Thought Leadership
Betrugsmaschen haben sich immer parallel zur technologischen Entwicklung weiterentwickelt. Mit dem Aufkommen der Druckerpresse tauchten auch gefälschte Dokumente auf.
Das Telefon öffnete die Tür für Betrugsmaschen per Telefon. Das Internet führte zum Aufkommen von Phishing – und wir alle kennen diese gefälschten „dringenden” E-Mails von jemandem, der sich als Ihr CEO ausgibt. Jetzt stehen wir vor etwas weitaus Ausgefeilterem: Deepfakes.
KI-generierte Stimmen und Videos verleihen Betrugsversuchen ein beunruhigendes neues Maß an Realismus. Sie lassen Menschen glauben, was sie sehen und hören – und genau das macht sie so gefährlich. Viele Organisationen unterschätzen nach wie vor, wie ernst diese Bedrohung ist.
Da gerade der Cybersecurity Awareness Month stattfindet, ist jetzt der perfekte Zeitpunkt, um über Deepfakes zu sprechen – warum sie anders sind, warum sie wichtig sind und was wir tun können, um sie zu bekämpfen.
Warum Deepfakes sich von anderen Cyber-Bedrohungen unterscheiden
Man könnte versucht sein, Deepfakes als „Phishing 2.0“ zu betrachten. Aber sie sind viel mehr als das. Herkömmliche Phishing-Betrügereien spielen mit unseren Emotionen – Dringlichkeit, Angst, Neugier.
Deepfakes gehen noch tiefer. Sie zielen auf unsere Sinne und unser instinktives Vertrauen in das, was wir sehen und hören. Nehmen wir den mittlerweile berüchtigten Fall in Hongkong aus dem letzten Jahr: Ein Finanzmitarbeiter überwies 25 Millionen US-Dollar, nachdem er an einem Videoanruf mit seinem CFO – und sechs weiteren „Kollegen“ – teilgenommen hatte. Jeder einzelne von ihnen war ein Deepfake. Und es handelte sich nicht um vorab aufgezeichnete Videos; die Angreifer agierten in Echtzeit.
Noch beunruhigender ist, dass es sich hierbei nicht um eine aufwendige Operation handelte. Jeder mit einem ordentlichen Computer oder sogar einem Smartphone hätte das tun können. Die gleiche Technologie, die lustige Filter in sozialen Medien ermöglicht, kann nun dazu missbraucht werden, echte Menschen zu imitieren. Heute braucht es nur drei Sekunden einer Stimme, um sie überzeugend zu klonen. Für Videos reicht ein einziges gutes Foto.
Mit KI-Agenten, die in die Interaktion mit Kunden und Mitarbeitern integriert werden, verschwimmt die Grenze zwischen Mensch und Maschine zunehmend. Das führt zu weiteren Missbrauchsfällen.
Das Katz-und-Maus-Spiel im Kampf gegen Deepfakes
Vor ein oder zwei Jahren waren die meisten Deepfakes noch leicht zu erkennen. Die Lippensynchronisation stimmte nicht oder die Augen blinzelten nicht ganz richtig. Diese Zeiten sind vorbei. Selbst die erfahrensten Profis lassen sich heute von einem gut gemachten Deepfake täuschen.
Das ist die Herausforderung, vor der wir stehen: das klassische Katz-und-Maus-Spiel der Cybersicherheit. Mit der Verbesserung der Abwehrmaßnahmen entwickeln sich auch die Angreifer weiter. Die Technologie zur Erkennung von Deepfakes wird besser, aber auch die Technologie zu ihrer Erstellung. Eine technologische Erkennung, die zu 100 Prozent einen Deepfake erkennt, wird es wohl nicht geben. Unternehmen können aber trotzdem eine Menge zum Schutz vor diesen Betrügereien tun.
Hier sollten Unternehmen ansetzen:
1. Die anfälligsten Prozesse aufdecken
Ermitteln Sie zunächst, welche Bereiche Ihres Unternehmens am stärksten gefährdet sind. Dazu gehören in der Regel:
- Benutzer-Onboarding
- Kontowiederherstellung
- Helpdesk-Interaktionen
Kurz gesagt: überall dort, wo Menschen aufgefordert werden, ihre Identität zu bestätigen – egal, ob es sich um Mitarbeiter, Kunden oder Partner handelt.
2. Die richtigen Technologien einsetzen
Keine einzelne Lösung kann das Risiko vollständig beseitigen, aber die richtigen Technologien können einen großen Unterschied machen. Unternehmen sollten nach Tools zur Identitätsprüfung suchen, die speziell auf Deepfakes ausgerichtet sind. Organisationen wie NIST bewerten und klassifizieren diese Tools und helfen Unternehmen so zu verstehen, welche tatsächlich die versprochenen Leistungen erbringen.
Thales selbst verwendet beispielsweise eine KI-gestützte „Lebendigkeitserkennung“, um winzige, unwillkürliche Bewegungen zu analysieren, die selbst die besten Deepfakes nicht reproduzieren können. Unternehmen schützten dadurch ihre Authentifizierungs- und Onboarding-Sessions vor diesen Bedrohungen.
3. Mitarbeiter schulen und befähigen
Menschen können Deepfakes nicht immer auf den ersten Blick erkennen, deshalb ist das Bewusstsein wichtig. Mitarbeiterinnen und Mitarbeiter müssen wissen, dass das, was sie sehen und hören, manipuliert sein könnte.
Die Förderung einer Kultur der gesunden Skepsis – insbesondere im Zusammenhang mit sensiblen finanziellen Anfragen oder Identitätsprüfungen – ist dabei sehr hilfreich. Vertrauen ist gut, Kontrolle ist besser.
Deepfakes werden bleiben – doch Vertrauen ebenfalls
Deepfakes werden nicht mehr verschwinden. Sie werden nur schneller, billiger und realistischer werden. Deshalb ist es jetzt an der Zeit zu handeln – um Prozesse widerstandsfähiger zu machen, Abwehrmaßnahmen zu testen und eine Kultur zu schaffen, in der Vertrauen nicht vorausgesetzt, sondern verdient wird.
Vertrauen ist eines der wertvollsten Güter eines Unternehmens. Und im Zeitalter der Deepfakes ist es wichtiger denn je, dieses Vertrauen zu verteidigen.
