Deepfake-Technologie auf Basis künstlicher Intelligenz (KI) ist kein neues Phänomen. Der Begriff „Deepfake“ wird bereits seit 2017 zur Beschreibung synthetischer Medien verwendet, und viele Beispiele für Deepfakes wurden weithin bekannt gemacht. Zu den viralen Beispielen gehören ein KI-generiertes Video von Mark Zuckerberg, in dem er über die schändliche Macht von Facebook spricht, ein TikTok-Konto, das sich dem Teilen von Deepfake-Videos des Schauspielers Keanu Reeves widmet, und sogar ein Video der Sprecherin des US-Repräsentantenhauses Nancy Pelosi, das manipuliert wurde, um sie betrunken aussehen zu lassen. 

Die Deepfake-Technologie entwickelt sich weiterhin rasant weiter und es ist schwieriger denn je, zu unterscheiden, was echt ist und was nicht. Haben Deepfakes im Zuge der britischen Parlamentswahlen die Sicht der Wähler auf politische Kandidaten beeinflusst – und sogar ihre Wahlentscheidung beeinflusst?

Deepfakes bei den britischen Parlamentswahlen

Letzten Monat wurde auf X (ehemals Twitter) ein manipuliertes Video des Labour-Politikers Wes Streeting veröffentlicht, in dem er angeblich seine Labour-Kollegin und Parlamentsabgeordnete Diane Abbott als „dumme Frau“ bezeichnet. Die BBC berichteten, dass das Video und viele der darauf folgenden Kommentare auf X von einem Netzwerk aus Accounts stammten, die Clips von Politikern erstellen und teilen und dann irreführende Kommentare posten, um den Eindruck zu erwecken, die Bilder seien echt. 

Zielt das Netzwerk darauf ab, die anvisierten Politiker zu unterminieren und zu diskreditieren, sei es aus politischen Gründen oder einfach zur Unterhaltung? Der BBC-Bericht ergab, dass dieselben Accounts Deepfake-Clips von Luke Akehurst von Labour sowie Nigel Farage von Reform UK veröffentlichten und damit das gesamte politische Spektrum des Vereinigten Königreichs abdeckten. In einem anderen Zusammenhang gingen kürzlich auch satirische Deepfake-Videos des britischen Premierministers Rishi Sunak viral, nachdem er Vorschläge für den Nationaldienst angekündigt hatte. 

Die Auswirkungen der KI beschränken sich nicht nur auf soziale Medien: Es gibt sogar eine Unabhängiger KI-Kandidat namens AI Steve, ein Avatar des echten Geschäftsmannes Steven Endacott. 

Eine Studie von YouGov ergab, dass 43 % der Briten ihre Nachrichten während der Parlamentswahl aus sozialen Medien beziehen, nur übertroffen vom Fernsehen (58 %). Insgesamt informieren sich 77 % online. Während also viele Anwendungen der Deepfake-Technologie harmlos und unterhaltsam sein können, könnten die Folgen von Videos wie dem Wes Streeting-Clip politisch schädlich sein. Wenn die Briten ihre Stimme abgeben, werden Deepfakes bei manchen wahrscheinlich ihre Wahlentscheidung beeinflussen.

GenAI wirkt sich auch weiterhin auf Unternehmen aus

Auch Unternehmen und deren Kunden stehen weiterhin im Visier von Bedrohungsakteuren. Letzte Woche wurde der YouTube-Kanal des australischen Nachrichtensenders 7News von Bedrohungsakteuren gehackt. Diese nutzten ihn, um ein KI-generiertes Video von Elon Musk, der einen Kryptowährungsbetrug anpries, live zu streamen. The Sydney Morning Herald berichtete, dass der Deepfake die Zuschauer dazu aufforderte, einen QR-Code mit der Marke Tesla zu scannen und Geld in das Kryptowährungssystem einzuzahlen, um „ihre Krypto-Assets zu verdoppeln“. 

Der Hack zeigt, dass die Angreifer immer raffinierter vorgehen, wenn es darum geht, Unternehmen zu kompromittieren und so an kritische Daten – und Kunden – zu gelangen. Der YouTube-Kanal von 7News hat über eine Million Abonnenten, wodurch die Betrüger hinter dem Angriff das große Publikum von 7News erreichen konnten: KryptoNews berichtete, dass der Live-Stream von rund 60,000 Zuschauern verfolgt wurde und ein weiterer parallel laufender Stream von rund 45,000 Menschen angesehen wurde. 

Deepfakes ermöglichen es Angreifern außerdem, Angriffe im Stil von Business Email Compromise (BEC) auf Organisationen durchzuführen, indem sie KI-generierte Audio-, Bild- und Videodateien verwenden, um sich als leitende Mitarbeiter auszugeben. Im April teilte LastPass mit, dass ein Bedrohungsakteur hatte sich als CEO Karim Toubba ausgegeben über WhatsApp einem Mitarbeiter Anrufe, SMS und Voicemails mit einem Audio-Deepfake senden. In diesem Fall meldete der Mitarbeiter den Vorfall und die Bedrohung wurde von LastPass abgeschwächt. Dennoch gibt es in letzter Zeit viele Vorfälle, bei denen diese Angriffsmethode erfolgreich war und zu finanziellen Verlusten führte.

Fortschritte in der KI-Technologie führen zu erhöhten Cyber-Bedrohungen

KI wird für Bedrohungsakteure zu einer immer zugänglicheren Technologie, was zu einem Anstieg der Angriffe auf Einzelpersonen und Unternehmen führt. Unsere Bericht zum Stand der Informationssicherheit befragte über 1,500 Informationssicherheitsexperten und fand heraus, dass fast ein Drittel (30 %) der Unternehmen in den letzten 12 Monaten einen Deepfake-Angriff erlebt haben. 

Die Mehrheit der Befragten (76 %) stimmte jedoch auch zu, dass KI- und maschinelle Lerntechnologien (ML) die Informationssicherheit verbessern und neue Möglichkeiten zur Automatisierung, Analyse und Verbesserung von Sicherheitsmaßnahmen bieten. 62 % gehen davon aus, dass ihre Ausgaben für KI- und ML-Sicherheitsanwendungen in den kommenden zwölf Monaten steigen werden. 

KI-gestützte Technologie bietet Unternehmen sowohl Herausforderungen als auch unglaubliche Chancen. Wie können wir Deepfake-Vorfälle angehen und verhindern?

Reduzierung des Risikos von Deepfake-Vorfällen

Für Unternehmen sind Schulung und Sensibilisierung der Mitarbeiter von entscheidender Bedeutung, um das Risiko von Deepfake-Vorfällen zu verringern. Standards wie ISO 27001, der internationale Informationssicherheitsstandard, bieten einen Rahmen für den Aufbau, die Aufrechterhaltung und die kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS). Dazu gehört die Implementierung einer Informationssicherheitsrichtlinie, die Ihren Mitarbeitern bei der Meldung eines verdächtigen Vorfalls, wie z. B. eines BEC-Angriffs, per E-Mail oder in Form eines Deepfakes hilft. 

Bei den britischen Parlamentswahlen muss die Öffentlichkeit wachsam sein, wenn es darum geht, ob auf Social-Media-Plattformen gepostete Videos und Audioausschnitte echt oder manipuliert sind. Mehrere visuelle und akustische Hinweise können helfen, einen Deepfake zu identifizieren. 

Zu den visuellen Hinweisen gehören: 

  • Unnatürliche Augenbewegungen (oder fehlende Augenbewegungen)
  • Inkonsistente Gesichtsausdrücke
  • Unkoordinierte oder ruckartige Körperbewegungen
  • Unecht wirkende Zähne oder fehlende Umrisse einzelner Zähne
  • Unscharfe oder falsch ausgerichtete Bilder. 

Zu den akustischen Hinweisen gehören:

  • Roboterartig klingende Geräusche
  • Audiostörungen 
  • Inkonsistente Audioqualität
  • Seltsame Aussprache von Wörtern
  • Lippensynchronisationsfehler mit Diskrepanzen zwischen gesprochenen Wörtern und Lippenbewegungen.

Den Einfluss synthetischer Medien bekämpfen

Es wird schwierig sein, die Auswirkungen von KI-generierten Deepfakes auf die britischen Parlamentswahlen zu messen. Da 43 % der Briten ihre Nachrichten aus sozialen Medien beziehen, werden viele Wähler wahrscheinlich eine Form von synthetischen Medien im Zusammenhang mit einer politischen Partei gesehen haben – ob sie sich dessen bewusst sind oder nicht. 

Benutzer auf X identifizieren jedoch regelmäßig potenzielle Deepfakes und warnen andere Benutzer über die Community-Notizen-Funktion. Die X-Plattform selbst verfügt nun über eine Richtlinie zu manipulierten Medien, die besagt, dass „Sie keine synthetischen, manipulierten oder aus dem Kontext gerissenen Medien teilen dürfen, die Menschen täuschen oder verwirren und zu Schaden führen könnten“. Der Account, der ursprünglich das manipulierte Video von Wes Streeting gepostet hat, wurde inzwischen gesperrt, aber die Auswirkungen bleiben abzuwarten.

Angesichts der zunehmenden Zahl von Deepfake-Vorfällen sollten Unternehmen auch darüber nachdenken, wie sie ihre Sicherheitslage verbessern können. Die Entwicklung eines robusten ISMS nach der Norm ISO 27001:2022 hilft Unternehmen, ihre Abwehrmaßnahmen gegen Cyberbedrohungen zu stärken, das Risiko erfolgreicher Angriffe zu verringern und sicherzustellen, dass die Mitarbeiter sich ihrer Rollen und Verantwortlichkeiten in Bezug auf die Informationssicherheit bewusst sind.