Die potenziellen Schäden von Cyberattacken sind nach Einschätzung des Rückversicherers Munich Re mittlerweile so groß, dass vorbeugende Schutzschirme sinnvoll wären. Die von "katastrophalen systemischen Ereignissen" - etwa Cyberkrieg oder der Ausfall kritischer Infrastruktur - verursachten Schäden würden die Kapazitäten der Versicherungsbranche übersteigen, schreiben die Fachleute des Münchner Dax-Konzerns in einem am Donnerstag veröffentlichten Bericht zur Cyberkriminalität.
Da derartige Szenarien demnach die makroökonomische Stabilität bedrohen könnten, plädiert das Unternehmen für die Einbindung von Regierungen, um die Risiken beherrschbar zu halten. Die Munich Re verweist auf Schätzungen der Statistikplattform Statista, wonach die von Cyberkriminalität verursachten weltweiten Schäden von gut 8 Billionen Dollar im Jahr 2023 bis 2028 auf 13,8 Billionen Dollar steigen könnten.
Zu den steigenden Risiken tragen demnach zwei Faktoren bei: Der technische Fortschritt inklusive Künstlicher Intelligenz (KI) erleichtere den Tätern das Geschäft. Zudem seien manche Staaten an Cyberangriffen direkt beteiligt oder unterstützten zumindest kriminelle Banden. Das Unternehmen nannte keine bestimmten Staaten, Sicherheitsfachleute beschuldigen häufig Russland und China.
Phishing-E-Mails als Einfallstor für Cyberangriffe
"Die Ära der generativen künstlichen Intelligenz hat gerade erst begonnen", sagt Munich Re-Cyberfachmann Martin Kreuzer. "Die Nutzung von Künstlicher Intelligenz erlaubt auch den kriminellen Akteuren Skaleneffekte durch einen qualitativ neuen Grad der Automatisierung, beispielsweise bei Phishing Mails. Diese sind auch im Jahr 2024 immer noch das mit Abstand häufigste Einfallstor für Cyberangriffe."
Im legalen Geschäftsleben bedeutet der Begriff "Skaleneffekt" Vorteil durch Größe - je mehr ein Unternehmen von einem Produkt produzieren kann, desto günstiger im Verhältnis die Herstellungskosten. Ein ähnlicher Mechanismus wirkt nach Kreuzers Einschätzung aber auch bei kriminellen Geschäften.
Phishing-E-Mails sollen die Empfänger animieren, bösartige Links zur Installation von Computerviren anzuklicken, Daten preiszugeben oder sich auf persönlichen Kontakt mit Betrügern einzulassen. "KI erleichtert auch das Personalisieren solcher Nachrichten und hilft Angreifern zu erkennen, wie sie welche Personen mit welchen Themen zielgerichtet adressieren können", sagte Kreuzer. Als Beispiel nannte der Cyberexperte automatisiertes Monitoring von Social-Media-Accounts, mit dem die Täter Informationen über potenzielle Adressaten sammeln können.
KI auf beiden Seiten nützlich
Große Hackergruppen würden künftig auch eigene generative KI entwickeln und für böswillige Zwecke trainieren, sagte Kreuzer - "etwa um Schwachstellen in der IT-Sicherheit zu entdecken".
Kreuzer betonte jedoch, dass KI nicht einseitig nur für die Täter nützlich sei, sondern auch die Abwehr erleichtern könne. "KI erlaubt andererseits aber auch effektivere Cyberverteidigung, etwa bei der Detektion von Anomalien und über automatisierte Rückmeldungen."
Generell ist der Schutz vor Cyberangriffen nach Einschätzung des Rückversicherers nach wie vor unzureichend. "Expertise im Bereich der IT-Sicherheit ist nach wie vor dünn gesät", sagte Kreuzer. "Darüber hinaus braucht es entsprechende Investitionen in die Technologien, und als dritten Schritt auch die Prozesse, um die Technologie abgestimmt auf die jeweiligen Bedürfnisse wirksam einzusetzen."
Deutschland sei "nicht das Land mit dem höchsten Digitalisierungsgrad", sagte der Cyberexperte. "Die Politik hat die Bedeutung von KI erkannt, aber noch bleibt offen, ob Wille und Budget für eine schnelle Umsetzung in Deutschland gegeben sind." (dpa/rs)