DER FAKTOR SICHERHEIT

Deepfakes – Social Engineering 2.0 und wie Sie damit umgehen

2021-07-22

Der folgende Artikel erläutert, welche Rolle Deepfakes für Social Engineering-Angriffe spielen, welches Risiko aktuell und in Zukunft von ihnen ausgeht, ob Sie als Unternehmen zur Risikogruppe gehören und wie Sie sich und Ihre Mitarbeiter*innen nachhaltig schützen.

Im März 2021 warnte das FBI vor sogenannten Deepfakes als die nächste große Cyberbedrohung. Dabei handelt es sich um gefälschte Audio- oder Videodateien mittels Künstlicher Intelligenz. Schon zwei Jahre zuvor hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kooperation mit französischen Kolleg*innen in ihrem Bericht darauf hingewiesen, dass insbesondere „demokratische Prozesse wie Wahlen“ durch Deepfakes manipuliert werden könnten.

 

Eins vorweg: Auch wenn Deepfakes immer besser werden, kommen sie scheinbar bisher kaum in realen Angriffs-Szenarios zum Einsatz. Nichtsdestotrotz wächst die Sorge, wie sich die Technologie weiterentwickelt, dass sie immer besser und so weitaus häufiger genutzt wird. Selbst das Weltwirtschaftsforum setzte Deepfakes in 2020 ganz oben auf die Agenda und stellte fest, dass sie zumindest das Potenzial besitzen, Unternehmen zu schaden. Dieser Ansicht sind auch viele weitere Experten. Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit haben das Thema aufgrund der gesellschaftlichen Brisanz in den Fokus ihrer Untersuchungen gestellt. Dabei konnten sie verschiedene Bereiche wie bspw. Social Engineering und VoiceID-Systeme identifizieren, in denen Deepfakes bereits jetzt zu einer Herausforderung geworden sind. Sicher ist in jedem Fall: Deepfakes lassen sich immer leichter herstellen, erfordern  dabei immer weniger Ausgangsbilder und werden immer häufiger kommerziell verwertet – und das nicht immer im Bereich des Legalen.

 

1) Täuschend echter Identitätsbetrug 

 

Einer der ersten erfolgreichen Fälle von Identitätsbetrug per Deepfake wurde im August 2019 beobachtet. Kriminelle hatten die Stimme von einem CEO einer deutschen Muttergesellschaft so überzeugend manipuliert, dass der Geschäftsführer der britischen Tochterfirma eine Überweisung in Höhe von 220.000 Euro veranlasste. Das Opfer gab später an, der Anrufer hätte den deutschen Akzent sowie die Stimmlage seines Arbeitgebers völlig glaubwürdig imitiert. In diesem Fall mussten die Kriminellen nicht einmal ein Deepfake-Video erstellen – ein überzeugender Fake-Anruf hatte genügt.

 

Viele bekannte Deepfake-Videos basieren auf sogenannten „Face Swaps“, dabei wird ein Gesicht mit dem einer völlig anderen Person ausgetauscht. Eine weitere Möglichkeit ist, ein Deepfake-Video aus einem Original-Video zu erstellen. Hierbei wird ein Deepfake-Algorithmus anhand von Aufnahmen (inklusive Ton) einer Person trainiert, die gesprochenen Laute in einfache Mundbewegungen zu übersetzen, welche dann wiederum in das Video eingebettet werden. So wird es theoretisch möglich, Personen „Worte in den Mund zu legen“ – seien es CEOs, wichtige Geschäftspartner oder schlicht Kolleg*innen, die eine*n Mitarbeiter*in bitten, Geld zu überweisen oder Zugangsdaten preiszugeben. Auch lassen sich derartige Deepfakes nutzen, um dem öffentlichen Ansehen von Unternehmen und Organisationen nachhaltig zu schaden.

 

Sie wollen mehr zum Thema Identitätsdiebstahl wissen? Unser Artikel „Identitätsbetrug: Wenn die E-Mail vom Chef gar nicht vom Chef kommt“ beschreibt, welche Formen es gibt und wie Sie effektiv dagegen vorgehen.

 

Politiker scheinen bei Deepfakern besonders beliebt zu sein. Kein Wunder: Sie sind nicht nur häufig in Videos zu sehen (und das oft ohne weitere Personen) – sie reden auch besonders viel. Mit dieser großen Menge an Daten lassen sich Algorithmen besonders überzeugend trainieren.

 

 

2) „The internet is for …“ 

Deepfakes werden auch immer häufiger genutzt, um gefälschte pornografische Inhalte zu erstellen. Besonders beliebt sind dabei Prominente, so wurde beispielsweise die Sängerin Lena Meyer-Landrut bereits Opfer eines Deep-Fake-Pornos. Doch nicht nur bekannte Persönlichkeiten müssen sich gegen solche Videos zur Wehr setzen. Bereits mehrfach wurden Fälle beobachtet, in denen gewöhnliche Personen (meist Frauen) in solche Fake-Videos geschnitten und mit dem entstandenen Material erpresst wurden. Die Folgen sind nicht nur finanziell belastend –ein solches Video kann  auch massive Auswirkungen auf das Privatleben der betroffenen Person haben.

 

Angst ist an dieser Stelle trotzdem nicht der richtige Ratgeber. Erklären Sie Ihren Mitarbeiter*innen in aller Ruhe, warum sie – jetzt noch mehr als früher – genau darauf achten sollten, was sie online von sich veröffentlichen. Zum aktuellen Zeitpunkt sind Deepfakes noch stark darauf angewiesen, möglichst viele Fotos und Videos einer Person für das Algorithmus-Training zur Verfügung zu haben. Ihre Mitarbeiter*innen und Sie selbst schützen sich also am besten davor, ungewollt zum „Darsteller“ zu werden, indem sie nicht zu viel Material von sich für jedermann online zugänglich machen. Das gilt insbesondere für die beliebten Apps, die aus dem eigenen Bild eine ältere oder jüngere Version des eigenen Ichs kreieren.

 

 

3) Schwer zu erkennen und besonders gefährlich

Zwar sind Deepfakes auf dem Vormarsch, jedoch „funktionieren“ zum heutigen Zeitpunkt althergebrachte Social Engineering-Methoden noch immer zu gut und sind für Angreifer daher auch weiterhin höchst lukrativ. Die hohe Erfolgsquote deutet wiederum darauf hin, dass viele Unternehmen ihre Mitarbeiter*innen längst nicht ausreichend schulen.

Wenn sich dies eines Tages ändert und zusätzlich mehrschichtige Security-Lösungen der Standard in Unternehmen sind, werden Kriminelle neue Wege finden müssen. Besonders erfolgversprechend ist es dabei wohl, Mitarbeiter*innen gezielt ins Visier zu nehmen, ihr Vertrauen zu erschleichen und sie zu überzeugen etwas zu tun, das sie für das Richtige halten.

 

 

Keine Chance für Deepfakes: Einige Tipps

 

  • Werden Sie sich bewusst, in welchen Situationen Deepfakes meist auftreten. Gerade in Zeiten von Home Office und der zunehmenden Anzahl an Videokonferenzen müssen wir dem FBI zufolge auch mit einer Zunahme solcher Angriffe rechnen.
  • Vermitteln Sie Ihren Mitarbeiter*innen, bei verdächtigen Anrufen misstrauisch zu werden und die Identität des Anrufers zu prüfen.
  • Schulen Sie sie außerdem darin, typische Fehler in Deepfake-Fotos oder -Videos leichter zu erkennen. Auch wenn das FBI und IT-Experten davon ausgehen, dass Deepfakes mit der Zeit immer besser werden, helfen Sie Ihren Mitarbeiter*innen so zumindest, besonders aufmerksam zu sein und im Zweifel entsprechende Maßnahmen zu ergreifen.
  • Um ihre eigenen Fotos und Videos davor zu schützen, von Kriminellen missbraucht zu werden, können Sie aber auch selbst aktiv werden: Das Hinzufügen von Rauschpixeln beispielsweise macht Veränderungen am Material durch Deepfaker wesentlich schwieriger.

 

Deepfakes zielen auf die verwundbarste Stelle in Ihrer IT-Abwehr, Sie selbst und Ihre Mitarbeiter*innen. Werden Sie aktiv und stärken Sie jetzt die Resilienz Ihrer Unternehmens-IT!

 

Lesen Sie auch

social engineering how not to fall victim article

Social Engineering und wie Sie sich und Ihre Mitarbeiter effektiv schützen

Menschen sind emotionale Wesen: Ein großer Teil unseres täglichen Handelns wird von Gefühlen aller Art geprägt. Das wissen auch Cyberkriminelle und entwickeln immer neue Methoden, genau diese Eigenart auszunutzen. Das sogenannte Social Engineering erfordert dabei noch nicht einmal besondere technische Expertise und ist so für Angreifer eine besonders günstige Möglichkeit, beispielsweise an sensible Daten zu gelangen oder Mitarbeiter dazu zu bringen, ihnen Zugang zu Unternehmensnetzwerken zu ermöglichen. Hierbei spielt keine Rolle, wie klein das fragliche Unternehmen ist – jeder ist potentielles Ziel.

Cover Image_So verbessert die Unternehmenskultur die IT-Sicherheit

So verbessert die Unternehmenskultur die IT-Sicherheit

Wenn Sicherheitssysteme und Compliance-Regeln von Mitarbeitenden umgangen werden, kommt es fast zwangsläufig zu Zwischenfällen. Die meisten Schäden entstehen nicht durch automatisierte Angriffe auf das IT-Epizentrum eines Unternehmens, sondern durch eine mangelnde Sicherheitskultur. Dabei geht es allerdings um mehr, als bloßes kollektives Bewusstsein durch starre Verhaltens-Regeln zu schaffen. Was Mitarbeiter wirklich brauchen, ist eine "Kultur der Sicherheit".

Cyber-aware culture Interview with Daniel Chromek

Der kluge Weg zur Security Awareness: Wie Kontinuität und Kreativität sich bestens auszahlen

Mit Cybersecurity-Wissen ist es wie mit jedem anderen Gelernten: Was man nicht nutzt, verlernt man schnell. Genau dieser Effekt lässt sich bei Mitarbeitern beobachten, die ein bis zwei Mal im Jahr Security-Trainings bekommen. Welche dann – wenn überhaupt – nur ab und an durch oft reichlich praxisferne Vorträge aufgefrischt werden. Sie vergessen schlicht so gut wie alles, was sie gelernt haben, weil sie es im Arbeitsalltag nicht einsetzen.