Täuschungsversuche per Deepfakes können für Unternehmen eine enorme Bedrohung darstellen. Die jüngsten Deepfake-Betrügereien haben dies deutlich vor Augen geführt. Solche ausgeklügelten Angriffe zeigen nicht nur die Schwachstellen auf, denen hochrangige Personen ausgesetzt sind, sondern unterstreicht auch die Notwendigkeit von Sicherheitsschulungen. Wie Sie sich vor Deepfakes schützen können, erfahren Sie in diesem Blogbeitrag.
Mithilfe künstlicher Intelligenz lassen sich täuschend echte Fälschungen erzeugen. Dies schürt Befürchtungen, dass sogenannte Deepfakes eine erhebliche Bedrohung für die digitale Gesellschaft darstellen könnten. Diese Entwicklung markiert einen markanten Wendepunkt in der Cybersicherheit und erfordert ein Überdenken traditioneller Sicherheitsansätze.
Expert*innen prognostizieren, dass bis 2026 jedes dritte Unternehmen zur Einsicht gelangen wird, dass seine etablierten Methoden zur Identitätsüberprüfung angesichts der Raffinesse von Deepfake-Technologien nicht mehr ausreichen. Wenn die Technologie die Grenzen zwischen Realität und Fiktion verwischt, zeigt der jüngste Vorfall mit dem US-Senator Ben Cardin deutlich die wachsende Bedrohung durch Deepfake auf. Was ist geschehen?
Anfangs Oktober 2024 war Cardin das Angriffsziel einer ausgeklügelten Täuschungsaktion. Den Betrügern, die sich als ukrainischer Aussenminister Dymtro Kuleba ausgaben, gelang es, ein Zoom-Gespräch mit dem Senator zu führen. Die Imitation war so überzeugend, dass sich Cardin und seine Mitarbeitenden zunächst täuschen liessen, was die erschreckende Genauigkeit der modernen Deepfake-Technologie demonstriert. Der Betrug flog jedoch auf, als der Imitator begann, politisch Fragen zu stellen, die nicht zu Minister Kuleba passten. Diese Abweichung vom erwarteten Verhalten alarmierte Senator Cardin und sein Team, woraufhin sie den Anruf beendeten und die Behörden alarmierten. Dieser Vorfall ist kein Einzelfall. Deepfake-Betrügereien werden immer häufiger und raffinierter. Das zeigt auch der zweite Fall – der für das Opfer nicht so glimpflich verlaufen ist:
Diese Hackergeschichte ereignete sich vor nicht allzu langer Zeit in einer Niederlassung eines multinationalen Unternehmens in Asien. Die Hacker haben das Opfer zuerst mit einem Phishing-E-Mail als primärer Angriffsvektor kontaktiert, gefolgt von einem gefälschten Videoanruf.
In diesem Fall waren genug Informationen vorhanden, um eine vermeintliche Autorität für einen Finanzmitarbeiter zu schaffen, der in 15 Transaktionen umgerechnet insgesamt rund 20 Millionen Schweizer Franken auf fünf verschiedene Bankkonten in Hongkong überwies – bis der Betrug entdeckt wurde. Die Polizei berichtete, dass die ursprüngliche Phishing-E-Mail zu einer Online-Sitzung über dringende Finanztransaktionen geführt hatte. Die Betrüger hatten sorgfältig ein Gespräch zwischen mehreren leitenden Angestellten des Unternehmens, einschliesslich des Finanzchefs, eingefädelt.
Die einzige echte Person, die sich in diese Sitzung einwählte, war jedoch der Finanzmitarbeiter, der anschliessend das Geld überwies. Alle anderen, einschliesslich des CFO, waren Deepfakes. Das gesamte Gespräch wurde im Voraus aufgezeichnet und es fand keine natürliche Interaktion statt. Dennoch glaubte der Finanzmitarbeiter, dass er von der Geschäftsleitung den Auftrag für die Überweisung erhalten hatte. Während dieser Sitzung wird die dringende Notwendigkeit der Transaktionen unterstrichen, woraufhin der Finanzmitarbeiter zum Schluss kommt, dass diese ausgeführt werden müssen. Es herrschte ein Gefühl der Dringlichkeit, ein Gefühl der Verpflichtung oder der Notwendigkeit, dem nachzukommen, eine starke Motivation zum Handeln und nur ein einziger Ausweg aus der Situation. Das klassische Social-Engineering- und Phishing-Rezept!
Es sind keine weiteren Einzelheiten über den Vorfall bekannt, aber der Betrug scheint nach dem üblichen Schema abzulaufen. Eine Phishing-E-Mail gibt sich als Geschäftsführer aus und fordert einen Finanzmitarbeiter auf, an einer dringenden Sitzung teilzunehmen, um wichtige Finanztransaktionen zu besprechen. Wie der Mitarbeitende das Phishing-E-Mail hätte erkennen können, erfahren Sie in unserem hilfreichen Phishing-Poster (dieses dürfen Sie auch gerne an Ihre Mitarbeitenden verteilen – und sie damit auf diese Gefahr aufmerksam zu machen).
Niemand sollte sich zurücklehnen und sagen: «Das wäre in unserem Unternehmen nicht passiert. Unsere Unternehmenskultur ist so, dass wir eine grössere Transaktion mit der Führung immer über einen zusätzlichen Kanal prüfen müssen und werden.» Das mag durchaus richtig sein. Allerdings sollte man sich nicht zu der Annahme hinreissen lassen, dass geschickte Betrüger nicht an die Daten herankommen werden. Unsere simulierten Phishing-Angriffe bestätigen dies leider allzu oft – und denken Sie daran: Cyberkriminelle sind hervorragend in ihrem «Metier».
Die Verwendung von Deepfakes ist ein mächtiges Werkzeug – und eigentlich konnte es die gesamte Cybersicherheits-Community kaum erwarten, von der ersten erfolgreichen Verwendung eines Deepfakes für Social Engineering zu hören. Es war nur eine Frage der Zeit. Inzwischen ist eine gefälschte Person in einem Deepfake-Video oder einer Audioaufnahme von einer echten Person kaum mehr zu unterscheiden.
Trotz der zunehmenden Raffinesse von Deepfakes existieren charakteristische Merkmale, die es ermöglichen, solche Fälschungen zu identifizieren. Aufmerksame Betrachter können auf subtile Anzeichen achten, wie unnatürliche Augenbewegungen oder fehlende Lichtreflexionen in den Augen. Auch Anomalien wie doppelte Kinnpartien, Augenbrauen oder Gesichtsränder weisen manchmal auf einen Deepfake hin. Darüber hinaus können Inkonsistenzen in der Hintergrundgestaltung oder der Beleuchtung wichtige Hinweise auf eine mögliche Manipulation liefern. Aber Achtung: Die Qualität der Deepfakes wird von Tag zu Tag besser...
Es gibt noch eine andere Wahrheit: Dieser Betrug hätte durch eine angemessene Schulung der Mitarbeitenden vermieden werden können! Immer innehalten und nachdenken, ist angesagt. Vertrauen, aber prüfen, lautet die Devise. Nutzen Sie unbedingt die Befehlskette, um Transaktionen zu überprüfen, besonders wenn Anfragen unwahrscheinlich oder ungewöhnlich erscheinen.
Es steht uns eine Zukunft bevor, in der kaum mehr zwischen Fälschung und Original unterschieden werden kann.
Die Gesellschaften, Ihr Unternehmen und Sie als Privatperson werden gleichermassen darunter leiden, wenn das Vertrauen in Bild, Ton und Text grundlegend verloren geht. Auf Vorfälle wie den hier geschilderten, müssen Sie sich vorbereiten.
Die Sensibilisierung Ihrer Mitarbeitenden im Umgang mit Informationen und aktuellen Bedrohungen ist elementar, um sich vor Deepfakes und Phishing-Angriffen zu schützen und so Ihre Cyberresilienz nachhaltig zu stärken. Wenn Sie sich der Sicherheitskultur Ihres Unternehmens annehmen, können Sie umsichtige Verhaltensweisen zur Cybersicherheit gezielt fördern. Eine nachhaltig gestaltete Sicherheitskultur ist der beste Schutz für Ihr Unternehmen. Korrektes Verhalten und schnelle Reaktion können Deepfakes und Phishing-Angriffe abwehren. Der Mehrwert von Security-Awareness-Trainings steht ausser Frage.
Security Awareness, die richtig vermittelt und etabliert wird, macht den Unterschied zwischen einem fatalen Klick und der richtigen Handlungsweise aus. Security Awareness geschieht aber nicht von heute auf morgen und ist meist komplexer als angenommen. Daher ist es umso wichtiger, sich Unterstützung von Expert*innen zu holen. Unser erfahrenes Awareness-Team begleitet seit vielen Jahren sehr erfolgreich Unternehmen beim Aufbau einer gelebten Sicherheitskultur. Zudem gilt es den Mitarbeitenden die Möglichkeit zu bieten, das erlernte Verhalten in regelmässigen Phishing-Simulationen – beispielsweise mit der weltweit grössten «Security Awareness Trainings»-Plattform von KnowBe4 – zu vertiefen und zu verifizieren.
Möchten Sie die «Security Awareness Trainings»-Plattform von KnowBe4 kennenlernen? Nehmen Sie unverbindlich Kontakt mit uns auf, um eine Live-Demo zu erhalten. Wir freuen uns darauf, die Security Awareness von Ihnen und Ihren Mitarbeitenden zu stärken!
Quelle: KnowBe4-Blogartikel
Bildlegende: KI-generiertes Bild