Deepfakes und ihre Gefahr für die IT-Sicherheit

deepfakes - mithilfe von KI werden Ton-, Bild- und Videoaufnahmen manipuliert
Die Anzahl von Deepfakes nimmt zu. Der Grund: Software, die Deepfakes zulässt, ist mittlerweile weit verbreitet und auch durch ungeschulte User erfolgreich und überzeugend anwendbar. Doch welche Folgen haben Deepfakes für die IT-Sicherheit - und damit auch für Ihr Unternehmen? Und wie können Sie sich davor schützen?

Deepfakes und ihre Gefahr für die IT-Sicherheit

...

Deepfakes und ihre Gefahr für die IT-Sicherheit

deepfakes - mithilfe von KI werden Ton-, Bild- und Videoaufnahmen manipuliert
Die Anzahl von Deepfakes nimmt zu. Der Grund: Software, die Deepfakes zulässt, ist mittlerweile weit verbreitet und auch durch ungeschulte User erfolgreich und überzeugend anwendbar. Doch welche Folgen haben Deepfakes für die IT-Sicherheit - und damit auch für Ihr Unternehmen? Und wie können Sie sich davor schützen?

Mit Unterstützung von Künstlicher Intelligenz (KI) ein gefälschtes Bild, eine falsche Tonaufnahme oder ein manipuliertes Video zu erstellen ist nicht schwer. Die Mediendateien erscheinen absolut echt – sind es aber nicht. Die Rede ist von sogenannten Deepfakes.

Ein klassisches Beispiel ist etwa der Austausch eines Gesichts – im Stand- oder auch Bewegtbild. Auch wenn Deepfakes häufig nur für einen kurzen Spaß im Netz genutzt werden, geht durch sie eine kaum zu unterschätzende Gefahr für Ihre IT-Sicherheit aus.

Wie die aufmerksamen Leser:innen unseres Blogs mit Sicherheit wissen, nehmen Cyberkriminelle meist die Belegschaft eines Unternehmens ins Visier ihrer Angriffe. Gezielte Spear-Phishing-Angriffe auf einzelne Angestellte sind häufig von Erfolg gekrönt und äußerst lukrativ. Die Angreifer können mit einer geglückten Attacke auf ein Unternehmen unter Umständen Beträge in Millionenhöhe erbeuten.

Manipulation durch künstliche Intelligenz

Dass die Angreifer bei diesen großen Erfolgen in moderne Technologien und KI investieren, ist nicht verwunderlich. Besonders begehrt: Programme, welche die Stimme einer bestimmten Person imitieren. Als Beispiel sei hier eine frei verfügbare Software von descript genannt: Lyrebird AI. Mit solchen Tools lassen sich etwa die Stimmen von Vorgesetzten imitieren. Dieses Vorgehen nennt man voice cloning.

Menschen mit Hilfe von Deepfakes zu manipulieren, ist also einfacher, als man denkt. 2017 nahm der Siegeszug von Deepfakes seinen Anfang. Damals in erster Linie in Form von Videos, die aber leicht als Fälschung zu erkennen waren.

In den letzten fünf Jahren wurden die KI-Technik – und mit ihr das maschinelle Lernen – kräftig weiterentwickelt. Selbst User, die keine Erfahrung mit der Erstellung von Deepfakes mitbringen, haben jetzt die Möglichkeit, gefälschte Audio-, Bild- und Videoinhalte zu erstellen. Und das innerhalb von kürzester Zeit.

Cyberangriffe mit Hilfe von Deepfakes

Deepfakes sind ideal für das Starten von Social Engineering-Angriffen. Social Engineering ist eine Betrugsmasche, bei der es um die zwischenmenschliche Beeinflussung einer Person geht. Der Angreifer versucht das Vertrauen einer Person zu gewinnen und sie so etwa zur Preisgabe von vertraulichen Informationen zu bewegen.

Im Unternehmenskontext geschieht das meist durch Voice-Phishing. Wie oben beschrieben, imitiert eine Computerstimme täuschend echt die Stimme eines Kollegen, einer Chefin oder einer anderen Person aus dem Arbeitsumfeld. Ziel ist es dabei, eine gewünschte Handlung bei seinem Opfer auszulösen oder auch eine Phishing-Mail zu legitimieren, die beispielsweise zum Zurücksetzen eines Passworts auffordert.

Bei diesem Beispiel handelt es sich um eine Double Barrel-Attacke. Double Barrel bezeichnet den Doppellauf einer Schrotflinte. Der Angriff erfolgt auf Basis von zwei Kontakten – hier telefonisch und per Mail. Solche Angriffe sind zwar mit einigen Mühen für die Cyberkriminellen verbunden, gelingen aber meist.

Deepfakes: Was Unternehmen jetzt tun können

Das perfide an Double Barrel-Attacken ist die Kombination von Voice-Phishing und einer Phishing-Mail. Der Erfolg einer Cyberattacke steigt dadurch immens. Entsprechend sollten Unternehmen aller Größen Maßnahmen im Sinne einer durchdachten Cyber Security Strategie ergreifen. Dazu rät auch bitkom in dem aktuellen Artikel „IT-Sicherheit: Was Unternehmen jetzt dringend tun sollten“, da der Krieg in der Ukraine auch im digitalen Raum geführt wird und mit Cyber-Attacken auf deutsche Unternehmen zu rechnen ist.

Auch wenn bereits Software-Lösungen entwickelt werden, die Deepfakes erkennen, so sind diese lange nicht verlässlich genug, um zuverlässig vor einem Angriff zu schützen. Wichtiger ist es, in die Schulung von Mitarbeiter:innen zu investieren und die Belegschaft für die Gefahr, die von Deepfakes und auch Phishing ausgehen, zu sensibilisieren.

Die beste Maßnahme dafür, ist die regelmäßige Durchführung von Security Awareness Trainings, wie wir von IT-Seal sie anbieten. Unsere Awareness Academy kombiniert E-Learnings und Phishing-Simulationen so miteinander, dass erworbenes Wissen direkt in der Praxis angewandt werden kann. Das Training erfolgt dabei immer bedarfsgerecht, um die Ressourcen der Mitarbeiter:innen zu schonen – so viel, wie nötig und so wenig, wie möglich.

Wollen Sie erfahren, wie Sie Ihre Mitarbeiter im Autopiloten sensibilisieren und trainieren können? Testen Sie unsere Phishing-Demo und trainieren Sie Ihre Security Awareness kostenlos!

Sie erhalten nach der Anmeldung insgesamt vier Phishing-E-Mails in den kommenden Wochen und am Ende der Demo eine Auswertung, ob und auf welche E-Mails Links Sie geklickt haben.

Erfahrungen & Bewertungen zu IT-Seal GmbH
IT-Seal bietet IT-Security made in Germany.