Deepfakes sind Videos, Bilder oder Töne, die mithilfe von künstlicher Intelligenz erstellt werden und echt aussehen, obwohl sie Fälschungen sind. Bekannt wurden sie vor allem durch Videos, in denen die Stimmen und die Gesichtszüge prominenter Schauspieler mit Computerprogrammen nachgeahmt werden. Die Video-Deepfakes mit sogenannten „Faceswaps“ (Gesichtertausch) aus den Jahren 2017 und 2018 waren für das menschliche Auge leicht erkennbar, da das getauschte Gesicht vom Körper abwich. Die Technologie hat in den letzten Jahren noch einmal einen Sprung gemacht, sodass sich Unterschiede bei gut gemachten Deepfakes kaum noch erkennen lassen. Die fortschrittliche Technologie spart der Filmindustrie Zeit für nachgedrehte Szenen – Cyberkriminellen auf der ganzen Welt bietet sie jedoch einen neuen Ansatzpunkt für Social Engineering-Angriffe.
Deepfakes sind jetzt schon Cyberbedrohungen
Bereits 2019 machte die Versicherung Euler Hermes Group auf einen Fall aufmerksam, der sich bei einer Niederlassung eines deutschen Energiekonzerns abspielte. Ein Cyberkrimineller hatte die Stimme eines Vorstandsvorsitzenden gefälscht, um den Geschäftsführer der britischen Niederlassung dazu zu bringen, eine größere Summe auf das Bankkonto eines ungarischen Lieferanten zu überweisen. Der Ablauf entspricht dem typischen Voice-Phishing, auch genannt Vishing. Es gelang offenbar, die Stimme des Vorstands mit künstlicher Intelligenz so perfekt nachzuahmen, dass der britische Geschäftsführer keinen Verdacht schöpfte.
Diese Form des CEO-Frauds ist seitdem so etwas wie der Präzedenzfall in der Cybersicherheit für den Einsatz von Deepfakes. Das FBI hat im März 2021 aufgrund der weiterentwickelten Technik den Begriff Business Identity Compromise (BIC) ins Spiel gebracht, um strafrechtlich vorbereitet zu sein. Die US-Behörde warnt davor, dass wo Deepfake-Tools eingesetzt werden, um „synthetische“ Unternehmenspersönlichkeiten zu schaffen oder bestehende Mitarbeiter zu imitieren, und wahrscheinlich sehr erhebliche finanzielle und rufschädigende Auswirkungen auf die betroffenen Unternehmen und Organisationen haben werden.
Inzwischen ist die Gefahr auch in Deutschland erkannt worden und Politiker wie Markus Söder beschäftigen sich mit dem Thema: „…wir müssen uns gegen so genannte „deep fakes“ wehren, wo mit künstlicher Intelligenz im Internet sogar Bilder und Sprache manipuliert werden. Dafür gibt es noch keinen Straftatbestand. Den sollten wir schnell einführen.“
Diese Warnung ist nicht überzogen. Deepfake-Expertin Dr. Lydia Kostopoulos ist der Ansicht, dass die Technologie inzwischen so gut ist, dass sie jeder mit genügend Geduld, Zeit und Rechenleistung nutzen kann. Sie sagt: „es ist sehr wahrscheinlich, dass Cyberkriminelle diese Technologien nutzen werden, denn sie wird für die Öffentlichkeit immer zugänglicher. Mit einer Software wie Lyrebird (gehört inzwischen zu Descript) kann man beispielsweise die Stimme einer beliebigen Person klonen, falls man eine Audiodatei von ihr hat. Viele Menschen halten Vorträge auf YouTube oder haben in einem Podcast gesprochen, daher ist es leicht, sie zu fälschen.“
Neben Phishing-Angriffen könnten Deepfakes auch zur Erpressung von Personen benutzt werden. Besonders ins Visier geraten vor allem weibliche Mitarbeiter eines Unternehmens, denn es gibt inzwischen Software, mit der anhand von Bildern von Frauen pornographisches Material erstellt und auf einschlägig bekannten Plattformen hochgeladen werden kann. Denkbar ist beispielsweise, dass eine Geschäftsführerin oder Vorstandsvorsitzende mit einem solchen Bild-Deepfake zur Veruntreuung von Geldern gezwungen wird. Und dies ist nur eines von vielen Szenarien, denn der kriminellen Energie sind keine Grenzen gesetzt.
Expertin Kostopoulos sagt: „Am Ende hängt es davon ab, was die Absicht ist. Kriminelle überlegen sich vorher, was sie erreichen wollen und wie sie ihr Ziel erreichen und spielen nicht mit der Technologie herum. Cyberkriminelle Banden sind hochprofessionell und werden Deepfakes nur dann einsetzen, wenn sie alle anderen Social Engineering-Methoden erfolgslos ausprobiert haben.“ Denn letztlich ist es nach wie vor einfacher, mit Phishing E-Mails das gewünschte Ziel zu erreichen, besonders im Zusammenspiel mit Ransomware.
Die größte Gefahr besteht jedoch darin, dass Deepfakes in der Echtzeit-Kommunikation eingesetzt werden. Dies könnte entweder mit Sprachanrufen oder Videoanrufen geschehen. Für den Mensch ist es einfach zu schwierig, wirklich gut gemachte Deepfakes zu erkennen. Leider ist eine zuverlässige Erkennung von Fälschungen in Echtzeit noch Zukunftsmusik, denn wie so oft sind die Cyberkriminellen den Verteidigern einen Schritt voraus.
Schutzmaßnahmen
Der Fall von 2019 zeigt, dass Deepfakes bei Vishing bereits eingesetzt werden und es gibt genügend Beispiele auf Video-Plattformen, wie sich die Technologie besonders bei der Verknüpfung von Bild und Ton weiterentwickelt hat. Unternehmen und vor allem die Geschäftsführung und die Aufsichtsräte sollten sich daher bereits jetzt damit beschäftigen, wie sie sich persönlich gegen Social Engineering schützen können. Sie sollten ihre Präsentation in den sozialen Medien vor allem bezüglich Bild-, Video- und Audio-Dateien einschränken sowie ihre Anmeldedaten schützen.
Darüber hinaus ist es wichtig zu unterscheiden, um welches Deepfake-Szenario es sich handelt. Handelt es sich wie beim beschriebenen Fall um ein Vishing-Szenario, bei dem Geld erpresst werden soll, kann eine Organisation mehrere Komponenten für den Verifizierungsprozess einführen, bevor Transaktionen ausgelöst werden. Wenn bei einer Marke, einer politischen Persönlichkeit oder einem Unternehmen ein verunglimpfender Deepfake in die Öffentlichkeit gelangt ist, muss die zuständige Kommunikationsabteilung einen Krisenkommunikationsplan zur Schadensbegrenzung aus der Tasche ziehen können.
Vor allem aber braucht es sowohl auf Unternehmens- als auch auf nationaler Ebene mehr Aufklärung darüber, wie Deepfakes funktionieren und wie leicht sie erstellt werden können. Dabei ist es inhaltlich egal, ob es sich um einen Stimmenklon oder eine Fälschung von Gesichtszügen auf einem Bild handelt. Ebenso wäre eine Aufklärung über Desinformation und die Analyse von Informationen sehr nützlich. Auch hier gibt es viele Verteidigungsstrategien, aber es kommt darauf an, für welche Situation die Verteidigungsstrategie gedacht ist.
Fazit
Am Ende bleibt jedoch die Erkenntnis, dass es für den Mensch schwierig ist, Deepfakes zu erkennen. Die Algorithmen, die Deepfakes erzeugen, werden immer ausgefeilter. Doch auch hier können Technologien eingesetzt werden, um Deepfakes zu erkennen. Letztlich ist es wie bei allen technologischen Entwicklungen ein Wettlauf, und das bekannte Katz-und-Maus-Spiel der Cyberkriminellen mit den Verteidigern wird nur um eine Variante reicher. Deshalb werden Technologien allein nicht das Problem lösen. Vielmehr bedarf es einer besseren Schulung von Verantwortlichen, Prominenten, Mitarbeitern und letztlich allen Personen, die potentiell Opfer von Social Engineering werden könnten. Security Awareness-Schulungen, die kritisches Denken fördern, Compliance-Richtlinien mit entsprechenden Hinweisen und Handlungsempfehlungen und letztlich eine starke Security Culture in der Unternehmenskultur sollten zumindest Unternehmen vor CEO-Fraud schützen können.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…