Deepfakes kennt jeder, nicht zuletzt durch das Bild des Papstes im modischen Steppmantel. Für Unternehmen werden diese täuschend echten digitalen Fälschungen von Bildern und Stimmen zu einer echten Bedrohung. In diesem Blogbeitrag geht es speziell um die Risiken von Deepfakes im Geschäftsumfeld und darum, wie sich Unternehmen schützen können.
Zunächst eine kurze Beschreibung, was Deepfakes eigentlich sind: Dabei handelt es sich um digital manipulierte Audio-, Video- oder Bilddateien, die mithilfe von KI-Technologien erstellt werden. Diese Manipulationen können so überzeugend sein, dass sie von echten Aufnahmen kaum zu unterscheiden sind. Das Rennen um möglichst realistische Deepfakes begann bereits 2015, als die Rechenleistung endlich ausreichte, um ein paar hundert Pixel große Deepfakes zu erstellen. Damals konnte man noch mit bloßem Auge erkennen, ob es sich um ein Fake handelt. Das ist heute kaum mehr möglich.
Die Technologie hinter Deepfakes
Eine der Technologien, die bereits früh verwendet wurden, ist der Face Swap. Mit dieser Technologie lassen sich bereits seit 2019 Gesichter in Video-Calls in Echtzeit austauschen. Hierzu finden sich zahlreiche Beispiele auf YouTube . Ein Klon einer beliebigen Stimme lässt sich heute in nur wenigen Minuten erstellen – dank Tools wie ElevenLabs und HeyGen –, natürlich immer unter der Prämisse, dass man seine eigene Stimme in die Tool-Landschaft lädt.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Doch Cyberkriminelle halten sich kaum an solche Vorgaben, und das macht die Entwicklung so gefährlich für Unternehmen. Deepfakes können, angewendet auf Unternehmen, für verschiedene Betrugsszenarien missbraucht werden. So können beispielsweise Führungskräfte imitiert oder Mitarbeitenden gefälschte Anweisungen gegeben werden.
Alarmierende Präzedenzfälle
Im Mai 2024 wurde der CEO von WPP, dem weltweit größten Werbekonzern, Ziel eines Deepfake-Betrugs. Betrüger erstellten ein WhatsApp-Konto mit einem öffentlich zugänglichen Bild des CEOs Mark Read und nutzten es, um ein Microsoft-Teams-Meeting zu arrangieren. Die Betrüger verwendeten Bild- und Audiomaterial aus YouTube-Aufnahmen, um den CEO zu imitieren. Glücklicherweise wurde der Betrug durch die Wachsamkeit der Mitarbeitenden verhindert. Ein weiterer prominenter Deepfake-Versuch bei Ferrari scheiterte ebenfalls, weil ein Manager nicht auf die Masche hereinfiel.
Doch nicht alle Betrugsversuche gehen so glimpflich aus: Arup, ein renommiertes britisches Design- und Ingenieurbüro, kam ein erfolgreicher Versuch im Januar 2024 teuer zu stehen. Ein Mitarbeiter fiel in Hongkong einem Deepfake-Betrug zum Opfer und überwies stolze 25 Millionen US-Dollar an die Cyberkriminellen. Die Betrüger nutzten ebenfalls gefälschte Stimmen und Bilder, um sich als CFO und weitere Kollegen auszugeben. Trotz anfänglicher Skepsis wurde der Mitarbeiter schlussendlich erfolgreich getäuscht.
Wie sich Unternehmen vor Deepfakes schützen können
Angesichts der wachsenden Bedrohung durch Deepfakes sind Unternehmen gefordert, aktiv Maßnahmen zu ergreifen, um sich zu schützen. Hier sind einige Tipps, die helfen, sich solchen Betrugsmaschen zu stellen:
1. Mitarbeiterschulungen erweitern: Genauso wie Phishing gehören Deepfakes ins Repertoire für die Sensibilisierung der Belegschaft. Zudem es kommt auf die Frequenz an. Nur 48 Prozent der Organisationen bieten regelmäßig Schulungen zur Cybersicherheit an, ergibt die Studie „Cybersecurity im Zeitalter von KI“ von Sopra Steria.
2. Technologische Lösungen nutzen: Es reicht nicht, darauf zu vertrauen, dass Mitarbeitende wie im Falle von WPP und Ferrari die Fakes jedes Mal erkennen. Deepfake-Detektionssoftware unterstützt Unternehmen dabei, verdächtige Videos, Bilder oder anderen Content zu prüfen und Fakes aktiv zu erkennen. Das Bewusstsein für die Tech-Unterstützung ist vorhanden: 54 Prozent der für unsere Studie befragten Fach- und Führungskräfte glauben, dass Organisationen ohne den Einsatz von KI in der Cybersecurity zukünftig keine Chance gegen Cyberangriffe haben.
3. Klare Richtlinien etablieren: Es braucht eindeutige Sicherheitsprotokolle für die kritische Kommunikation und für Transaktionen, um schnell und wirksam mit Deepfakes umzugehen. Die Richtlinien sollten Teil einer Gesamt-Governance für den KI-Einsatz sein. Hier besteht Nachholbedarf: Nur 24 Prozent der für die Studie befragten Erwerbstätigen geben an, dass ihre Organisationen klare Leitlinien für den Einsatz von KI-Tools haben.
4. Maßnahmen kontinuierlich anpassen: Die Tricks, mit denen Cyberangreifer Unternehmen schaden wollen, entwickeln sich ständig weiter. Mindestens genauso regelmäßig müssen Sicherheitsstrategien überprüft und aktualisiert werden – nur so halten sie mit neuen Bedrohungsszenarien Schritt. Die Mehrheit der Unternehmen rüstet auf dem Gebiet auf: 81 Prozent planen, in den nächsten zwölf Monaten in höhere Cybersicherheit zu investieren.
Fazit: Deepfakes ernst nehmen
Die Bedrohung durch Deepfakes und generative KI ist für Unternehmen real und wächst stetig. Es ist von entscheidender Bedeutung, dass Unternehmen wachsam bleiben und aktiv Maßnahmen ergreifen, um sich vor diesen fortschrittlichen Betrugsformen zu schützen. Nur durch ein umfassendes Verständnis der Technologie und ihrer Risiken können Unternehmen in der digitalen Ära sicher navigieren. Am besten agieren Unternehmen vor der Lage, beispielsweise durch mehr Automatisierung in ihren Security-Operations-Centern.
