In der Welt der Informationssicherheit sind fünf Jahre eine Ewigkeit. Werfen wir einen Blick zurück auf das Jahr 2020: Wir waren beschäftigt mit der Absicherung von VPNs für das Home-Office und warnten Mitarbeiter vor E-Mails mit kryptischen Betreffzeilen und schlechter Grammatik.

Heute, im Jahr 2025, wirkt diese Zeit fast nostalgisch einfach.

Als Auditor und Berater für Informationssicherheit sehe ich täglich, wie sich die Angriffsvektoren verschieben. Während die Anzahl der Angriffe stetig steigt, ist es vor allem die Qualität, die mir Sorgen bereitet. Meine Einschätzung für die aktuelle Risikolage ist deutlich: Die Bedrohungswirksamkeit durch Social Engineering ist im Vergleich zu vor fünf Jahren um 400 % gestiegen.

In diesem Artikel analysiere ich faktenbasiert, warum KI (Künstliche Intelligenz) als „Force Multiplier“ für Kriminelle wirkt und warum Ihr ISMS nach ISO 27001 dringend ein Update benötigt.

Die „400 Prozent“-These: Quantität trifft auf maximale Qualität

Warum nenne ich den Faktor 400 Prozent? Diese Zahl beschreibt den Zuwachs an Erfolgswahrscheinlichkeit und Skalierbarkeit eines Angriffs. Früher standen Hacker vor einem Trilemma: Ein Angriff konnte entweder schnell, billig oder hochwertig sein. Nie alles gleichzeitig. Generative KI (GenAI) hat dieses Dreieck aufgelöst.

1. Das Ende der Sprachbarriere (LLMs)

 

Bis ca. 2022 waren Phishing-Mails aus dem Ausland oft an holprigem Deutsch erkennbar. Large Language Models (LLMs) wie GPT-4o oder deren unzensierte Derivate im Darknet formulieren heute Texte, die rhetorisch brillanter sind als die vieler Muttersprachler.

Fakt: Laut Berichten von Sicherheitsanbietern wie Darktrace oder SlashNext stieg das Volumen von hoch-personalisiertem Business Email Compromise (BEC) seit Einführung von ChatGPT massiv an.

2. Automatisierte Aufklärung (Reconnaissance)

 

Ein „Spear Phishing“-Angriff auf einen CEO erforderte früher Tage an Recherche. Heute übernehmen KI-Agenten diese Arbeit. Sie scrapen LinkedIn-Profile, analysieren den Schreibstil des Opfers in sozialen Medien und erstellen in Sekunden eine Nachricht, die Bezug auf den letzten Geschäftsbericht oder den gestrigen Post nimmt.

3. Der Deepfake-Schock

 

Was vor 5 Jahren Hollywood-Studios vorbehalten war, ist heute „Commodity“. Ein beunruhigendes Beispiel aus der Praxis: Bereits Anfang 2024 überwies ein Mitarbeiter in Hongkong 25 Millionen Dollar an Betrüger, weil er an einer Videokonferenz teilnahm, in der alle anderen Teilnehmer (inklusive des CFOs) Deepfakes waren. Quelle: CNN Report zum Hongkong Deepfake Fall (Bitte Link prüfen/aktualisieren, falls nötig).

Dies ist der Punkt, an dem wir von 400 % sprechen: Wenn ich meinen eigenen Augen und Ohren nicht mehr trauen kann, ist das Sicherheitsniveau von 2020 faktisch nutzlos.

Audit-Hinweis: Wenn Ihre Risikoanalyse (Risk Assessment) „CEO Fraud“ noch mit der Wahrscheinlichkeit „Gering“ bewertet, weil „unsere Mitarbeiter den Chef kennen“, ist Ihr ISMS veraltet.

Der blinde Fleck im ISO 27001 Audit

Unternehmen, die ein ISMS nach ISO/IEC 27001:2022 betreiben, müssen ihre Controls (Maßnahmen) im Anhang A kritisch hinterfragen. Die Norm ist exzellent, aber ihre Umsetzung hinkt der technologischen Realität oft hinterher.

Hier sind die drei Bereiche, die ich in Audits am häufigsten bemängele:

A.6.3 Information Security Awareness

 

Das klassische E-Learning („Klicken Sie nicht auf die Rechnung.exe“) reicht nicht mehr.

  • Problem: Wir trainieren Mitarbeiter auf visuelle Erkennung (Pixelige Logos, falsche Absender). KI fälscht diese jedoch perfekt.

  • Lösung: Wir müssen auf psychologische Muster und Prozesse schulen. Erzeugt die Nachricht Druck? Wird eine Abweichung vom Standardprozess gefordert?

A.5.1 Policies & A.8.14 Redundancy

 

Ein ISMS lebt von Prozessen. Gegen Deepfakes hilft keine Firewall, sondern nur ein „Out-of-Band“-Verifizierungsprozess.

  • Beispiel: Eine Anweisung des CEO zur Eilüberweisung per Telefon/Video muss zwingend über einen zweiten Kanal (z.B. Messenger oder Rückruf auf interner Nummer) bestätigt werden. Dieser Prozess muss schriftlich fixiert und getestet sein.

A.5.7 Threat Intelligence

 

Verlässt sich Ihr Unternehmen nur auf Virenscanner-Signaturen? Das BSI warnt regelmäßig im Lagebericht zur IT-Sicherheit in Deutschland vor der zunehmenden Professionalisierung der Angreifer. Ein modernes ISMS muss „Threat Intelligence“ nutzen, um zu verstehen, ob die eigene Branche gerade im Fokus von KI-Kampagnen steht. Quelle: BSI Lageberichte

Was jetzt zu tun ist: Von Cyber Security zu Cyber Resilienz

Wir müssen akzeptieren: Der „Perimeter“ ist gefallen. Der Angreifer wird den Mitarbeiter erreichen – per Mail, per Teams-Call oder per Telefon.

Um die Sicherheit wiederherzustellen, empfehle ich folgende Schritte für Ihre ISMS-Roadmap:

  1. Zero Trust für Kommunikation: Vertrauen Sie keiner Stimme und keinem Videobild ungeprüft, wenn es um kritische Assets (Geld, Daten) geht.

  2. KI-gestützte Abwehr: Nutzen Sie Tools, die KI mit KI bekämpfen. Moderne E-Mail-Gateways analysieren nicht nur Anhänge, sondern die Semantik des Textes („Klingt das wie unser CEO?“).

  3. Auditierung der „Human Firewall“: Führen Sie Phishing-Simulationen durch, die dem Niveau von 2025 entsprechen. Nutzen Sie (in sicherem Rahmen) Deepfake-Stimmen, um zu testen, ob Ihre Buchhaltung reagiert oder verifiziert.

Fazit des Experten

Die KI hat die Spielregeln der Cyberkriminalität neu geschrieben. Die Werkzeuge der Angreifer sind billiger, besser und schneller geworden.

Ein ISMS ist kein statisches Zertifikat für die Wand, sondern ein lebendes System (PDCA-Zyklus). Wenn Sie Ihre Maßnahmenkataloge nicht an die Realität der generativen KI angepasst haben, klafft eine Sicherheitslücke in Ihrem Unternehmen, die weit größer ist als jede offene Firewall-Port.

Die gute Nachricht: ISO 27001 bietet den Rahmen, um genau diese Anpassungen vorzunehmen. Nutzen wir ihn.

Ist Ihr Unternehmen gegen KI-basierte Angriffe gehärtet?

Als Auditor unterstütze ich Sie dabei, Ihre Risikoanalysen zu schärfen und Ihr ISMS „Deepfake-Proof“ zu machen. Warten Sie nicht auf den ersten Vorfall.