Abonnieren Sie unseren NEWSLETTER

GSM: Vielleicht können Sie sich kurz vorstellen…

Dr. Martin J. Krämer: Ich bin Security Awareness Advocate bei KnowBe4 und habe die DACH-Region von Jelle Wieringa übernommen. Wir sind formal gesehen im PR-Team aufgehangen, machen die traditionelle PR Arbeit, kümmern uns aber vor allem auch um visionäre Fragen oder Thought Leadership. Wir sorgen also dafür, dass das Thema Security Awareness von A bis Z durchgedacht wird. Es wird immer ein Bogen gespannt, von der Sensibilisierung über Verhaltensmuster bis hin zur Sicherheitskultur, sodass nie nur ein Teil adressiert wird und sodass man versteht, warum was durchgeführt werden muss. Das ist also der Bereich in dem wir uns bewegen und wir tun das, indem wir Artikel schreiben, Interviews geben und auf Fachkonferenzen aktiv werden.

GSM: Sie interessieren sich offensichtlich für Cybersecurity und auch für Psychologie. Was hat Sie zu Cybersecurity und zu KnowBe4 gebracht?

Dr. Martin J. Krämer Im Endeffekt habe ich mit einem dualen Studium in Wirtschaftsinformatik angefangen, welches ich damals bei der SAP AG in der Schweiz absolviert habe. Ich hatte dann schnell die Möglichkeit, in die IT-Beratung zu starten. Damals hatten wir ein neues Thema, und zwar die Frage, wie man mobile oder Smartphone-Applikationen an Unternehmenssysteme anbinden könnte. In dem Zusammenhang kam dann schnell die Frage auf, wie wir eigentlich mit Sicherheitsthemen umgehen sollten. Wo werden die Benutzerkonten verwaltet, wie werden die Daten verschlüsselt, wie werden sie übertragen? All diese Fragen kamen auf und ich bin dann mit der Hilfe von Kolleg*innen recht schnell in dieses Themenfeld reingewachsen und habe mich so sehr dafür interessiert, dass ich ein Masterstudium drangehangen habe, sowie Forschungsarbeiten im Rahmen meiner Promotion.

Im Masterstudium war ich sehr technisch unterwegs und habe Reverse Engineering von Smartphonegeräten gemacht. In meiner eigenen Forschungsarbeit war ich mehr auf der Verhaltensseite und auf der sozialwissenschaftlichen Seite unterwegs. Dort gibt es das wichtige Thema Usable Security, also benutzbare Sicherheit, indem verschiedene Forschungsrichtungen zusammenfließen, konkret Psychologie, Sozialwissenschaften und sehr viel auch Designt und IT selbst. Ich habe mich genau in diesem Bereich bewegt und habe dann gemeinschaftlichen Nutzen von Smartphonegeräten erforscht. Dazu habe ich mit Familien zusammen gearbeitet und mir die Themen Security & Privacy in dem Zusammenhang angesehen. Das war sehr spannend und es hat mir so viel Spaß gemacht über diese Themen zu reden und eben die wichtigen Details und Implikationen davon auch Menschen zu vermitteln, dass ich, als sich diese Stelle als Security Awareness Advocate bei KnowBe4 anbot, den Job sehr dankend angenommen habe.

GSM: Wir leben eigentlich seit ungefähr 70 Jahren mit KI aber das Thema ist derzeit in aller Munde. Manche sehen KI als Bedrohung und andere als Chance. In welchem Team sind Sie? Was ist Ihrer Meinung nach der größte Nachteil und der größte Pluspunkt von KI?

Dr. Martin J. Krämer Es handelt sich zweifelsohne um Fortschritt aber natürlich um einen schwierigen Fortschritt, der mit vielen Veränderung einhergeht und der deswegen einer ordentlichen Vermittlung und Kommunikation bedarf, der also ordentlich in die Öffentlichkeit hineingetragen werden muss. Es ist ja der Regelfall, dass wir immer wieder technische Fortschritte erleben, die große Veränderungen mit sich bringen und die daher oft auch als Bedrohung wahrgenommen werden können.

Das passiert natürlich mit anderen Technologien auch. Grundsätzlich hat die Entwicklung der KI schon in den 50er-Jahren begonnen, direkt mit den ersten Computern. Selbst Alan Turing hat ja damals schon den Turingtest definiert. Dieses Thema setzt sich bis heute fort und was oftmals Bedenken auslöst, ist die Hyper- oder die Superintelligenz. Da geht es dann darum was passiert, wenn die Maschinen oder Algorithmen schlauer oder menschlicher als der Mensch selber werden und sich damit unserer Kontrolle entziehen? Das ist natürlich eine sehr reale Bedrohung und es gibt dazu auch Expertenumfragen. Im Mittel schätzen 50% aller Experten, dass bis 2050 derartige KI zur Verfügung steht. Das heißt, dass das was wir in den USA beobachtet haben mit dem vorgeschlagenen Moratorium ist natürlich richtig, also um das Thema muss man sich Gedanken machen aber es ist meiner Meinung nach nicht das einzige Problem. Wir haben viele andere konkrete Probleme und vor allem ethische Herausforderungen in dem Bereich der Generativen KI, um die wir uns schon heute kümmern sollten und eigentlich auch müssen. Deswegen ist dieses Moratorium vom Ziel und von der Intention her schon richtig, aber von den Gründen die dahinterstecken noch nicht ausreichend. Da sollten auch Themen wie Bias, Datenschutz, gesellschaftliche Veränderung durch Desinformation und andere Einflussnahmen, die durch Generative KI möglich sind, betrachtet werden.

Ich kann noch erwähnen, dass wir selbst eine Umfrage zu dem Thema durchgeführt haben. Wir haben im März 270 Personen befragt. 37% der Befragten hatten schon von ChatGPT gelesen oder gehört und 18% hatten ChatGPT bereits selbst genutzt.
46% sagen, dass sie die Technologie als mindestens eine gewisse Bedrohung, wenn nicht sogar als eine sehr große Bedrohung einschätzen. Das ist natürlich bezeichnend und daran kann man schon ablesen, dass selbst Leute, die sich damit noch nicht intensiv auseinandergesetzt haben, dennoch gewisse Bedenken haben, wenn es um Generative KI oder KI als solches geht.

Wir haben dann in dieser Umfrage noch weiter gefragt und zwar, um herauszufinden, was diese Bedenken sein könnten. Dabei stellt sich raus, dass 23% der Befragten erwarten, dass dieses Thema sie besonders im Arbeitsumfeld betreffen wird, 20% sagen, dass es sie auch irgendwo in öffentlichen Zusammenleben betreffen wird, und zwar, weil es Effekte und Auswirkungen auf die Politik und die Rechtsstaatlichkeit haben wird. Dazu haben auch 29% ganz konkret Angst vor dem Jobwegfall und immerhin 31% sagen, dass sie eine Zunahme der Qualität und Quantität von Cyberbedrohungen und Cyberangriffen erwarten.

Abschließend hatten wir dann auch gefragt wie die Fähigkeit von KI eingeschätzt wird. Darauf antworten 77%, dass sie die Technologie als sehr gut bis mittelmäßig empfinden, also als durchaus fähig. Das steht natürlich sehr wahrscheinlich in einem Zusammenhang mit den zuvor genannten Ängsten. Das haben wir also als einfache Umfrage gemacht. Die Leute haben sich auf freiwilliger Basis gemeldet, ein bestimmtes Interesse bestand also schon an dem Thema, nichtsdestotrotz spiegelt das aber natürlich wieder, dass das Thema Generative KI und ChatGPT die Allgemeinheit und die Öffentlichkeit umtreibt.

GSM: Gerade letzte Woche gab es ein Fake-Interview von Michael Schumacher. Was sind Ihre Gedanken dazu und wie können Lösung von KnowBe4 verwendet werden um solche Aktionen zu verringern oder zu kontrollieren?

Dr. Martin J. Krämer Solche Fake-Interviews mit der Verwendung von Sprachsynthese und Deepfakes und vermutlich auch von durch generative KI generierte Skripten oder Interviewabläufen sind natürlich eine sehr ernst zu nehmende Bedrohung.
Diese Artikel und Videos sehen ja wirklich absolut täuschend echt aus und damit erreichen sie natürlich die Betroffenen auf einem ganz anderen Level. Um das kurz einzuordnen: Wir sind seit einigen Jahrzehnten damit vertraut, dass wir ab und zu Fake-Anrufe bekommen. Zum Beispiel nach dem Motto „Sie waren in einem Autounfall verwickelt und sie müssen die Versicherung noch bezahlen“. Meistens ist das eine Roboterstimme vom Band und man selbst hat gar kein Auto. Diese Art der Offensichtlichkeit, dass es sich um einen Betrugsversuch handelt, geht ein bisschen verloren. Jetzt haben wir auf einmal wirklich perfekt nachgeahmte Stimmen, perfekt nachgeahmte Videos und natürlich gerade auch durch ChatGPT, mit absoluter Überzeugung ausgedruckte Botschaften. Und das ist natürlich eine ganz andere Bedrohungslage.

3 Schritte würde ich da im wesentlichen benennen, wie man mit generativer KI und der Cybersicherheit umgeht:
– Es muss eine Aufklärung der Öffentlichkeit stattfinden, aber dazu muss die Öffentlichkeit einbezogen werden, es musst diskutiert werden
– Die Organisationen dürfen gerne dazu beitragen, indem sie ihren Mitarbeitenden zur Cyberabwehr befähigen. Denn diese Mitarbeitenden beschäftigen sich mit dem Thema auch im Privatumfeld und helfen somit auch der allgemeinen Öffentlichkeit.
– Drittens und ganz entscheidend: es braucht natürlich Regulierung, rechtliche und weitere Rahmenbedingungen. Der graue Bereich indem wir uns bewegen musst proaktiv gestaltet werden.

Das Thema wird nicht an Komplexität verlieren und es werden immer unvorhergesehene Dinge auftauchen mit denen sich die Gesellschaft, die Politik und die Privatwirtschaft auseinander setzen müssen. Von daher ist der Schlüssel proaktiv zu sein.

Jetzt zur Frage was man im Bereich Security Awareness Training tun kann:

Das betrifft natürlich die Öffentlichkeit, es gibt ja auch öffentliche Organisationen, wie den Verbraucherschutz, oder wie das BSI, die sich mit dem Thema Security Awareness Training für die Öffentlichkeit auseinandersetzen. KnowBe4 arbeitet in dem Zusammenhang auch in der vom BSI initiierten Allianz für Cybersicherheit. Darüber leisten wir einen gewissen Beitrag und sind bereit da weiter aktiv mitzuhelfen. Denn was im Security Awareness Training getan werden kann, ist eine hochgradige Sensibilisierung für diese Inhalte. Es erscheint heutzutage so, dass nur eine gewisse Anzahl von neugierigen Menschen auf entsprechende Videos stößt, wenn sie nicht gerade in die Tagesschau laufen. Das kann man vorwegnehmen, indem man häufiger mal diese qualitativ hochwertigen Fälschungen im Rahmen des Trainings am Arbeitsplatz sieht.
Dann muss sich das Security Awareness Training auch die Frage stellen, was sich durch die generative KI an der Bedrohungslage verändert. Da muss man schauen, wozu die KI in der Lage ist. Man kann jetzt auf jeden Fall schon sagen, dass alles was mit Texten und auch Personalisierung von Texten zu tun hat, z.B. Spear Phishing, an Qualität enorm hinzugewinnen wird, da die KI in der Lage ist, strukturierte Texte – mehr oder weniger gut recherchiert aber manchmal wirklich auch mit faktenbasiertem Inhalt – sehr überzeugend darzustellen.

Auch die Quantität wird zunehmen, da das Tool an sich sehr einfach zu bedienen ist. Wenn man natürlich fragt „Bitte schreibe eine Phishing-Mail“, dann wird das natürlich rausgefiltert und aus ethischen Gründen von ChatGPT abgelehnt. Das lässt sich aber über gezieltes Prompt Engineering umgehen. Das heißt das Tool wird auch von Cyberkriminellen für diese Zwecke ganz bewusst eingesetzt und ermöglicht eine hochgradige Effizienzsteigerung. Wir dürfen also ein höheres Ankommen an Phishing-Mails, die qualitativ hochwertiger sind, absolut erwarten.

Was jetzt die Phishing-Mails konkret angeht, sind die üblichen Red Flags zum Teil immer noch die gleichen : die falsche Emailadresse, eine nicht verifizierte Adresse ohne den DMARC-Stempel drauf, eine ungewöhnliche Anfrage, die ungewöhnlich dringend erscheint und auf meine Emotionen oder auf mein Pflichtgefühl anspielt, eine Anfrage von der ich vorher nie etwas wusste oder die über meine eigene Verantwortung und Rolle hinausgeht…

Die Sensibilisierung dafür, das Misstrauen und die Sorgfaltspflicht, die wir uns durch das Security Awareness Training antrainieren, all das zählt und gilt noch, und ebenso auch die Lösungsansätze. Zum Beispiel, dass man mal zum Telefonhörer greift und bei dem Sender der E-Mail nachfragt, ob diese E-Mail wirklich echt ist. Von dah ist das Training vor allem damit konfrontiert, sich an diese neuartigen Phishinginhalte anzupassen, und genau das geschieht auch. KnowBe4 hat zum Beispiel schon Lerninhalte zum Thema Deepfakes. An der grundsätzlichen Notwendigkeit und an dem grundsätzlichen Effekt von Security Awareness Training wird sich erstmal nichts ändern.

GSM: Was macht Security Coach aus?

Dr. Martin J. Krämer:Ich habe eingangs erwähnt, dass Security Awareness Training eigentlich mehr als nur Awareness, mehr als nur Sensibilisierung ist. Und zwar sprechen wir ja ganz oft auch von den ABCs, also Awareness, Behavior und Culture. Mit Security Awareness Training gehen wir ganz bewusst den Schritt in Richtung Behaviour. Das heißt, wir identifizieren ganz bewusst Verhaltensweisen, die unsicher sind, und versuchen diese ganz bewusst durch Aufklärung zu sicheren Verhaltensweisen umzuwandeln.

Dabei muss man sich zunächst vor Augen führen, dass es im Rahmen der Verhaltensforschung ein ganz bekanntes Problem gibt, und zwar die Intentions-Verhaltens-Lücke. Nur weil ich weiß, dass ein gewisses Verhalten besser ist, bedeutet das nicht, dass ich mich auch danach ausrichte. Manche nehmen sich ja vor, im Januar ins Fitnessstudio gehen und im Februar sind sie schon wieder verschwunden. Das heißt, es braucht mehr, um gute Gewohnheiten wirklich zu erlernen. Wichtig dafür ist Motivation und die Möglichkeit die Sinnhaftigkeit eines Verhaltens zu verstehen. Das „Warum ist etwas besser?“ kann ich mit einem reinen Sensibilisierungstraining schon vermitteln, um dann aber eine Verhaltensweise wirklich zu erlernen und beizubehalten, brauche ich repetitives Lernen, situatives Feedback und das ganze wirklich auch zielgerichtet über einen längeren Zeitraum. Genau da setzt Security Coach an.

Betrachten wir als Beispiel das Teilen von Dokumenten, z. B. über Google Drive, nicht mit einer bestimmten Person, sondern aus Bequemheitsgründen mit dem gesamten Internet. Das ist natürlich nicht konform mit den Datenschutzrichtlinien eines Unternehmens. Security Coach setzt genau hier an, denn dieses Teilen würde im Hintergrund im Security Stack eine Meldung verursachen, die dann von Security Coach aufgegriffen und verarbeitet wird. Security Coach verlinkt solch eine Bedrohungsmeldung mit einem Security Awareness Training, das der Person, die die unsichere Aktion durchgeführt hat über Slack, Microsoft Teams oder über E-Mail, zugetragen wird.

Ich habe es selber mal aus Versehen getan und ein Dokument mit dem gesamten Internet geteilt. Innerhalb von drei Sekunden hatte ich eine Nachricht auf Slack, mit der Nachfrage, ob meine Aktion beabsichtigt war und falls ja, dass ich mir dann bitte der Implikationen bewusst sein solle. Wenn ich immer noch meine, dass diese Aktion ausgeführt werden soll, dann bitte hier nochmal bestätigen, und wenn nicht, überhaupt gar kein Thema, bitte einfach ändern. So wird also auf recht einfühlsame Art und Weise dafür gesorgt, dass die Security Teams ein Helferlein haben, das sie bei der Abarbeitung dieser Meldungen unterstützt. Das ist ein besonders wichtiger Punkt. Die Leute in den Security Operations Centern bekommen ja tausende Meldungen pro Tag, mit denen sie umgehen müssen. Durch die gezielte Verwendung dieser Meldungen zur Schulung der Mitarbeitenden, lässt sich die Anzahl dieser Meldungen mittelfristig reduzieren.

GSM: Haben Sie eine Botschaft für unsere Lehrer?

Dr. Martin J. Krämer: Ja, auf jeden Fall. Die generative KI ist Chance und Herausforderung zugleich, gerade auch im Bereich der Cybersecurity.
Wir haben alle im privaten und im beruflichen Bereich den Umgang mit den neuen Medien, mit neuen Techniken, mit neuen Bedrohungslagen und Herausforderungen gelernt, und wir werden das auch im Bereich der generativen KI meistern können. Es handelt sich schon um eine revolutionäre Technologie aber nicht um eine, die jetzt grundsätzlich die Bedrohungslage derart verändert, dass wir hilflos oder aufgeschmissen wären. Vielmehr können wir über Security Awareness Training, über Maßnahmen die bereits ergriffen worden sind, und sicherlich auch über neue Lerninhalte und komplementär ergänzt mit neuen Technologien, dieser Herausforderung sehr bewusst und sehr zielgerichtet begegnen.

Die Frage, ob generative Intelligenz sich nicht selbst verteidigen würde, würde ich verneinen. Egal welche Technologie, das menschliche Element bleibt und wird immer die Technologie austricksen können.
Das menschliche Element kann man nicht mit Technologie ersetzen und es ist essenziell, dass die Menschen wissen was sie tun.