Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Schon seit Jahren nimmt die Zahl der Cyberangriffe auf IT-Infrastrukturen des Health Care-Sektors kontinuierlich zu. Den Ausgangspunkt der Cyberangriffe bilden dabei in aller Regel zuvor erfolgreich abgeschlossene Phishing-Angriffe. In letzter Zeit werden diese immer häufiger unter Zuhilfenahme von KI-Tools durchgeführt.

Vor kurzem hat der politische Berater Zack Martin hierzu einen lesenswerten Beitrag  verfasst, der Aufmerksamkeit verdient. In ‚AI Is Supercharging Phishing Scams – Are Hospitals Ready? prognostiziert er eine Fortsetzung des rasanten Anstiegs der Phishing-Angriffe auf den Gesundheitssektor. Der zunehmende Einsatz von KI habe Phishing-Angriffe – auch und gerade auf die Gesundheitsbranche – effektiver und effizienter gemacht. Gesundheitsorganisationen rät er, sich entsprechend vorzubereiten und die eigene Abwehr zu stärken.

Im zweiten Quartal des vergangenen Jahres ist die Zahl der entdeckten Phishing-Vorfälle rasant angewachsen: um mehr als 700 Prozent. Dieser drastische Anstieg hatte und hat einen einfachen Hintergrund: die zunehmende Verfügbarkeit generativer KI-Tools. Cyberkriminelle nutzen sie in wachsendem Maße für ihre Phishing-Kampagnen – um manipulative E-Mails und Fake-Anmeldeseiten zu erstellen, mit denen sie dann Mitarbeiter und Patienten manipulieren und deren Nutzerkonten kompromittieren können. Gerade im Gesundheitswesen, wo der Grad der digitalen Kompetenz häufig sehr ungleich verteilt ist und viele sensible und hochsensible Daten im Umlauf sind, ist das Risiko hoch, kann der Schaden schnell eine bedenkliche Größenordnung erreichen. Datenverstöße, Ransomware-Befall und Systemausfälle, bis hin zum Stillstand des gesamten Betriebs, können die Folge sein.

Unter Zuhilfenahme generativer KI-Tools können Angreifer schnell, unkompliziert, überzeugend – und skalierend – E-Mails erstellen, die interne Kommunikationen nachahmen, den Ton und die Formatierung offizieller Krankenhauskorrespondenz imitieren und innerhalb von Sekunden äußerst realistische Fake-Anmeldeseiten erstellen. Die KI-generierten Köder sind dabei darauf ausgelegt, das Vertrauen der Mitarbeiter und Patienten an ihre Gesundheitseinrichtung auszunutzen. Entsprechend hoch ist die Wahrscheinlichkeit, dass ein Opfer, ohne zu zögern, auf einen Link klickt oder sensible Anmeldedaten eingibt. Um der zunehmenden Flut von KI-gestütztem Phishing- und Social Engineering-Angriffen entgegenzuwirken, müssen Gesundheitsorganisationen, so Martin, ihre Abwehrmaßnahmen von Grund auf überdenken.

Er schlägt vor:

• perimeterbasierte Sicherheitsmodelle durch identitätsbasierte Sicherheitsmodelle zu ersetzen,
• eine starke, Phishing-resistente Authentifizierung (zum Beispiel Passkeys) oder eine Multi Faktor-Authentifizierung (MFA) zu integrieren,
• Zero-Trust-Prinzipien einzuführen und
• die eigene Mitarbeiter kontinuierlich zu schulen.

Vor allem dem letzten Punkt kann hier nur ausdrücklich zugestimmt werden. Die gesamte Health Care-Belegschaft muss in die Lage versetzt werden, noch die subtilsten Anzeichen von Social Engineering, von Phishing und Spear Phishing zu erkennen – bevor es zu spät ist. Doch werden im Zeitalter der KI Trainings und Tests allein nicht genügen. Ein wichtiger Punkt fehlt in Martins Aufzählung:

• Anti-Phishing-E-Mail-Sicherheitslösungen.

Denn mit mehr Sicherheitsbewusstsein allein wird sich der zunehmende Einsatz von KI auf Seiten der Cyberkriminellen, der Qualität und Umfang der Phishing-Angriffe immer weiter in die Höhe treiben wird, nicht bändigen lassen. Um einen zusätzlichen Einbau professioneller Anti-Phishing-E-Mail-Sicherheitslösungen werden Health Care-Unternehmen nicht herumkommen. Effektiv helfen kann ihnen ein modernes Human Risk Management . Dessen Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. Moderne Anti-Phishing-E-Mail-Technologien kombinieren KI mit Crowdsourcing, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, ihre Human Risks zurückzufahren und ihre Mitarbeiter zu ihrer besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen.