Thought Leadership
Social-Engineering-Angriffe stellen eine hohe Gefahr für die IT-Sicherheit dar, weil sie technische Abwehrmaßnahmen umgehen. Noch problematischer wird die Bedrohungslage durch KI- und ML-basierte Deepfakes, die stark im Kommen sind. Unternehmen müssen ein Bewusstsein für diese Gefahren entwickeln und Führungskräfte wie Mitarbeiter entsprechend sensibilisieren.
Auch eine ausgefeilte IT-Security-Strategie schützt nicht unbedingt vor Social-Engineering-Angriffen. Wenn Angreifer durch cleveres Social-Engineering oder -Hacking, also durch „soziale Manipulation“ der Mitarbeiter, Zugang zu unternehmenskritischen Systemen und Daten wie Domain-Controllern oder Passwörtern erlangen, sind die besten technischen Sicherheitsvorkehrungen in der Regel nutzlos.
Mit Abstand am häufigsten treten im Social Engineering Betrugsversuche mit Phishing-Mails auf, beliebt bei Hackern ist vor allem der gezielte Angriff auf wenige Personen per E-Mail, also das sogenannte Spear-Phishing. Aber auch die Gefahr des Vishings, das heißt von Phishing-Angriffen via Telefon, sollte nicht unterschätzt werden. Nicht zuletzt gibt es immer wieder Fälle, in denen Angreifer physischen Zugang zu einem Werksgelände und Firmenbüros erlangen.
Manipulierte Bilder, Videos oder Audio-Files
Solange es keine 100-prozentige technische Absicherung gegen solche Social-Engineering-Methoden gibt, wird keiner dieser Angriffe wirklich veralten. Leider sind sich viele Personen der Gefahr – selbst trotz zahlreicher Awareness-Kampagnen – nicht ausreichend bewusst. Noch komplexer wird die Sache allerdings hinsichtlich neu hinzukommender Methoden des Social-Engineerings. Und dabei sind vor allem Deepfakes stark zu beachten.
Als Deepfakes, abgeleitet aus den Begriffen Deep Learning und Fake, werden manipulierte Medieninhalte wie Bilder, Videos oder Audio-Files bezeichnet. Die dahinterstehenden Technologien wie Künstliche Intelligenz (KI) und Machine-Learning (ML)-Algorithmen haben sich in letzter Zeit rasant weiterentwickelt, sodass aktuell vielfach kaum mehr Original von Fälschung zu unterscheiden ist.
In größerem Umfang tauchten Deepfake-Videos erstmals 2017 auf; das Netz fluteten vor allem gefälschte Porno-Videos mit Hollywoodstars wie Scarlett Johansson und Emma Watson. Große Bekanntheit erlangten zudem die zahlreichen Deepfakes mit Nicolas Cage, in dem der Oscar-Preisträger nahezu in jedem Hollywoodstreifen zu sehen war, etwa als Indiana Jones oder als Forrest Gump. Und auch Politiker wurden von Deepfakes nicht verschont, etwa Angela Merkel, die in einer Rede plötzlich die Gesichtszüge von Donald Trump annimmt, oder Barack Obama, der in einem Fake-Video sagt: „President Trump is a total and complete dipshit.”
Die Deepfake-Gefahr für Unternehmen
Deepfakes von Prominenten und Politikern sind bisher die bekanntesten Beispiele, aber auch die versuchte Schädigung von Unter-nehmen wird nicht lange auf sich warten lassen. Das mögliche Angriffsszenario reicht von der Übernahme von Identitäten bis zur Er-pressung von Unternehmen.Nach Einschätzung von NTT Security sind vor allem die folgenden drei Deepfake-basierten Angriffsvarianten zu beachten:
- C-Level-Fraud
Beim C-Level-Fraud versuchen die Betrüger nicht mehr, einen Mitarbeiter einer Firma mit einer fingierten E-Mail davon zu überzeugen, zum Beispiel Geld zu überweisen, sondern durch einen Anruf, bei dem der Anrufende sich genauso wie der CFO oder CEO anhört.
- Erpressung von Unternehmen oder Einzelpersonen
Mit der Deepfake-Technologie können Gesichter und Stimmen in Mediendateien übertragen werden, die Personen dabei zeigen, wie sie fingierte Aussagen treffen. Beispielsweise könnte ein Video mit einem CEO erstellt werden, der bekannt gibt, dass ein Unternehmen alle Kundendaten verloren hat oder dass das Unternehmen kurz vor der Insolvenz steht. Mit der Drohung, das Video an Presseagenturen zu schicken oder es in sozialen Netzwerken zu pos-ten, könnte ein Angreifer dann eine Firma erpressen.
- Manipulation von Authentisierungsverfahren
Die Deepfake-Technologie kann auch genutzt werden, um kamerabasierte Authentisierungsmechanismen zu umgehen, etwa die Legitimationsprüfung über Postident.
Prinzipiell können aber alle Attacken, bei denen sich Angreifer zum Beispiel am Telefon, per E-Mail oder Videobotschaft als eine andere Person ausgeben, durch die Deepfake-Technologie erweitert und wesentlich schwerer erkennbar werden. Dadurch ist es durchaus denkbar, dass Deepfakes auch für Angriffe auf Privatpersonen genutzt werden, etwa für den Enkeltrick-Betrug. Ein vermeintlicher Enkel könnte per Video Kontakt mit seinen Großeltern aufnehmen und diese um finanzielle Unterstützung bitten – etwa für das Studium oder eine Reise.
NTT Security sieht die Gefahr, dass Deepfakes künftig deutlich an Bedeutung gewinnen werden, da die dabei eingesetzten Machine-Learning-Methoden weiter optimiert werden und auch die Realisierung von Deepfakes keine zeit- und kostenaufwendige Herausforderung mehr darstellt. So können etwa Video-Deepfakes mit im Internet frei verfügbaren Tools wie der Software FakeApp und überschaubaren technischen Kosten erstellt werden. Benötigt werden lediglich eine Webcam für rund 80 Euro, ein Greenscreen für rund 90 Euro und eine Grafikkarte für rund 1.000 Euro. Auch ein Audio-Deepfake ist inzwischen einfach zu realisieren. In der Vergangenheit musste ein Modell noch anhand von Sprachdaten mit mindestens fünf Stunden Länge erstellt werden. Heute gibt es öffentlich verfügbare Tools wie Lyrebird, die das Synthetisieren von neuen Stimmen auf Basis eines vorhandenen Modells mit nur einer Minute an Audiomaterial ermöglichen.
Die Bedeutung von Security-Awareness-Trainings
Nach Einschätzung von NTT Security kennen die meisten Unternehmen die konkreten Deepfake-Bedrohungen noch nicht, da es sich um völlig neue Angriffsformen handelt. Der erste Schritt muss also sein, ein Bewusstsein im Unternehmen zu schaffen, dass solche Attacken möglich sind. Es bedeutet auch, sich von jahrzehnte-ang vertrauten Wahrheiten zu verabschieden. Bislang galt zum Beispiel am Telefon, dass sich am anderen Ende der Leitung auch diejenige Person befindet, der diese Stimme gehört. Nur wenn jemand weiß, dass dies unter Umständen nicht mehr zutrifft, kann er auch möglichen Angriffen aus dem Weg gehen.
Da die technischen Möglichkeiten zum Schutz von Unternehmen und Personen vor Social-Engineering-Angriffen im Allgemeinen und Deepfakes im Besonderen limitiert sind, kommt dem sicherheitsbewussten Verhalten jedes einzelnen Mitarbeiters eine entscheidende Rolle zu. Folglich sind adäquate Security-Awareness-Trainings unverzichtbar. Wichtig ist dabei, dass firmenspezifische Schulungen durchgeführt werden, in denen individuell auf mögliche Social-Engineering-Angriffe auf das jeweilige Unternehmen eingegangen wird. Die weit verbreiteten generischen Awareness-Trainings hingegen werden von den Mitarbeitern in der Regel als lästige Pflichtveranstaltung angesehen und erzielen folglich auch nicht den gewünschten Erfolg. Durch die Vorstellung konkreter – und nicht allgemeingültiger – sicherheitsrelevanter Fälle aus dem Unternehmen entsteht eine deutlich bessere Identifikationsmöglichkeit für alle Mitarbeiter.
Eventuell sollte ein Unternehmen auch ein Profiling aus Sicht eines potenziellen Angreifers in Betracht ziehen. Dabei wird analysiert, welche Informationen ein Angreifer über ein Unternehmen und die Mitarbeiter erlangen kann, beispielsweise über Suchmaschinen und in sozialen Netzwerken. Daraus kann dann ein Risikoprofil erstellt und ermittelt werden, welche Mitarbeiter am ehesten für einen Social-Engineering-Angriff ausgesucht werden. Auf dieser Basis können individuelle Awareness-Trainingsmaßnahmen konzipiert werden, die auf den jeweiligen Mitarbeiter zugeschnitten sind.
Die Durchführung von Security-Awareness-Trainings ist ein erster Schritt. Allerdings sollten Unternehmen auch die weitere Entwicklung technischer Abwehrmaßnahmen gegen Social-Engineering-Angriffe im Auge behalten. So wird gegenwärtig beispielsweise auch an Applikationen zur Erkennung von Deepfakes gearbeitet und NTT Security kooperiert in diesem Bereich bereits mit allen relevanten Herstellern.
