Künstliche Intelligenz entwickelt sich rasend schnell weiter und macht zuvor Ungeahntes möglich. Jedoch: Auch Cybercrime wird damit immer verbreiteter – und leichter zugänglich, warnen IT- und Sicherheitsexperten. Vor allem Deepfakes stellen eine neue, große Gefahr dar. Und vor allem Geschäftsführer müssen sich gut absichern.
Cybercrime hat Hochsaison: „Die Innovationskraft der Cyberkriminellen kennt keine Grenzen und dasselbe gilt für ihre Taktiken: von neuartigen Angriffen basierend auf Künstlicher Intelligenz, über digitale Supply-Chain-Attacken und Ransomware-as-a-Service, bis hin zu Multi-Channel-Phishing”, macht etwa der deutsche Sicherheits-Dienstleister SoSafe GmbH aufmerksam.
Seit geraumer Zeit machen Deepfakes in sozialen Medien die Runde. Das sind realistisch wirkende Medieninhalte, also Audio- oder Video-Dateien, die durch Techniken der Künstlichen Intelligenz (KI) abgeändert und verfälscht worden sind. Man sieht oder hört Personen, die Sachen tun oder sagen, die sie tatsächlich gar nie getan oder gesagt haben. Der Begriff setzt sich aus den Wörtern „Deep Learning“ (einer Methode, durch die eine KI lernt) und „Fake“ zusammen.
In Berlin widmet sich aktuell bis 30. April 2023 sogar eine Ausstellung, „Marionette” im POP am Kurfürstendamm, dem Phänomen. Auf mehreren Ebenen gibt sie Einblicke in die Schattenseiten der Technologie – aber natürlich auch der erfreulichen Facetten.
Die „Demokratisierung” von Cybercrime
Eines der ersten Videos, das in diesem Zusammenhang viel Aufmerksamkeit erregte, war ein Deepfake des ehemaligen US-Präsidenten Barack Obama. In diesem Video zeigt das Online-Medium BuzzFeed, wie Deepfakes funktionieren und wieso sie gefährlich sein können. Auch Donald Trump musste für ein Deepfake politischen Inhalts herhalten. In dem Video riet das Fake des Ex-Präsident der belgischen Öffentlichkeit, aus dem Pariser Klimaabkommen auszutreten. Auch die inszenierte Kapitulation des (Fake) ukrainischen Präsidenten Wolodymyr Selenskyj sorgte Anfang 2022 für großes Aufsehen.
Der Ende 2022 aufgekommene Chatbot ChatGPT (GPT steht für „Generative Pre-trained Transformer”), vom US-amerikanischen Unternehmen OpenAI entwickelt, stellt Cybersicherheitsverantwortliche vor ganz neue Herausforderungen. „Forschende befürchten, dass solche generativen KI-Lösungen zur ,Demokratisierung‘ der Cyberkriminalität führen könnten”, heißt es in einem brandneuen Report von SoSafe.
Die Manipulation von Medieninhalten ist zwar kein neues Phänomen. Der Einsatz hochentwickelter Künstlicher Intelligenz und enormer Rechenleistungen von Computern macht sie jedoch so täuschend echt. Deepfakes können nicht nur urheberrechtlich problematisch sein – schließlich darf man Bilder und Videos anderer Leute nicht einfach ohne deren Zustimmung verwenden.
„Der Mensch als größte Schwachstelle”
Das größere Problem ist das Gefahrenpotenzial für Unternehmen hinsichtlich Cybercrime. „Das hat mittlerweile ungeahnte Dimensionen erreicht – und es geht immer weiter”, sagt Versicherungsexperte Helmut Tenschert. Der promovierte Jurist ist ausgewiesener Spezialist in den Bereichen betriebliche Haftpflicht und Rechtsschutz. Die Attacken ließen sich teils gar nicht mehr in Zahlen fassen.
Im Hintergrund operieren Gruppen, die sehr lange Zeit hindurch alles zum Unternehmen und zur Person sammeln, die nachgeahmt werden soll, so der Experte. Mit KI gefüttert fänden sodann Telefonate, sogar Videokonferenzen statt, die gutgläubige Mitarbeiter hinters Licht führen. Sie werden so etwa zu – mitunter millionenschweren – Überweisungen veranlasst, oft unter Ausübung von Zeitdruck. Tenschert: „Die größte Schwachstelle ist immer der Mensch selbst”.
Zero Trust
„Ein gesundes Misstrauen ist heute unerlässlich. Man darf eigentlich nichts und niemandem mehr trauen. Man sollte wirklich jeden Kontakt verifizieren”, so Tenschert. Seit der Corona-Pandemie hätten sich die Probleme durch verstärktes Homeoffice und die so entstehenden Sicherheitslücken noch verschärf. Unternehmen würden zudem häufig am Wochenende attackiert, sodass eine Zeit verstreiche bis der Schaden entdeckt werde.
Das Bewusstsein über die Gefahren ist in den vergangenen Jahren zweifellos gestiegen. Dennoch ist laut Polizeilicher Kriminalstatistik (PKS) im Bereich der Internetkriminalität ein steter Anstieg der angezeigten Straftaten zu sehen. 2022 wurde mit 60.195 angezeigten Delikten ein neuer Höchstwert erreicht (+30,4% gegenüber Vorjahr). Im Vergleich dazu belieft sich diese Zahl im Jahr 2013 auf 10.053.
Im März 2023 widmete sich auch der Rechnungshofausschuss der Prävention und Bekämpfung von Cyberkriminalität. Die Schäden betreffen Bürgerinnen und Bürger gleichermaßen wie die Wirtschaft und staatliche Institutionen. Als zentrale Stelle zur Bekämpfung von Cyberkriminalität etablierte das Innenministerium bereits 2012 das Cyber Crime Competence Center (C4).
Erneuerte EU-Richtlinie NIS 2 in Kraft getreten
Doch der Teufel schläft bekanntlich nicht. Wirtschaft und Gesellschaft müssen kontinuierlich mit den technologischen Entwicklungen Schritt halten. Der Rechnungshof sieht unter anderem die Verwendung unterschiedlicher Begriffe durch Innenministerium und Justizministerium wie Cybercrime, Internetkriminalität oder Cyberkriminalität als Erschwernis für die abgestimmte Vorgehensweise zur Bekämpfung von Cyberkriminalität an.
Neu ist die NIS 2-Richtlinie der EU. Die Mitgliedstaaten müssen die Neuauflage der Richtlinie zur Netz- und Informationsystemsicherheit bis 17. Oktober 2024 umsetzen. Die Cybersicherheits-Richtlinie soll die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern. In erster Linie sind wesentliche und wichtige Sektoren und Dienste (z.B. Post) betroffen. Sie müssen geeignete Risikomanagementmaßnahmen für die Sicherheit ihrer Netz- und Informationssysteme treffen.
Cybercrime: Unerkannte und unterschätzte Schadensfolgen
Das Ausmaß der möglichen Schadensfolgen sei jedoch vielen noch nicht so klar, mahnt Tenschert. Es geht nicht nur um einige Tage ohne IT. Jede geglückte Cyberattacke schädigt auch die Kunden, Lieferanten, alle die in Kontakt mit einem Unternehmen stehen. Es geht etwa auch um die Verletzung der Datenschutzgrundverordnung (DSGVO). Diese Personen und Gruppen könnten theoretisch Schadenersatzforderungen stellen.
Auch bei Ransomware-Delikten kann man nicht sicher sein, dass nach Zahlung des „Lösegeldes“ für die Deaktivierung eines Schadprogramms, mit deren Hilfe der Eindringling den Zugriff des Computerinhabers auf seine eigenen Systeme verhindern kann, wirklich alles wieder läuft.
Sorgfaltspflichten der Geschäftsleitung
Tenschert: „Geschäftsleiter unterschätzen insbesondere, dass sie für diese Folgewirkungen persönlich in die Haftung genommen werden können. Denn sie sind verpflichtet, dafür zu sorgen, dass erstens ein funktionierender, tauglicher IT-Schutzschirm etabliert ist und zweitens dass eine brauchbare Cyber-Versicherung abgeschlossen wurde“.
Das sind Sorgfaltspflichten. Einen Fremdgeschäftsführer können die Gesellschafter für einen Schaden genauso in Anspruch nehmen. Meist geht es um Beträge jenseits der Portokassa. Man muss auch bedenken, dass nicht sofort Sicherheitsexperten oder -dienstleister akkurat dann zur Stelle sind, wenn man sie benötigt. „Einen gesicherten Zugang zu den dann nötigen Dienstleistern gewährt eine entsprechende Versicherung”, sagt Tenschert.
Großbetriebe: Schwierige Suche nach einem Risikoträger
Für Großbetriebe wird allerdings das Finden eines Risikoträgers zusehends schwieriger bzw. keinesfalls mit der gewünschte Versicherungssumme, so der Experte. Die Prämien bemessen sich unter anderem nach Branchen. Ein Super-Gau wäre, wenn ein IT-Unternehmen selbst betroffen ist. Auch Rechtsanwälte und Steuerberater sind von einem Cyberrisiko stärker in Mitleidenschaft gezogen, als etwa handwerkliche Betriebe.
„Um eine Versicherung zu bekommen, ist es schon bei Antragstellung nötig, ein hohes Maß an Obliegenheiten zu erfüllen“. Das geht über einen Notfallplan – wer macht im Fall des Falles wann und was und von wo aus – und permanente Schulungen und Unterweisungen der Mitarbeitenden hinaus. Zudem ist genau zu überprüfen, was Polizzen-Klauseln, die das Wording „die Technik muss auf dem letzten Stand sein” beinhalten, im konkreten Fall bedeuten könnten.
Gut zu haben: D&O-Versicherung
Eine 100-prozentige Absicherung kann es jedoch nicht geben, räumt Tenschert mit übertriebenen Hoffnungen auf. „Und Cyberversicherung ist nicht gleich Cyberversicherung.“ Bedarf und Voraussetzungen sind am besten mit einem spezialisierten Versicherungsmakler abzuklären. Dabei sind auch Versicherungsmakler selbst in der Pflicht: Sie müssen ihre Gewerbekunden auf eventuelle Cyberrisiken aufmerksam machen. Sonst drohen sie einen Beratungsfehler durch Unterlassung zu begehen – und könnten dafür haftbar gemacht werden.
Für Unternehmen macht des weiteren eine Betriebsunterbrechungsversicherung Sinn, denn die Wiederherstellung beschädigter IT kann oft Wochen dauern. Unerlässlich sei für Geschäftsführer die sogenannte D&O-Versicherung. Das steht für „Directors & Officers” – diese Vermögensschadenhaftpflichtversicherung wird häufig auch als Organ- oder Manager-Haftpflichtversicherung bezeichnet. „Die D&O-Versicherung kann für Geschäftsführer zur Existenz(ab)sicherung werden, wenn diese, egal ob begründet oder unbegründet, in Anspruch genommen werden”, heißt es auch bei der Höher Insurance Services GmbH mit Sitz in Wiener Neustadt.
Der Verlag für Rechtsjournalismus hat vor kurzem einen Ratgeber-Artikel mit interessanten Fragen/Aspekte veröffentlicht.