Zusammen mit einigen Ihrer Kollegen nehmen Sie an einer Video-Konferenz teil und Ihr Chief Revenue Officer (CRO) bittet Sie darum, eine Überweisung zu tätigen. Würden Sie es tun? – Ein Angestellter in Hongkong hat die Überweisung getätigt und damit im Februar dieses Jahres umgerechnet 24 Millionen Euro an eine Betrügerbande transferiert. Er wurde Opfer einer KI-basierten Deep-Fake-Attacke. Dieses Beispiel zeigt die Raffinesse der Angreifer, den hohen Reifegrad der Technologie und deren Schadpotenzial. Paul Laudanski, Director Security Research bei Onapsis erklärt, welche Maßnahmen Unternehmen ergreifen können, um sich zu schützen.
Millionen-Verlust durch Videocall-Betrug
Die Zeiten, als Betrugsversuche mit monotoner, roboterhafter Stimme und holprigen Bilder daherkamen, sind vorbei. Cyberkriminelle verwenden modernste künstliche Intelligenz (KI) zur Erstellung von Fakes und nutzen diese, um Desinformation zu verbreiten oder mithilfe von Robocall-Betrügereien Geld zu erbeuten.
Der Fall aus Hongkong zeigt, welche verheerenden Folgen und finanziellen Schäden KI-gestützte Deepfakes nach sich ziehen können. Berichten zufolge nahm das Opfer in einer Fake-Konferenz teil, in der weder der CRO noch die anderen Anwesenden im Call „echt“ gewesen sein sollen. Aussehen und Stimmen der Zielpersonen konnten mithilfe von Deepfake-Technologie und öffentlich zugänglichem Video- und Audiomaterial akribisch und (offenbar) sehr überzeugend nachgebildet werden.
KI-generierte Deepfakes stellen durch soziale und politische Manipulation eine enorme Bedrohung für Demokratie, Rechtstaat und Wirtschaft dar. Außerdem legen sie die Messlatte für die Betrugserkennung sowohl für Privatpersonen als auch für Unternehmen höher. Mehr Wachsamkeit und Skepsis gegenüber öffentlicher und vermeintlich privater Kommunikation sind gefragt.
Gesetzgeber schreiten ein
Eine so große und omnipräsente Bedrohung wie die durch Deepfakes ruft Gesetzgeber weltweit auf den Plan. So hat die US-amerikanische Federal Communications Commission (FCC) im Frühjahr 2024 entschieden, die Verwendung von KI-generierten Stimmen zu verbieten. Dies ist eine direkte Reaktion auf den zunehmenden Missbrauch von Sprachsynthese-Technologie und angesichts des Skandals um Präsident Biden von besonderer Bedeutung: Zu Beginn des Jahres wurden in einer Robocall-Kampagne gefälschte Audiodateien verwendet, die vorspiegelten, vom aktuellen Präsidenten zu sein.
In der EU sollen Deepfakes über den AI Act reguliert werden. Wer einen Deepfake erstellt oder verbreitet, muss zukünftig dessen künstlichen Ursprung und die verwendete Technik offenlegen. So sollen Verbraucher Manipulationen erkennen und informierte Entscheidungen treffen können. Fraglich ist jedoch, ob Transparenzverpflichtungen allein wirksam schützen können, da nicht davon auszugehen ist, dass Akteure mit böswilligen Absichten sich an die Vorschriften halten werden. Deshalb sind Unternehmen und deren Mitarbeitenden zur Eigenverantwortung und Wachsamkeit aufgerufen.
So können sich Unternehmen vor Robocalls und KI-Betrug schützen
- Bei Anrufen und Nachrichten von unbekannten Quellen gilt erhöhte Vorsicht, insbesondere, wenn die Kontaktperson vorgibt, ihr Anliegen sei sehr dringend, oder die Transaktion von Informationen bzw. hohen Geldbeträgen fordert. Anrufe von angeblichen Unternehmensvertretern oder Behörden sollten daher immer auf ihre Authentizität hin überprüft werden.
- Persönliche oder finanzielle Informationen sollten niemals über das Telefon, Videokonferenzen oder ungeprüfte Links weitergegeben werden.
- Unternehmen können verdächtige Anrufe und Telefonbetrüger bei der Polizei oder der Bundesnetzagentur melden. Diese können Anzeige erstatten, Bußgelder erheben und beteiligte Telefonnummern sperren.
- Online-Konten sollten durch sichere Passwörter und Zwei-Faktor-Authentifizierung geschützt werden. Wichtig: Nicht das gleiche Passwort für mehrere Accounts nutzen.
- Durch spezielle Tools zum Blockieren von Anrufen und der Erstellung einer „Do Not Call List“ können Robocalls und Telemarketing-Anrufe eingedämmt werden.
Darüber hinaus helfen eine konsequente Threat Detection and Response-Strategie und kontinuierliche Threat Intelligence Research wie die der Onapsis Research Labs Unternehmen dabei, sich zu schützen.
Fazit
Die aktuelle Cyber-Lage lässt sich sehr gut mit einer Analogie aus dem Straßenverkehr beschreiben: Für die eigene Sicherheit ist es wichtig, in einem verkehrstüchtigen Auto zu fahren und Verkehrsregeln zu beachten. Dennoch können Unfälle passieren – Verkehrsrowdys und unvorhergesehene Umstände können selbst die besten Pläne durchkreuzen. Entsprechend reicht es auch bei der Cyberverteidigung nicht aus, sich ausschließlich auf Technologie und Gesetze zu verlassen. Böswillige Angreifer finden immer Wege, Schutzmechanismen zu überwinden. Deshalb braucht es auch eine vorausschauende und wachsame Fahrweise aller Beteiligten, um durch die Rushhour der Cyberbedrohungen zu navigieren.