Zunehmende Betrugsbedrohung durch Deepfakes

Kriminelle versuchen ständig, Methoden zur Betrugsprävention und Identitätsüberprüfung mit kreativen Methoden zu umgehen. Dafür müssen oftmals Validierungsschritte außer Kraft gesetzt werden, die garantieren sollen, dass Bots keinen Zugriff erhalten. Beispielhaft hierfür sind Captchas, die zunächst nur die Eingabe von Zahlen und Buchstaben verlangten und schließlich zu komplexeren Aufgaben weiterentwickelt wurden. Ein getipptes Captcha allein reicht oft nicht aus, um sensible Arbeitsabläufe wie Finanztransaktionen und Marktplätze für Kryptowährungen zu schützen. 

Deepfake-Apps sind mittlerweile in der Lage, Bilder von realen Menschen in beliebigen Situationen zu produzieren oder sogar legitim aussehende Videos von Personen zu erstellen, die nicht existieren. Plattformen, die auf Identitätsüberprüfung angewiesen sind, werden deshalb gezwungen, komplexere Nachweise zu verlangen, um zu überprüfen, ob Zugriffsanfragen von echten Personen ausgehen. Bei der Nutzung von Finanzplattformen müssen Nutzer oftmals eine Videoaufnahme machen, in der sie ihren Kopf in einem bestimmten Muster drehen, während sie ihren Ausweis in der Hand halten. Dies mag albern wirken, erschwert jedoch die Täuschung durch einen Deepfake erheblich. Es besteht jedoch das Risiko, dass diese Methoden und Daten dazu verwendet werden könnten, bessere Modelle zu trainieren, um Menschen zu erkennen oder nachzuahmen. 

Der Begriff „Deepfake“ wird in der Regel mit kriminellen Machenschaften assoziiert. Es gibt aber einen legitimen Markt für die zugrunde liegende Technologie. Einige Softwareunternehmen bieten Möglichkeiten zur Nutzung der Deepfake-Funktionen in der Unterhaltungsindustrie an, in der Regel mit dem Einverständnis der verkörperten Person. Sie können sogar Ihren Stimmabdruck archivieren, um diesen zu verwenden, wenn sie aufgrund einer Erkrankung nicht selbst sprechen können. Die gleichen Technologien, die für die Erstellung von Deepfakes verwendet werden, sind auch für die Erkennung von deren Missbrauch unerlässlich. Wie bei jeder leistungsstarken Technologie hängt die Rechtmäßigkeit von Absicht, Zustimmung und Offenlegung ab. 

Die Bedrohungen, die von Deepfakes ausgehen, sind ernst zu nehmen. Neben einer gefälschten ID für eine betrügerische Transaktion können diese Fälschungen zu psychologischen Traumata und zur Schädigung des persönlichen Rufs führen. Allein im letzten Monat haben eine Wahlkampfkampagne mithilfe von Deepfakes und die Ausbeutung KI-generierter Bilder von Taylor Swift das öffentliche Interesse geweckt. Diese Deepfake-Missbräuche sind zwar nicht neu, die Zahl der Opfer dieser Straftaten nimmt jedoch in alarmierendem Maße zu. Deepfakes ermöglichen es Kriminellen, Geld zu erbeuten, Psychoterror auszuüben, Karrieren zu ruinieren oder sogar politische Entscheidungen zu beeinflussen. Es ist offensichtlich, dass Aufklärung, Regulierung und ausgefeilte Präventionsmaßnahmen eine Rolle beim Schutz der Gesellschaft spielen werden. 

Einige Unternehmen schulen ihre Mitarbeiter bereits darin, Betrugsversuche zu erkennen, die im Arbeitsalltag eine Rolle spielen. Diese Aufklärungs- und Sensibilisierungskampagnen müssen erweitert werden, um ein grundlegendes Bewusstsein für Deepfakes zu schaffen. Gleichzeitig sollten Unternehmen zusätzliche Überprüfungsebenen für sensible Arbeitsabläufe und Transaktionen einsetzen – es reicht nicht mehr aus, einer Textnachricht, einem Telefonanruf oder sogar einem Videoanruf als Form der Identitätsüberprüfung zu vertrauen. Wenn sich jemand mit Ihnen in Verbindung setzt, um eine private oder berufliche Transaktion durchzuführen, ist es immer besser, eine zusätzliche Verifizierung vorzunehmen, wenn Sie nicht in der Lage sind, die Person am Telefon eindeutig zu erkennen. Oft reicht es schon aus, aufzulegen und eine bekannte, vertrauenswürdige Nummer der Person zurückzurufen, die sich an Sie gewandt hat, um den Betrug zu entlarven. Richten Sie in Unternehmen Arbeitsabläufe ein, die sich auf robustere Formen der Authentifizierung stützen, die von einer KI nicht gefälscht werden können – FIDO2-Sicherheitstoken, Genehmigungen durch mehrere Personen und Verifizierungen sind ein guter Anfang.

Ein Kommentar von Melissa Bischoping, Director Endpoint Security Research bei Tanium