auf deren Verhalten.
Darüber hinaus kann ein GenAI-Chatbot dann auch erste Rückfragen beantworten und den Trainern oder Programmmanagern Arbeit mit dem Second-Level-Support abnehmen. Hier könnte sogar mit Avataren mit Sprachsynthese gearbeitet werden: Gemeint sind kurze Erklärvideos, die eine Interaktion ermöglichen und so den Trainee weiter motiviert halten. Der Wiedererkennungswert durch Stil und Kommunikation könnte dann für ein größeres Vertrauen zwischen Mitarbeitern und IT-Abteilung sorgen und letztgenannte zunächst entlasten. Wenn aufgrund ausgefallener Phishing-Templates mehr Mitarbeiter in Weiterbildungsmaßnahmen geschickt werden, ergibt sich durch eben dieses Vorgehen eine Zeitersparnis.
Individuelles Coaching mit weniger menschlicher Interaktion
Neben Phishing-Templates und der anschließenden Interaktion lassen sich mit GenAI angereicherte Sicherheitstools auch automatisch implementieren, um erweitertes Feedback zu geben. Ein Beispiel wäre, wenn ein Mitarbeiter eine verbotene File-Sharing-Plattform aus dem Internet nutzen will. Dann würde ein KI-Assistent starten und nicht nur den Hinweis geben, die Seite eben nicht zu besuchen, sondern auch in einem Gespräch die Rückfragen des Mitarbeiters beantworten. Er kann außerdem Inhalte zur Sensibilisierung aus der Diskussion vorschlagen und danach wiederum Fragen beantworten. Hier würde eine KI oder GenAI der IT-Abteilung ebenfalls Zeit ersparen und die Möglichkeit geben, sich mit ihren Maßnahmen auf die „Härtefälle“ zu konzentrieren, die menschliche Interaktion erfordern oder spezielle Rückfragen haben. Diese Art von Feedback könnte man als kontextualisiertes Coaching bezeichnen: Die Gefahr von Social-Engineering wird dabei anhand der Abteilung, der Unternehmenskultur und der persönlichen Vorlieben des Mitarbeiters (Sport, Musik, Politik etc.) erklärt.
Durch diese Art des umgehenden Feedbacks in der Situation ermöglicht es KI einer Organisation zudem, sich nicht mehr nur auf externe Beratungsspezialisten verlassen zu müssen. Diese sind nicht immer vor Ort beziehungsweise müssen sich aus der Ferne zuschalten und zunächst das Problem erläutert bekommen, was auch den betroffenen Mitarbeiter eher nervt, als es ihm hilft. Die IT-Abteilung wird entlastet und muss sich nicht vorwerfen lassen, sich entweder auf externe Berater zu verlassen oder aber zu unpersönlich in der Ansprache zu sein.
Richtiges Verhalten in einer Gefahrensituation kann im ersten Schritt unmittelbar von der KI aufgezeigt werden. Lediglich bei Detailnachfragen, beispielsweise zur Compliance, speziellen Abteilungsthematiken oder aber zu Kollegen, müssen Trainer oder Berater eingreifen. Mitarbeiter profitieren so von einer schnellen Klärung, die nicht erst dann erfolgt, wenn wieder mal ein Training stattfindet und sie ihren Fall Wochen später schildern müssen. Eine Coaching-KI kann darüber hinaus auch das Timing, die Reihenfolge, den Umfang oder die Länge sowie Anzahl der Maßnahmen beeinflussen, die ein Mitarbeiter durchlaufen sollte.
Gefahr der Entpersonalisierung
Wenn aber eine KI bestimmt, wie die Interaktion abläuft, und sogar neue Inhalte in Echtzeit generiert, dann hat dies nicht nur Vorteile. Aktuell halluzinieren GenAI wie ChatGPT zu viel, um ihnen diese Aufgaben zu überlassen. KI kann allerdings nicht nur faktisch falschliegen, sondern auch den falschen Ton treffen – die richtige Ansprache ist in der Security-Awareness jedoch essenziell! Gezielte Botschaften sollen schließlich Verhaltensmodifikationen bewirken. Wer nicht fundamental versteht, richtig mit den Mitarbeitern zu kommunizieren und Empathie auszuüben, wird jedoch wenig nachhaltige Veränderungen herbeiführen können.
Allerdings wird derzeit an vielen kleinen Modellen gearbeitet, die vielversprechend scheinen: Mit wachsenden Möglichkeiten können dann etwa komplexe (externe wie interne oder branchenspezifische) Compliancerichtlinien und ihre Auswirkungen auf den Datenschutz einfacher vermittelt werden. Die datenschutzrechtliche Frage, wann eine Datei einen Personenbezug hat, kann eine gut trainierte GenAI schneller beantworten als ein Trainer, der erst Rücksprache mit der Rechtsabteilung halten muss.
Solche und andere Fälle zeigen auf, dass das Potenzial vorhanden, jedoch nur so gut umsetzbar ist wie der eigene Umgang mit „People, Processes and Technology“ (PPT). Der Fokus könnte dann stärker auf dem Menschen liegen und weniger auf den anderen beiden Bestandteilen – was positiv wäre. Hier besteht momentan aber noch eine Diskrepanz zwischen den vielfältigen Möglichkeiten der Sensibilisierung aufgrund der Erfahrungen seit 2004 und der Realität.
In der Praxis werden viel zu oft die Mitarbeiter als schwächstes Glied der Kette abgestempelt, sodass sich mehr und mehr Technologie auf das Zero-Trust-Konzept ausrichtet. Doch nicht nur die Technik betrachtet immer stärker den Menschen als Fehlerquelle, auch bei Compliance-Richtlinien ist das zu beobachten. Tatsächlich aber werden mehr Kontrollmechanismen gebraucht, um die Technik selbst – und im Besonderen die GenAI – zu überprüfen. Security-Abteilungen und ComplianceRichtlinien sollten die Verantwortung nicht auf den Menschen abwälzen und zusätzliche Ressourcen für die intensive Kontrolle dieses „fehlerbehafteten“, vermeintlich schwächsten Elements aufwenden, anstatt direkt bei der Technologie anzusetzen.
Fazit
GenAI und ihr Einsatz in der Security-Awareness können den Trend umkehren, Mitarbeiter vor allem als Fehlerquelle anzusehen, sofern die Verfahren auf den Menschen ausgerichtet werden. Die Technik muss dazu dienen, zu verstehen, wie Phishing aufgebaut ist, was es anrichtet und wie sich eigenes risikobehaftetes Verhalten verändern lässt. Personalisierte Erklärungen und positives Feedback unterstützen und ermöglichen es Trainern sowie Programmmanagern, sich auf die nächste Ebene zu konzentrieren: nämlich eine Sicherheitskultur zu etablieren.
Organisationen, die aktuell über die Implementierung von KI für ihre Security-Awareness-Programm nachdenken, sollten das Thema ganzheitlich betrachten und sich nicht von Trends leiten lassen. Zunächst gilt es, die Voraussetzungen vor allem rechtlich und organisatorisch sowie durch Aufklärungsarbeit zu schaffen. Der empfehlenswerte Start ist ein klassischer Workshop zum Thema mit allen Stakeholdern in der Personal-, Rechts-, IT- sowie Kommunikationsabteilung. Trainer sollten zuvor kritisch hinterfragen, was sie mit ihrem Programm erreichen wollen und welche Vorgaben neu hinzutreten oder geändert und ausgebaut worden sind.
Die wichtigsten Elemente von Security-Awareness-Trainings
- Inhalte: Menschen bevorzugen unterschiedliche Arten von Inhalten. Inhaltstypen sollten allerdings auch immer an die verschiedenen Rollen im Unternehmen angepasst werden.
- Unterstützung und Planung: Eingesetzte Materialien sollten CISOs und Security-Awareness-Trainern dabei helfen, den Wert des Programms gegenüber der Geschäftsführung zu beweisen und auch Auditoren sowie Regulierungsbehörden zu zeigen, dass es an den richtigen Stellen ansetzt.
- Kampagnen: Ein erfolgreiches Programm sollte nicht einmalig stattfinden, sondern als Kampagne betrachtet werden. Eine einmal im Jahr durchgeführte Schulung, die nur ein Häkchen für die Compliance setzt, wird nicht zu einer Änderung des Nutzerverhaltens führen. Eine kontinuierliche Präsentation von Informationen auf unterschiedliche Weise wird, wenn sie mit dem jeweiligen Lebenskontext übereinstimmt, Entscheidungen beeinflussen und es Nutzern leichter machen, klüger zu agieren.
- Trainieren: Mitarbeiter müssen in eine Situation versetzt werden, in der sie eine Wahl zu treffen haben, die darüber entscheidet, ob das Unternehmen angegriffen wird oder nicht. Phishing-Simulationen fordern Mitarbeiter letztlich auf, entweder einen Link zu klicken, den Phishing-Versuch zu melden oder nichts zu tun. Ein gutes Programm sollte den Mitarbeitern die Möglichkeit geben, Phishing-Versuche explizit zu melden. Wenn sie auf den Phishing-Versuch hereinfallen, sollte sofort eine Schulung durchgeführt werden können.
- Metriken und Berichte: Security-Awareness-Trainer stehen unter Rechtfertigungsdruck – es gibt eine Bringschuld, die Effektivität der Trainings nachzuweisen. Das zugehörige Reporting ist auch für die Optimierung von Kampagnen auf der Grundlage früherer Ergebnisse hilfreich und lässt sich überdies für Audits und Assessments nutzen.
- Umfragen und Bewertungen: Diese Art von Instrumenten kann den Verantwortlichen helfen, die Einstellungen der Mitarbeiter zur Security-Awareness zu verstehen und herauszufinden, wie gut das Programm bei ihnen ankommt, um es gegebenenfalls anpassen zu können.
Dr. Martin J. Krämer ist Security Awareness Advocate bei KnowBe4.