Die Deepfake-Bedrohung ist da: Es ist an der Zeit, sie in das Unternehmensrisikomanagement zu integrieren

Als der britische Verfechter von Verbraucherrechten Martin Lewis die sozialen Medien nutzte, um für ein neues „Quantum AI“-Investitionsprogramm zu werben, waren viele von diesem Schritt überrascht. Schließlich hatte Lewis über viele Jahre hinweg Vertrauen in der Öffentlichkeit aufgebaut, indem er sich weigerte, kommerzielle Projekte jeglicher Art zu unterstützen. Tatsächlich handelt es sich um die Videoanzeige mit Lewis stellte sich als Deepfake heraus. Die Qualität des Abbilds wurde für den Mann selbst als „erschreckend“ eingestuft, der warnte, dass solche Fälschungen „Leben ruinieren“ könnten.

Das stimmt zweifellos. Bei böswilliger Nutzung stellt die Technologie jedoch nicht nur eine Betrugsgefahr für Verbraucher dar, sondern stellt auch ein enormes finanzielles und Reputationsrisiko für Unternehmen dar. Es besteht ein Risiko, das durch ein solides Informationssicherheits-Managementsystem (ISMS) gemindert werden kann.

Was ist Deepfake-Technologie?

Deepfakes nutzen eine Art KI-Technologie namens Deep Learning, um gefälschte Video- und Audioaufnahmen von Personen zu erstellen, die kaum von echten Inhalten zu unterscheiden sind. Es kann verwendet werden, um Sprache zu synthetisieren und Gesichtsausdrücke effektiv zu manipulieren, um den Eindruck zu erwecken, dass eine Person etwas sagt, was sie nicht sagt. Während es legitime Einsatzmöglichkeiten für die Technologie gibt, beispielsweise in der Filmindustrie, wird sie zunehmend für bösartige Zwecke eingesetzt.

Der Martin-Lewis-Fake ist einer der ersten Fälle, in denen ein Video auf diese Weise zur Förderung von Anlagebetrug eingesetzt wurde. Allerdings gibt es schon seit einigen Jahren Deepfake-Audio, mit dem Empfänger dazu verleitet werden, Gelder auf Konten von Betrügern zu überweisen. Diese Technik hat einen Briten ausgetrickst CEO zum Glauben ein Fake-Audio von seinem deutschen Chef, der ihn auffordert, über 240,000 US-Dollar auf ein Drittkonto zu überweisen. Und es hat einen japanischen Manager betrogen glaubte, dass der Direktor seines Mutterunternehmens eine Überweisung in Höhe von 35 Millionen US-Dollar beantragt hatte.

Was sind die potenziellen Bedrohungen?

Bei den oben genannten Fällen handelt es sich um eine Art Abwandlung des Business Email Compromise (BEC)-Betrugs, einer Art Vorschussbetrug, bei dem der Betrüger seine Opfer dazu verleitet, große Überweisungen an Letztere zu tätigen. Es gibt jedoch auch andere neue Bedrohungen für Unternehmen. Diese beinhalten:

Phishing-Taktiken auf die Spitze treiben: Ein gefälschtes Audio- oder Videodokument einer vertrauenswürdigen Person innerhalb des Unternehmens, beispielsweise des Leiters der IT oder einer Geschäftseinheit, könnte das Opfer dazu verleiten, seine Anmeldedaten oder vertraulichen Geschäftsinformationen preiszugeben. Das FBI hat schon gewarnt Mitarbeiter von Deepfake-Audio, das in Verbindung mit Videokonferenzplattformen verwendet wird.

Bewerben Sie sich in betrügerischer Absicht auf Remote-Jobs: Das FBI hat warnte auch von Deepfakes, die mit gestohlenen persönlichen Daten verwendet werden Helfen Sie Betrügern, Remote-Arbeitsplätze zu gewinnen. Der Zugriff auf das Unternehmensnetzwerk könnte dann dazu genutzt werden, sensible Kunden- und Unternehmensinformationen zu stehlen.

Umgehen von Identitätsprüfungen: Gesichts- oder Stimmerkennung ist für Unternehmen eine immer beliebter werdende Methode zur Authentifizierung von Benutzern, insbesondere Kunden. Wie detailliert beschrieben von Europol, könnten Deepfakes eingesetzt werden, um diese Systeme dazu zu verleiten, Kontozugriff zu gewähren. Obwohl dies keine direkte Bedrohung für die Unternehmenssicherheit darstellt, könnte es ernsthafte Auswirkungen auf den Ruf und das finanzielle Risiko haben.

Kunden direkt betrügen: Wie Timothy Morris, Chef-Sicherheitsberater von Tanium, argumentiert, könnten Audio-Deepfakes als Folge von Smishing-Kampagnen (Phishing-Text) verwendet werden, bei denen Kunden aufgefordert werden, eine Nummer anzurufen, wenn sie eine bestimmte Belastung auf ihrem Konto nicht erkennen.

„Wenn Sie anrufen, wartet ein freundlicher Deepfake, der Ihre Bank vertritt, darauf, Ihre Anmeldeinformationen und Ihr Geld entgegenzunehmen“, erklärt er gegenüber ISMS.online. „Ähnliche Methoden können Deepfakes für technischen Support und Liebesbetrug nutzen.“

Verbreitung von Desinformationen über das Unternehmen: Beispielsweise möchte ein Unternehmen möglicherweise den Umsatz und den Aktienkurs seines Konkurrenten beeinflussen, indem es ein gefälschtes Video eines CEO veröffentlicht, in dem er behauptet, die Produkte seines Unternehmens seien fehlerhaft. 

„Die Verbreitung von Deepfake-Inhalten, die darauf abzielen, Organisationen oder Schlüsselpersonen zu diffamieren, kann zu erheblichen Reputationsschäden führen“, sagt Ricardo Amper, CEO von Incode, gegenüber ISMS.online. „Durch die Manipulation der öffentlichen Wahrnehmung können Deepfakes weitreichende gesellschaftliche Auswirkungen haben und sich auf die Marktwahrnehmung, das Kundenvertrauen und sogar auf das politische Umfeld auswirken.“

Wie kann ein ISMS helfen?

Glücklicherweise gibt es Dinge, die Unternehmen systematisch tun können, um die von Deepfakes ausgehenden Risiken zu mindern, so Eze Adighibe, ISO-Berater bei Bulletproof.

„Deepfakes werden mit verschiedenen Dingen in Verbindung gebracht Cyber-Risiken, die ein wirksames Informationssicherheits-Managementsystem erfordern (ISMS) kann über ein Compliance-Framework wie ISO 27001 bei der Schadensbegrenzung unterstützen. Beispiele für diese Risiken sind Social-Engineering-Angriffe, Betrug, Identitätsdiebstahl, gefälschte Profile und automatisierte Fehlinformationen“, sagt er gegenüber ISMS.online.

„Ein ISMS erfordert eine umfassende Risikobewertung der Informationssicherheit mit einer Analyse der Auswirkungen und der Auswahl von Kontrollen zur Behandlung identifizierter Risiken. Daher sollten Organisationen angesichts der Bedrohung, die sie heute darstellen, die Einbeziehung von Deepfakes in ihre Risikobewertungsaktivitäten in Betracht ziehen.“

Laut Adighibe kann ein ISMS insbesondere in drei Bereichen dazu beitragen, das Deepfake-Risiko zu mindern:

• Sensibilisierung der Mitarbeiter für die mit Deepfakes verbundenen Risiken
• Implementierung geeigneter technischer Kontrollen zur Erkennung und Verhinderung von Deepfakes
• Entwicklung von Vorfallreaktions-/Managementverfahren für den Umgang mit Deepfake-Angriffen

Er erklärt, dass die in ISO 27001 aufgeführten Kontrollen, die hier helfen könnten, Sicherheitsbewusstseinsschulungen/Phishing-Simulationen, starke Zugangskontrollen und Sicherheitsüberwachungstools sind. Andere befassen sich mit der Privatsphäre und dem Schutz personenbezogener Daten, der Löschung von Informationen, Berichterstattung über Sicherheitsereignisse und Bedrohungsinformationen.

„Organisationen, die sich gut mit der Eindämmung neuer Bedrohungen auskennen, verfügen bereits über Maßnahmen zur Bekämpfung von Deepfakes, aber es ist höchste Zeit, dass alle Unternehmen, unabhängig von ihrer Größe, eine Bestandsaufnahme der Risiken vornehmen und die richtigen Sicherheitskontrollen implementieren“, sagt Oliver Pinson, CEO von Defense.com. Roxburgh erzählt ISMS.online.

Er hat recht. Deepfake-Audio/Video wird nicht nur immer realistischer. Es wird für immer mehr Personen mit schändlichen Absichten erschwinglicher. Dort sind auch Zeichen dass diese Fähigkeiten als Dienstleistung im Untergrund der Cyberkriminalität angeboten werden. Das ist ein sicherer Weg, es noch mehr böswilligen Akteuren zugänglich zu machen.