Cyberbedrohungen
Sicherheitsmythos: Deep Fakes sind für Unternehmen gefährlich
Deep Fakes sind gefährlich, keine Frage. Die Opfer kommen eher aus dem privaten oder Öffentlichkeitsbereich. Im Unternehmenskontext sind die Möglichkeiten für Kriminelle nur begrenzt, mit einer Ausnahme: im Finanzsektor.
Save to Folio
Eines vorweg, für Unternehmen kennt die IT-Sicherheit Hilfsmittel gegen gefälschte Bilder und Videos: Deep Fake Scanner sind Werkzeuge, die das menschliche Auge dabei unterstützen, die Fakes besser zu erkennen. Die TrendAI Variante findet sich hier. Dennoch gibt es kaum Vorträge oder Werbung zum Thema. Warum eigentlich nicht? Schließlich sind Deep Fakes gefährlich, oder?
Unter Deep Fakes versteht man allgemein die Fälschung von Bild- und Tonelementen. Diese können künstlich so erstellt werden, dass sie einer real existierenden Person täuschend ähnlich scheinen. Im Unternehmenskontext gibt es aber nur sehr wenige Entscheidungen, die ausschließlich aufgrund des Aussehens und/oder der Stimme der zugeschalteten Online-Person getroffen werden.
Das limitiert die Möglichkeiten der Kriminellen, daraus Kapital zu schlagen. Hinzu kommt, dass die Erstellung von Deep Fakes zwar günstig aber im Verhältnis zu anderen Alternativen viel zu aufwändig ist. Deshalb finden Angriffe mit Hilfe der Technik zwar statt, sind aber mengenmäßig auf sehr wenige Einzelfälle begrenzt. Der derzeit am häufigsten mit Deep Fakes angegriffene Sektor ist das Finanzwesen. Und das liegt daran, dass hier vor allem eine Tätergruppe – Nordkorea - ein spezielles Interesse verfolgt.
Angriffe im Finanzwesen
Das nordkoreanische Regime finanziert seinen Staatshaushalt unter anderem durch Cyberkriminalität. Besonders Diebstahl, Handel und Missbrauch von Kryptowährungen sind ihre Spezialität. Einige beeindruckende Taten wie beispielsweise der 1,5 Milliarden Dollar schwere Angriff auf die Kryptobörse Bybit gehen auf ihr Konto. Um Zugang zu interessanten Zielen zu erhalten, nutzt das Land unter anderem Deep Fake-Attacken. In einem fingierten Konferenzanruf wurde dem Opfer suggeriert, es spräche mit dem Chef eines potenziellen Kunden. Als das Gespräch begann, wurde so getan, als könne man nichts verstehen. Dem Opfer wurde daraufhin mit einem „neuen Treiber“ für dessen Soundkarte ausgeholfen. Dieses Verfahren sollte nicht unterschätzt werden.
Bei einem Jobangebot als Hintergrund passiert dies oft im Einstellungsgespräch. Es gibt mehrere unabhängige Berichte über das Betrugsschema. Hier kann Deep Fake zum Einsatz kommen, viele bekannte Taten arbeiten allerdings aufgrund der Skalierbarkeit und um die Täuschung perfekt zu machen mit automatisierten Avataren (sog. „AI Interviewing“). Es handelt sich dabei oft um legitime Werkzeuge aus dem Personalmanagement Bereich, die zweckentfremdet werden. Unter anderem berichtet auch das Schweizer BACS von solchen Methoden.
Bekannt wurde auch der „nordkoreanische IT-Mitarbeiter“. Ein Scam, bei dem sich ein Arbeitssuchender im Online-Interview als Kandidat empfiehlt und angeblich mit Deep Fake seine Identität verheimlicht.
Der Deep Fake CEO
In einem Aufsehen erregenden Fall aus Hongkong überredeten Kriminelle den Mitarbeiter eines Unternehmens 25 Millionen Dollar auf ein Bankkonto zu überweisen.
Die dahinter-stehende cyberkriminelle Masche heißt Business Email Compromise (BEC). 2024 wurden allein in den USA damit über zwei Milliarden Dollar gestohlen und mehr als 21000 einzelne Taten angezeigt. Auch in Europa zählt BEC zu den erfolgreichsten Betrugsdelikten. Die allermeisten dieser Taten laufen über schriftliche Kommunikationswerkzeuge (daher auch der Name) oder Telefon.
Allen Fällen gemeinsam ist, dass ein Opfer glaubt, mit seinem Vorgesetztem oder einer anderen bedeutenden Person zu kommunizieren. Dass die Masche funktioniert, ist unzweifelhaft. Aber Deep Fakes als Vehikel bedeuten im Verhältnis einen hohen Aufwand und dennoch nicht automatisch Erfolg. Deshalb sind weltweit nur wenige Fälle bekannt, in denen das Opfer eine Person über Video oder Telefon identifiziert haben will. In all diesen Fällen gab es auch nur jeweils einen Zeugen – das Opfer selbst.
Wer Unternehmensgelder ohne ausreichende Legitimation auf fremde Konten überweist, handelt potenziell strafbar. Dies sollten Mitarbeiter wissen, die große Geldsummen bewegen können. Die Behauptung, einer mündlichen Anweisung gefolgt zu sein, ist deshalb immer mit einem Fragezeichen zu versehen. Vor allem in Organisationen mit schwacher Compliance-Kultur oder eher informellen Zahlungsprozessen, erscheint eine BEC–Erklärung oft als akzeptable, naheliegende Erklärung eines Vorfalls.
Problem Online-Identifikation
Zu Corona Zeiten führten viele Organisationen im Rahmen der Digitalisierung online Identifikationsoptionen ein. Dabei wird ein gültiges Ausweisdokument mit den tatsächlichen Körpermerkmalen der Person abgeglichen. Das Verfahren wird „Know Your Customer“ (KYC) genannt und kommt beispielsweise in Visum Anträgen und Konto Eröffnungen vor. Das Fälschen von Ausweispapieren wie noch im Falle des nordkoreanischen Arbeitnehmers reicht hier nicht immer. Ausweis und Konterfei müssen zusammenpassen. Prüft der Scanner den Pass intensiv, ist es einfacher, das Aussehen an einen gestohlenen Pass anzugleichen. Hier kann Deep Fake eine Rolle spielen. Tatsächlich gibt es im digitalen Untergrund ein eigenes Serviceangebot für diesen Bedarf.
Fazit
Es gibt nur wenige dokumentierte Angriffe mit Hilfe von Deep Fakes auf Unternehmen und noch seltener nachvollziehbare Beweise. Die Technik ist vor allem dann gefährlich, wenn Entscheidungen ausschließlich aufgrund audiovisueller Merkmale getätigt werden. Im unternehmerischen Kontext passiert das selten.
Für „gewöhnliche“ Kriminelle gibt es auch deshalb weitaus effizientere Techniken. Bei staatlichen Tätern spielt Effizienz keine Rolle. Dennoch kommen auch hier selten Deep Fakes zum Einsatz. Selbst wenn die Technik immer besser wird, muss ein Opfer erst einmal überzeugt werden. Das hört sich einfacher an, als es in der Praxis ist.
Es bleibt der eher allgemeine Ratschlag, Entscheidungen nicht aufgrund audiovisueller Nachweise zu treffen. Und für Unternehmensleitungen gilt: Wer die Möglichkeit braucht, seine Mitarbeiter mündlich aufzufordern, Gelder an fremde Konten zu überweisen, sollte mindestens ein Codewort vereinbaren und Rückstellungen in Millionenhöhe tätigen. Und wer sicher gehen möchte, hat auch die Möglichkeit, auf die eingangs erwähnten Werkzeuge zur Deep Fake-Erkennung zurückzugreifen.