KI-gestützter Identitätsbetrug kommt weltweit häufiger vor. Allein in Österreich stieg die Zahl der Deepfake-Angriffe in diesem Jahr um 119 Prozent, ergab eine KPMG Austria-Umfrage. Mit diesen drei Maßnahmen lassen sich die Erfolgschancen solcher Angriffe deutlich reduzieren. Damit in Ihrem Unternehmen im Fall der Fälle so reagiert wird wie kürzlich beim Autobauer Ferrari.
Der italienische Autohersteller Ferrari konnte kürzlich einen Deepfake-Angriff abwehren und machte dies öffentlich. Ein Manager des Unternehmens hatte per Mail mehrere Nachrichten seines Vorstandsvorsitzenden erhalten. In diesen war er aufgefordert worden, im Rahmen einer angeblichen Konzernübernahme eine Verschwiegenheitserklärung zu unterzeichnen. Als er nicht reagierte, erhielt er einen Telefonanruf – angeblich vom Vorsitzenden selbst. Die Stimme am Telefon: eine perfekte Imitation. Sogar der markante süditalienische Akzent des Vorstandsvorsitzenden passte. Doch der Manager schöpfte Verdacht und stellte dem Betrüger eine persönliche Frage, die nur der Vorsitzende hätte beantworten können. Der Angreifer legte sofort auf und brach den Deepfake ab.
Automatisierung wird Quantität erhöhen
Auch wenn der Angriff in diesem Beispiel letztlich erfolglos blieb, so zeigt er doch: Deepfake-Angriffe sind längst in den Alltag der Unternehmen vorgedrungen. Mit einer rasanten Zunahme ihrer Quantität und Qualität ist in den kommenden Jahren fest zu rechnen. Die raschen Fortschritte im Bereich KI-gestützter Technologien, die Möglichkeit der Automatisierung der Abläufe und die wachsende Menge im Netz frei zur Verfügung stehender personenbezogener und personenbeziehbarer Informationen machen solche Angriffe für Cyberkriminelle immer unkomplizierter und billiger. Drei Maßnahmen können die Chance eines erfolgreichen KI-gestützten Deepfake-Angriffs erheblich mindern:
Interne Kommunikation regeln
Die Führungsetage muss Regeln für die interne Kommunikation aufstellen, die die Kommunikationskanäle sämtlicher Mitarbeiter, auch und gerade die des CEO, absichern helfen. Diese müssen klar formuliert und kontinuierlich kommuniziert und angewandt werden. Hierzu ein Beispiel: Der CEO gibt bekannt, dass er unter keinen Umständen jemals die Bitte an seine Mitarbeiter herantragen wird, Geschenkkarten – eine beliebte Phishing-Beute von Cyberkriminellen – für ihn zu erwerben und an eine Drittpartei weiterzuleiten.
Strukturen für Anfragen schaffen
Für das Stellen interner Anfragen muss im Unternehmen eine einheitliche Struktur geschaffen werden. Diese Struktur muss sicherstellen, dass Anfragen stets über mehrere Kommunikationskanäle gleichzeitig geleitet werden. Eingehende Anfragen können sich dann gegenseitig verifizieren. Auch hierzu ein Beispiel: Der CEO versendet eine schriftliche Anweisung nicht allein per Mail, sondern gleichzeitig auch über eine am Arbeitsplatz verwendete Instant Messaging-Plattform. Erhält der Mitarbeiter nun die Nachricht nur über einen der beiden Kanäle, ignoriert er die Anweisung, fragt über einen dritten Kanal beim CEO nach und kontaktiert im Zweifel das IT-Sicherheitsteam. Prozesse wie dieser sollten über die gesamte Organisation hinweg kommuniziert, implementiert und angewandt werden. Wird dann einmal ein Betrugsversuch aufgedeckt, ist es wichtig, diesen innerhalb des Betriebs öffentlich zu machen. So lernen sämtliche Mitarbeiter unterschiedliche Bedrohungen am lebenden Beispiel kennen, können ein Gefühl für die eigene Risikolage sowie ein gesundes Sicherheitsbewusstsein entwickeln.
Belegschaft auf dem neusten Stand halten
Unternehmen sollten regelmäßig Schulungen durchführen, um Mitarbeiter über Deepfakes und andere Arten von Identitätsbetrug, wie Phishing, Spear Phishing und Social Engineering, auf dem Laufenden zu halten. Einige Mitarbeiter wissen immer noch nicht, dass mittlerweile nicht nur Briefe und Emails, sondern auch Sprach- und Videoanrufe von Cyberkriminellen manipuliert und gefälscht werden können. So hat laut einer aktuellen Bitkom-Studie knapp jeder dritte Deutsche noch nie etwas von Deepfakes gehört. Das sollten Firmen ändern.
Zahl und Qualität wird steigen
Denn in den kommenden Jahren werden Quanti- und Qualität von Deepfake-Angriffen weiter zunehmen. Sie aufzuspüren, wird für den Einzelnen schwieriger werden. Laut einer Europol-Untersuchung vom vorvergangenen Jahr dürften bereits 2026 rund 90 Prozent aller Online-Inhalte synthetischen Ursprungs sein. In Sprach- und Videoanrufen die eigenen Kollegen und Mitarbeiter von Betrügern zu unterscheiden, dürfte dann eine echte Herausforderung darstellen. Unternehmen werden gegensteuern müssen. Mit der neuesten Technik sowie Implementierung sichererer Kommunikationsstrukturen.
