Täuschen, tricksen, hintergehen: Cyberkriminelle setzen immer stärker darauf, gezielt Menschen ins Visier zu nehmen, um Unternehmensdaten zu erbeuten. Besonders gefährlich ist dies, wenn sich Hacker dabei Technologien wie etwa der Künstlichen Intelligenz (KI) bedienen. KI bildet die Grundlage für sogenannten Deepfakes, bei denen täuschend echte Video- und Audioaufnahmen entwickelt werden, um Menschen gezielt hinters Licht zu führen. Welche Bedeutung KI hierbei spielt und wie sich Unternehmen vor Deepfakes schützen können, das lesen Sie in unserem aktuellen Blogbeitrag.
Wortherkunft: Deepfakes
Deepfakes stehen für täuschend echte Medieninhalte, die durch den Einsatz von KI manipuliert und anschließend mit kriminellen Absichten verbreitet werden. „Deep“ steht hierbei für die sogenannten tiefen neuronalen Netze, die der Struktur des menschlichen Gehirns gleichen und in der Lage sind, komplizierte Aufgaben zu erlernen. Der Ausdruck „Fake“ bedeutet Fälschung.
Wie werden Deepfakes erstellt?
Das Stichwort bei der Erstellung von Deepfakes lautet „Machine Learning“, einem Teilgebiet der KI. Dieses hilft IT-Systemen dabei, Regelmäßigkeiten bzw. Muster auf Basis vorhandener Datensätze zu erkennen und hieraus neue Lösungen zu entwickeln. Cyberkriminelle nutzen entsprechend bestehendes Bild- und Tonmaterial, um dieses in ihrem Sinne zu verändern. Durch das kontinuierliche automatisierte Lernen der KI wird die Imitation immer authentischer. Ist eine Video- oder Audiodatei final erstellt, ist es für Laien nahezu unmöglich, zwischen Original und Fälschung zu unterscheiden.
Wie Deepfakes Unternehmen bedrohen
In den letzten Jahren haben sich Deepfakes zu einer immensen Bedrohung für private wie öffentliche Unternehmen entwickelt. Hacker nehmen Unternehmen ins Visier, um zum Beispiel Zugriff auf Kontoverbindungen, Verträge, Patente etc. zu erhalten oder auch um sich sensible Kundendaten zu beschaffen.
Deepfakes setzen sie dabei auf unterschiedlichste Art und Weise ein:
- C-Level-Fraud: Hacker nutzen hierbei Fake-Anrufe von Führungskräften, bei denen der Anrufende die Stimme des CEO oder auch CFO imitiert. Unter Verwendung falscher Identitäten werden Mitarbeiter zur Überweisung von hohen Geldsummen aufgefordert. Aufgrund der Imitation von vermeintlichen C-Level-Managern ist dies gerade in hierarchisch-geprägten Unternehmen, in denen Management-Entscheidungen kaum hinterfragt werden, besonders erfolgsversprechend. Auf diesem Weg ist es beispielsweise Cyberkriminellen gelungen, einen Mitarbeiter eines britischen Energieversorgers dazu zu bringen, 220.000 Euro auf ein ungarisches Konto zu überweisen – auf Anweisung eines Anrufs des vermeintlichen Vorstandsvorsitzenden.
- Deepfake-Erpressung: Hierbei setzen Cyberkriminelle auf fingierte Aussagen, zum Beispiel durch die Herstellung eines gefälschten CEO-Videos, in dem er von angeblich schweren Verfehlungen des eigenen Unternehmens berichtet, die zu einem Aktiencrash führen könnten. Mit der Drohung, das Video zu veröffentlichen, versuchen Cyberkriminelle das Unternehmen zu erpressen.
- Voice-ID-Systeme: Banken, Versicherungen oder andere Finanzdienstleister setzen immer häufiger telefonische Legitimationen ein, bei denen Nutzer anhand ihrer Stimme identifiziert werden. Mithilfe von Deepfakes können Cyberkriminelle die Stimmen von Top-Managern imitieren und so Zugang zu Konten erhalten.
Eine besondere Gefahr liegt darin, dass die Realisierung von Deepfakes heute keine zeit- oder kostenaufwendige Herausforderung mehr darstellt. Im Gegenteil: Einfache Video-Deepfakes können mit im Internet frei verfügbaren Tools und zu überschaubaren Kosten erstellt werden. Damit wird die Gefahr, Opfer einer Deepfake-Attacke zu werden, immer größer. Was also können Unternehmen tun, um sich hiergegen zu schützen?
Gut geschulte Mitarbeiter als Basis gegen Deepfake-Attacken
Am wichtigsten für Unternehmen ist es, die eigenen Mitarbeiter für den Umgang mit Deepfakes zu sensibilisieren. Folgende Punkte sind hierbei besonders wichtig:
- Stellen Sie sicher, dass Ihre Mitarbeiter die unterschiedlichen Einsatzmöglichkeiten von Deepfakes kennen!
- Schulen Sie Ihre Mitarbeiter, woran sie potenzielle Deepfakes erkennen können, etwa:
o Ruckartige Bewegungen
o Seltsames oder gar kein Blinzeln
o Fehlende Synchronität von Lippen und Sprache
o Digitale Artefakte im Bild
- Sorgen Sie für ein gesundes Maß an Skepsis bei Sprachnachrichten und Videos
- Integrieren Sie ein Vier-Augen-Prinzip bei Kostenfreigaben nach ungewohnten Zahlungsaufforderungen
Schulungen für Sensibilisierung von Mitarbeitern
Seminare und Workshops stellen adäquate Formate dafür dar, um den Mitarbeitern hierzu das notwendige Wissen zu vermitteln. Die Kenntnisse der Belegschaft sollten dabei regelmäßig überprüft und laufend aktualisiert werden, denn Cyberkriminelle entwickeln kontinuierlich neue Formen, mit Deepfakes die „Schwachstelle Mensch“ auszunutzen.
Als Spezialist auf dem Gebiet der IT-Sicherheit bietet Allgeier CyRis umfangreiche Awareness-Trainings und Sensibilisierungsmaßnahmen für Führungskräfte und Mitarbeiter an: Auch das Thema „Deepfakes“ spielt hierbei zunehmend eine Rolle. Dieses ist eingebettet in umfangreiche Schulungen zum Thema „Security Awareness“, mit denen Angestellte für die stetig steigenden Gefahren durch Cybercrime sensibilisiert werden. Hiermit bietet Allgeier die Möglichkeit, das Sicherheitsbewusstsein gezielt zu fördern und somit die Gefahr von Deepfakes-/Cyberangriffen zu minimieren.
Fazit
Cyberattacken via Deepfakes sind zwar noch nicht so ausgereift wie beispielsweise die bekannte Ransomware – dennoch werden die durch Künstliche Intelligenz manipulierten Video- und Audioaufnahmen vermehrt eingesetzt, um sensible Unternehmensdaten zu erbeuten und somit erhebliche Schäden zu verursachen. Unternehmen und Organisationen sollten sich rechtzeitig mit der neuartigen Bedrohung auseinandersetzen und ihre Mitarbeiter darüber informieren und schulen, um im Ernstfall entsprechend reagieren zu können – denn auch hier lautet die Devise: Vorsicht ist besser als Nachsicht.
