Die Entwicklung der generativen KI senkt den Aufwand für täuschend echte Deepfakes drastisch. Dadurch stößt das klassische Identitätsmanagement (IAM) von Unternehmen an seine Grenzen, wie die NCP engineering GmbH in einem neuen Blog-Beitrag erläutert. Doch es gibt bereits wirksame Gegenmaßnahmen.
Schon immer haben Cyberkriminelle versucht, mit gefälschten Identitäten an das Geld ihrer Opfer zu kommen. Meist nutzten sie dafür Spam-Mails, deren Erfolgsquote allerdings sehr gering ist. Doch selbst wenn nur ein Empfänger auf den Betrug hereinfällt, lohnt sich der geringe Aufwand. Derartige E-Mails lassen sich meist leicht identifizieren, da sie oft mangelhaft umgesetzt und ohne Bezug zum Empfänger verfasst sind.
In den letzten Jahren haben die Betrüger ihre Methoden jedoch stetig verfeinert. „Der Erfolg der künstlichen Intelligenz hat die Karten neu gemischt“, schreibt die NCP engineering GmbH in einem neuen Blog-Beitrag. „Mit dem Aufkommen von KI-Chatbots können Betrüger jetzt kinderleicht neue Spam-Texte verfassen, die überzeugend wirken und sprachlich keine oder nur noch minimale Fehler enthalten.“ Parallel dazu werden die Deepfakes immer besser. Während früher vor allem gefälschte Videos kursierten, stellen heute täuschend echt imitierte Stimmen ein weitaus größeres Problem dar.
Zero Trust: Moderne Architektur erkennt Identitätstäuschungen
Wie können sich Unternehmen gegen die neuen Deepfake-Attacken wehren? „Jedenfalls nicht mit klassischem Identitätsmanagement“, betont NCP. „Die enormen Fortschritte der generativen KI sorgen dafür, dass herkömmliches Identity and Access Management (IAM) immer mehr an seine Grenzen stößt. In naher Zukunft kann sich niemand mehr auf visuelle oder stimmliche Merkmale verlassen.“
Stattdessen empfiehlt NCP Schulungen, die Mitarbeiter für die Gefahren sensibilisieren. Auch KI selbst kann dabei helfen, Deepfakes zu enttarnen. Hinzu kommen moderne Authentifizierungsverfahren wie zum Beispiel FIDO2, WebAuthn oder Passkeys. Verglichen mit herkömmlichen Verfahren wie der einfachen Multi-Faktor-Authentifizierung (MFA) punkten die neuen Methoden mit klaren Sicherheitsvorteilen. Zu den weiteren empfehlenswerten Maßnahmen zählen die Bindung an bestimmte Geräte, die Überprüfung des Standorts sowie Zero-Trust-Architekturen. Letztere zeichnen sich dadurch aus, dass sie bei jedem Zugriff aufs Neue eine Vertrauensbasis aufbauen, statt einmalig Vertrauen zu gewähren.
Millionenbetrug: Deepfake-Konferenz überlistet Finanzexperten
Wie real die Gefahr bereits ist, zeigt ein Fall vom Januar 2024, den NCP ebenfalls vorstellt. Damals verlor die Hongkonger Niederlassung des Ingenieurbüros Arup rund 23 Millionen Euro durch einen Deepfake-Betrug. In einer Videokonferenz gaben sich die Betrüger als Führungskräfte aus und brachten einen Finanzexperten dazu, das Geld auf mehrere Konten zu überweisen. Moderne Sprachmodelle und Avatare machen solche Angriffe immer einfacher.
NCP zufolge erfordert effektiver Schutz sowohl technische Lösungen als auch aufgeklärte Mitarbeiter. „Während Zero-Trust-Architekturen technisch jeden Zugriff hinterfragen, braucht es parallel geschulte Mitarbeiter, die bei seltsamen Anrufen des ,Chefs‘ skeptisch bleiben“, so das Unternehmen. Weitere Details dazu finden Sie im Blog-Beitrag.
