Schäden durch KI: Wann zahlt die Cyberversicherung?
procontra: Im Internet kursieren immer mehr durch künstliche Intelligenz gefertigte Fake-Videos. Wenn man mal an die Fake-President-Masche denkt – für wie gefährlich halten Sie solche Deepfakes für Unternehmen?
Gisa Kimmerle: Der Faktor Mensch ist nach wie vor einer der wesentlichen Aspekte für IT-Sicherheit. Denn eine Vielzahl von Angriffen erfolgt durch Social Engineering, also die psychologische Manipulation von Personen, um sie dazu zu bringen, vertrauliche Informationen preiszugeben oder bestimmte Handlungen auszuführen. Diese Taktik von Cyber-Kriminellen macht sich menschliche Schwächen und Vertrauen zunutze, anstatt technische Schwachstellen auszunutzen. Und hier spielt die Künstliche Intelligenz natürlich eine große Rolle.
procontra: Also können sich aus KI-Deepfakes auch Schäden im Bereich der Cyberversicherung ergeben?
Kimmerle: Ja, absolut, denn mit deren Hilfe können nicht nur sehr schwer erkennbare Phishing-Mails erstellt werden, sondern auch Telefonanrufe oder sogar ganze Webkonferenzen gefaked werden. Damit können sich Hacker als vertrauenswürdige oder bekannte Personen ausgeben und dadurch beispielsweise Zugangsdaten abgreifen, Zahlungen auf eigene Konten umleiten – der sogenannte Zahlungsmittelumleitungsbetrug oder payment division fraud – oder auch sensible Finanz- oder Unternehmensinformationen erhalten.
procontra: Welcher Baustein in der Cyber-Police ist entscheidend, damit solche Attacken versichert sind?
Kimmerle: Wichtig ist immer, dass es sich um einen versicherten Auslöser handelt und die Bedingungswerke keinen expliziten Ausschluss für KI beinhalten. Ein Beispiel: Wenn durch Ausnutzung von KI ein unzulässiger Zugang zu einem Netzwerk erlangt wird, kann dies einen versicherten Schaden nach sich ziehen. Die Art der abgedeckten möglichen Schäden kann vielfältig sein: von Verschlüsselung der Systeme, um etwa Lösegeld zu erpressen, bis hin zum schon erwähnten Zahlungsmittelumleitungsbetrug, den wir immer häufiger sehen. Als Versicherer arbeiten wir aufgrund der dynamischen Entwicklung von Cyber-Risiken mit einer nicht-abschließenden Aufzählung von Cyber-Triggern, also Schadenursachen im Bereich der Netzwerksicherheitsverletzungen, um Unternehmen auch bei neuartigen Risiken wie Künstlicher Intelligenz Deckung zu bieten.
Dies alles sollte eigentlich absoluter Standard sein – ist es in der Praxis aber leider häufig noch nicht.Gisa Kimmerle
procontra: Haben Sie es bereits vielfach mit solchen Schäden zu tun?
Kimmerle: Bisher sehen wir bei Hiscox zwar noch nicht massenhaft Schadenfälle unter Einsatz von solchen Deepfakes, da diese doch noch recht aufwendig zu erstellen sind. Es handelt sich allerdings um eine neuartige Gefahr, die wir sehr genau im Auge behalten. Ganz klar ist, dass die Nutzung von KI generell, zum Beispiel zur Erstellung von Schadsoftware oder Phishing-Mails, immer intensiver genutzt wird. Aber nicht in jedem Fall kann auch erkannt werden, ob KI zum Einsatz kam.
procontra: Wie gefährlich ist KI generell für Unternehmen?
Kimmerle: Wir befinden uns quasi in einem konstanten Wettrennen zwischen Angreifer und Abwehrseite, und da spielt KI für beide Seiten eine immer wichtigere Rolle: Angreifer nutzen sie für effiziente und effektive Angriffe. In der Abwehr wird KI etwa zur schnelleren Erkennung von Anomalien oder Schadsoftware eingesetzt. Jedoch haben Angreifer den Vorteil, dass sie natürlich keine Regulierung oder Gesetze beachten müssen, und haben daher oft die Nase vorn.
procontra: Wie können sich Unternehmen, abseits einer Cyberversicherung, gegen KI-Deepfakes und andere auf KI basierende Cyber-Attacken schützen?
Kimmerle: Der wirksamste Schutz ist die Awareness – also dass Mitarbeiter laufend informiert und geschult werden, was die neusten Tricks der Angreifer sind. Um zum Beispiel dem immer stärker grassierenden Zahlungsbetrug Herr zu werden, hat sich die Einrichtung eines 4-Augen-Prinzips für Überweisungen bewährt. Insbesondere wenn es eine Änderung von Zahlungsdaten gibt oder etwas anderes dubios erscheint, sollte eine persönliche telefonische Nachfrage standardmäßig durchgeführt werden, bevor etwas gezahlt wird. Auch ein hohes Maß an Basic-IT-Security ist zur Vermeidung von Angriffen sehr wichtig, also etwa Firewalls, Virenscanner, sichere Passwörter, die regelmäßig geändert werden oder ein Zugangs-Management, das sicherstellt, dass nur autorisierte Personen auf sensible Daten und Systeme zugreifen können. Dies alles sollte eigentlich absoluter Standard sein – ist es in der Praxis aber leider häufig noch nicht. Trotz allem wird es immer ein Restrisiko geben, und dafür ist der Abschluss einer Cyber-Versicherung sehr ratsam – denn außer finanzieller Unterstützung erhält man bei guten Cyber-Policen im Ernstfall auch zeitnahe Unterstützung von IT-Forensikern, Datenschutzanwälten oder Krisenkommunikations-Experten. Alles Profis, die man ohne bestehendes Netzwerk der Versicherung nicht leicht finden und beauftragen kann.