Wenn die Stimme versagt: Deepfakes als Risiko für Unternehmen 

Die Deepfake-Technologie ist kein neues Konzept. Bisher war dieses Verfahren jedoch sehr zeit- und kostenaufwändig und nur Experten vorbehalten. Durch Weiterentwicklungen im Bereich der künstlichen Intelligenz hat sich die Technologie, die für die Erstellung fotorealistischer Darstellungen von Menschen erforderlich ist, in der breiten Masse etabliert. Deepfakes begegnen uns im Social-Media-Alter bereits seit einigen Jahren. Der wohl bekannteste und auch erste Use Case ist der FaceSwap-Filter auf den gängigen Social-Media-Apps.

2021 begann dann ein Social-Media-Account namens @deeptomcruise, humorvolle Deepfake-Videos des Hollywoodstars Tom Cruise zu posten. Inzwischen zählt der Account mehr als 5,1 Millionen Follower und das dahinterstehende Unternehmen hat sich zu einem Branchenführer im Bereich der generativen KI entwickelt. Mit der zunehmenden Zugänglichkeit von generativer KI-Technologie nahm die Zahl der Deepfake-Videos in den Jahren 2022 und 2023 in den sozialen Medien rapide zu.

Leider werden Deepfakes, wie viele zunächst harmlose Technologien, heute für bösartige Zwecke missbraucht. Im vergangenen Sommer wurde Moderator Christian Sievers Opfer eines Deepfake-Videobetrugs, bei dem sein computergenerierter Zwilling die Zuschauer dazu aufforderte, ein gefälschtes Investitionsprojekt zu unterstützen. Sievers schrieb „Noch erkenne ich, dass ich das nicht wirklich bin, aber für die Zukunft läuft mir ein Schauer über den Rücken.“

Je weiter die Technologie voranschreitet, desto einfacher wird es für Cyberkriminelle, das Vertrauen der Menschen zu erschleichen und bestehende Sicherheitsbarrieren zu überwinden. Zu Beginn des Jahres reihte sich Taylor Swift in die lange Liste der prominenten Opfer. In den kommenden Monaten stehen sowohl Wahlen in der EU, Großbritannien und den USA sowie sportliche Großereignisse wie die Olympischen Spiele in Paris an – für Cyberkriminelle die perfekte Deepfake-Bühne.

Dabei sind Deepfakes nicht nur für Privatpersonen eine echte Bedrohung; auch Unternehmen müssen sich überlegen, wie sie gegen potenzielle Deepfake-Angriffe vorgehen. Denn wenn Aussehen und Stimme keine verlässlichen Identifikationsmittel mehr sind, müssen andere Maßnahmen etabliert werden, um Beschäftigte klar identifizieren zu können.

Realismus und Risiken moderner Deepfakes

Heutzutage sind 90 Prozent der Cybersicherheitsverletzungen identitätsbezogen. Trotzdem befinden sich mehr als 44 Prozent der Unternehmen noch in der Anfangsphase ihrer Identitätssicherheitsstrategie. Daher müssen der geschäftliche Wert und die Bedeutung der Identität, insbesondere im Hinblick auf die Sicherheit, stärker in den Vordergrund gerückt werden.

Identitäten sind ein Schlüsselelement der Cyber-Sicherheit. Wer hat Zugang zu welchen Informationen im Unternehmen? Früher waren es meistens Personen oder Gruppen von Personen, die Zugriff auf Datenbanken oder Anwendungen hatten. Heute hat sich der Kreis der Zugangsberechtigten erweitert und umfasst auch Auftragnehmer, Teile der Lieferkette und sogar künstliche Intelligenz. Ebenso fließen immer mehr Daten durch immer mehr Systeme – E-Mails, Cloud-Anwendungen und viele mehr. Je mehr Nutzer und Zugangspunkte existieren, desto schwieriger wird es, alle Identitäten zu überprüfen und alle Daten vor den wachsenden Bedrohungen zu schützen. Selbst Sicherheitsmaßnahmen, die früher als fortschrittlich und zuverlässig galten, wie beispielsweise Spracherkennung, sind den heutigen KI-basierten Risiken nicht mehr gewachsen.

Vor kurzem haben wir in unserem Unternehmen ein Experiment durchgeführt, um die Bedrohung durch Identitätsdiebstahl zu untersuchen. Hierbei kamen KI-Tools zum Einsatz, die sich Aufnahmen der Stimme des CEO anhörten und daraus eine eigene Version erstellten. Anschließend lasen sowohl das Tool als auch der CEO in einem Blindtest ein Skript vor den Mitarbeitern vor. Obwohl diese wussten, dass es sich um ein Experiment handelte, lag ein Drittel von ihnen falsch. Die Stimme der künstlichen Intelligenz war so überzeugend, dass einer von drei Mitarbeiter dachte, es handle sich um den CEO.

Einsatz modernster Sicherheitsfunktionen

Dabei handelt es sich bei unserem Experiment um keinen Einzelfall.  Aktuell häufen sich die Berichte um sogenannte CEO-Frauds, bei denen Angreifer am Telefon als Geschäftsführer der jeweiligen Firma ausgeben und die Überweisung größerer Geldbeträge anweisen. Erst im Februar verlor ein Unternehmen deshalb 23 Millionen Euro. Um diesem Risiko entgegenzuwirken, müssen Unternehmen ihre Mitarbeitenden vermehrt in der Erkennung von Deepfakes schulen sowie digitale Zugriffsrechte überprüfen. Mitarbeitende, Partner und Auftragnehmer dürfen nur den ihrer Rolle und Verantwortung entsprechenden Zugriff auf Daten und Anwendungen erhalten. Ein wichtiger Teil davon ist auch die Datensparsamkeit, das heißt die Beschränkung auf das Notwendige und Angemessene.

Die Strategien von Cyberkriminellen entwickeln sich immer weiter – Unternehmen brauchen bessere Methoden zur Sicherung digitaler Identitäten, um vor Angriffen geschützt zu sein. So könnten beispielsweise verifizierbare Referenzen genutzt werden, um die Identität einer Person zu bestätigen, anstatt auf Aussehen und Sprache zu setzen. Im Falle des CEO-Frauds könnte so nachgewiesen werden, dass der Chef tatsächlich die Person ist, für die er sich ausgibt. Einige neue Sicherheitstools nutzen inzwischen sogar KI, um Deepfake-Betrüger abzuwehren. Die Technologie kann Anzeichen für gefälschte Video- und Audioaufnahmen erkennen und proaktiv hervorheben, um potenzielle Verstöße zu verhindern. Unternehmen, die KI, maschinelle Lernwerkzeuge, SaaS und Automatisierung kombinieren, können durch verbesserte Funktionen einen höheren Wert für ihre Sicherheitsinvestitionen erzielen.

Die Verhinderung eines einzigen Cyberangriffes kann Millionen von Euro an Umsatzeinbußen, Geldstrafen und Reputationsschäden einsparen. Trotzdem geben 91 Prozent der IT-Experten an, dass Budgetbeschränkungen ein Hindernis für die Identitätssicherheit darstellen. Mit der zunehmenden Bedrohungslage kann dies fatale Auswirkungen haben.

Dank besserer Zugänglichkeit der KI-Technologie werden auch die Sicherheitstools immer zugänglicher. Unternehmen können durch die Nutzung von Identitätsplattformen, die Automatisierung und KI einsetzen, identitätsbezogene Funktionen bis zu 37 Prozent schneller skalieren als Unternehmen ohne diese Technologien.