Mit der Nutzung von Deepfake-Audios und -Videos intensivieren Cyberkriminelle ihre Angriffe auf Firmen. Die Verantwortlichen sind aufgerufen, ihre Sicherheitsrichtlinien anzupassen und die Belegschaft angemessen weiterzubilden.
Deepfake ist die täuschend echte Veränderung von Stimmen und Gesichtern in digitalen Audios und Videos. Wurde diese KI-unterstützte Technologie noch vor wenigen Jahren praktisch ausschliesslich zur Manipulation der politischen Diskussion eingesetzt, ist sie jetzt in der organisierten Cyberkriminalität angekommen und stellt eine ernst zu nehmende Gefahr für Firmen dar. Der Schutz vor dieser Bedrohung ist gar nicht so einfach.
Ein Beispiel, das vor einiger Zeit durch die Medien ging, veranschaulicht das Problem: Der Finanzchef eines grossen Energiedienstleisters (die Versicherung, die den Fall bekannt machte, wollte den Namen des Unternehmens nicht nennen) forderte per Telefon die dringliche Überweisung von 200'000 Dollar an. Die Stimme klang vertraut, die Überweisung war angeblich zeitkritisch. Der bedauernswerte CEO der Firma löste die Zahlung aus. Das Geld verschwand auf Nimmerwiedersehen, die Stimme des Finanzchefs war gefälscht. Ein Deepfake.
Deepfake-Videos in Echtzeit
Dasselbe ist heute problemlos auch mit Gesichtern und Videobotschaften möglich. Security-Profis unterscheiden dabei zwischen Echtzeit-Attacken, wie das Beispiel des fingierten Anrufs des CFOs zeigt, und vorproduzierten Aufnahmen. Solche Angriffe in Nicht-Echtzeit sind für die Kriminellen etwas einfacher auszuführen, da sie nicht spontan auf Fragen reagieren müssen. Sie sind allerdings nicht weniger gefährlich. Gerade gut gemachte Videos mit überzeugendem Gesicht und vertrauter Stimme rutschen schnell mal durch die Sicherheitsmaschen.
Deepfake ist keine einfache Technologie. Sie stützt sich auf Künstliche Intelligenz (KI bzw. auf englisch "AI") und setzt ein technisches Know-how voraus. Unternehmen können sich aber gegen solche Attacken schützen. Auf der technischen Seite hat die Aufrüstung bereits begonnen. Deepfake-Videos und -Audios weichen an bestimmten Stellen auffällig von einer normalen Datei ab. Der Ton ist etwas anders, das Bild weist möglicherweise Artefakte auf. Diese Abweichungen kann spezialisierte Software aufspüren und bei Verdacht Alarm auslösen.
Prävention und Sensibilisierung im Unternehmen
Ebenso wichtig – wenn nicht wichtiger – ist neben dem technischen Schutz die Ausbildung der Belegschaft. Das fängt schon bei den Führungskräften an. Denn die Cyberkriminellen nutzen Informationen aus den sozialen Medien, um ihre Attacken im richtigen Moment zu lancieren. Postet der CFO Bilder aus seinem Urlaub, ist das eine gute Gelegenheit, mit deinem Deepfake-Anruf eine dringende Zahlung anzufordern. Leider geht das nicht persönlich, man weilt ja im Urlaub. Genauso wichtig ist die Awareness der Angestellten. Blinde Gehorsam und äusserste Dringlichkeit ist ein gefährliches Gemisch. Das Wissen um die Gefahr von Deepfake-Attacken ist eine wichtige Prävention gegen diese Angriffe.
Die Sicherheitsverantwortlichen in den Firmen sollten sich eine angemessene Reaktion auf die neue Bedrohung zurechtlegen. So sollten Zahlungen, die telefonische Anfragen für Zugänge und Passwörter und ähnliche sicherheitssensible Vorgänge, mit einem angepassten Prozess abgesichert werden. Fragen, die nur der Anrufer und der Angerufene beantworten können, sind beispielsweise ein gutes Mittel gegen Echtzeit-Attacken. Ebenso ist das Vieraugenprinzip hilfreich, das in vordefinierten Fällen zur Anwendung kommen sollte. Nur schon ein Rückruf auf das Handy des Chefs kann Klarheit schaffen und braucht nicht viel Zeit.
Fazit
Deepfake ist eine reale neue Bedrohung für Firmen. Technisch ausgefeilte Gesichts- und Sprachveränderungen setzen einen neuen Massstab und fordern von Managern und Angestellten eine erhöhte Aufmerksamkeit. Die Weiterbildung und Sensibilisierung der Belegschaft ist ein wichtiger Pfeiler in der Prävention. Die zurichnetgroup AG bietet hierzu entsprechende Security Workshops wie auch Awareness Trainings an.
Lassen Sie sich unverbindlich zu den nächsten Schritten beraten: Beratung vereinbaren.
