Deep Fakes und ihre Gefahren

Social-Engineering-Angriffe stellen eine große Gefahr für die IT-Sicherheit dar, weil sie technische Abwehrmaßnahmen umgehen. Noch problematischer wird die Bedrohungslage durch KI- und ML-basierte Deepfakes, die stark im Kommen sind. [...]

Unternehmen müssen ein Bewusstsein für neue Gefahren entwickeln und Führungskräfte wie Mitarbeiter entsprechend sensibilisieren. (c) Fotolia/gajus

Auch eine ausgefeilte IT-Security-Strategie schützt nicht unbedingt vor Social-Engineering-Angriffen. Wenn Angreifer durch cleveres Social-Engineering oder -Hacking, also durch soziale Manipulation der Mitarbeiter, Zugang zu unternehmenskritischen Systemen und Daten wie Domain-Controllern oder Passwörtern erlangen, sind die besten technischen Sicherheitsvorkehrungen in der Regel nutzlos.
Mit Abstand am häufigsten treten im Social Engineering Betrugsversuche mit Phishing-Mails auf, beliebt bei Hackern ist vor allem der gezielte Angriff auf wenige Personen per E-Mail, also das sogenannte Spear-Phishing. Aber auch die Gefahr des Vishings, das heißt von Phishing-Angriffen via Telefon, sollte nicht unterschätzt werden. Nicht zuletzt gibt es immer wieder Fälle, in denen Angreifer physischen Zugang zu einem Werksgelände und Firmenbüros erlangen.
Solange es keine hundertprozentige technische Absicherung gegen solche Social-Engineering-Methoden gibt, wird keiner dieser Angriffe wirklich veralten. Leider sind sich viele Personen der Gefahr – selbst trotz zahlreicher Awareness-Kampagnen – nicht ausreichend bewusst. Noch komplexer wird die Sache allerdings hinsichtlich neu hinzukommender Methoden des Social-Engineerings. Und dabei sind vor allem Deepfakes stark zu beachten. Als Deepfakes, abgeleitet aus den Begriffen Deep Learning und Fake, werden manipulierte Medieninhalte wie Bilder, Videos oder Audio-Files bezeichnet. Die dahinterstehenden Technologien wie Künstliche Intelligenz (KI) und Machine-Learning-Algorithmen (ML) haben sich in letzter Zeit rasant weiterentwickelt, sodass aktuell vielfach kaum mehr Original von Fälschung zu unterscheiden ist.
In größerem Umfang tauchten Deepfake-Videos erstmals 2017 auf. Das Netz fluteten vor allem gefälschte Porno-Videos mit Hollywoodstars wie Scarlett Johansson und Emma Watson. Große Bekanntheit erlangten zudem die zahlreichen Deepfakes mit Nicolas Cage, in dem der Oscar-Preisträger nahezu in jedem Hollywoodstreifen zu sehen war, etwa als Indiana Jones oder als Forrest Gump. Und auch Politiker wurden von Deepfakes nicht verschont, etwa Angela Merkel, die in einer Rede plötzlich die Gesichtszüge von Donald Trump annimmt, oder Barack Obama, der in einem Fake-Video sagt: »President Trump is a total and complete dipshit.«

Die Deepfake-Gefahr für Unternehmen


Deepfakes von Prominenten und Politikern sind bisher die bekanntesten Beispiele, aber auch die versuchte Schädigung von Unternehmen wird nicht lange auf sich warten lassen. Das mögliche Angriffsszenario reicht von der Übernahme von Identitäten bis zur Erpressung von Unternehmen.
Nach Einschätzung von NTT Security sind vor allem die folgenden drei Deepfake-basierten Angriffsvarianten zu beachten: Beim C-Level-Fraud versuchen die Betrüger nicht mehr, einen Mitarbeiter einer Firma mit einer fingierten E-Mail davon zu überzeugen, zum Beispiel Geld zu überweisen, sondern durch einen Anruf, bei dem der Anrufende sich genauso wie der CFO oder CEO anhört. Die zweite variante ist Erpressung von Unternehmen oder Einzelpersonen. Mit der Deepfake-Technologie können Gesichter und Stimmen in Mediendateien übertragen werden, die Personen dabei zeigen, wie sie fingierte Aussagen treffen. Beispielsweise könnte ein Video mit einem CEO erstellt werden, der bekannt gibt, dass ein Unternehmen alle Kundendaten verloren hat oder dass das Unternehmen kurz vor der Insolvenz steht. Mit der Drohung, das Video an Presseagenturen zu schicken oder es in sozialen Netzwerken zu posten, könnte ein Angreifer dann eine Firma erpressen. Die dritte Variante ist die Manipulation von Authentisierungsverfahren.

Die Deepfake-Technologie kann auch genutzt werden, um kamerabasierte Authentisierungsmechanismen zu umgehen, zum Beispiel auch die Legitimationsprüfung über Postident.
Prinzipiell können aber alle Attacken, bei denen sich Angreifer zum Beispiel am Telefon, per E-Mail oder Videobotschaft als eine andere Person ausgeben, durch die Deepfake-Technologie erweitert und wesentlich schwerer erkennbar werden. Dadurch ist es durchaus denkbar, dass Deepfakes auch für Angriffe auf Privatpersonen genutzt werden, etwa für den Enkeltrick-Betrug. Ein vermeintlicher Enkel könnte per Video Kontakt mit seinen Großeltern aufnehmen und diese um finanzielle Unterstützung bitten – etwa für das Studium oder eine Reise.
NTT Security sieht die Gefahr, dass Deepfakes künftig deutlich an Bedeutung gewinnen werden, da die dabei eingesetzten Machine-Learning-Methoden weiter optimiert werden und auch die Realisierung von Deepfakes keine zeit- und kostenaufwendige Herausforderung mehr darstellt. So können etwa Video-Deepfakes mit im Internet frei verfügbaren Tools wie der Software FakeApp und überschaubaren technischen Kosten erstellt werden. Benötigt werden lediglich eine Webcam für rund 80 Euro, ein Greenscreen für rund 90 Euro und eine Grafikkarte für rund 1.000 Euro. Auch ein Audio-Deepfake ist inzwischen einfach zu realisieren. In der Vergangenheit musste ein Modell noch anhand von Sprachdaten mit mindestens fünf Stunden Länge erstellt werden. Heute gibt es öffentlich verfügbare Tools wie Lyrebird, die das Synthetisieren von neuen Stimmen auf Basis eines vorhandenen Modells mit nur einer Minute an Audiomaterial ermöglichen.

Die Bedeutung von Security-Awareness-Trainings

Nach Einschätzung von NTT Security kennen die meisten Unternehmen die konkreten Deepfake-Bedrohungen noch nicht, da es sich um völlig neue Angriffsformen handelt. Der erste Schritt muss also sein, ein Bewusstsein im Unternehmen zu schaffen, dass solche Attacken möglich sind. Es bedeutet auch, sich von jahrzehntelang vertrauten Wahrheiten zu verabschieden. Bislang galt zum Beispiel am Telefon, dass sich am anderen Ende der Leitung auch diejenige Person befindet, der diese Stimme gehört. Nur wenn jemand weiß, dass dies unter Umständen nicht mehr zutrifft, kann er auch möglichen Angriffen aus dem Weg gehen.
Da die technischen Möglichkeiten zum Schutz von Unternehmen und Personen vor Social-Engineering-Angriffen im Allgemeinen und Deepfakes im Besonderen limitiert sind, kommt dem sicherheitsbewussten Verhalten jedes einzelnen Mitarbeiters eine entscheidende Rolle zu. Folglich sind adäquate Security-Awareness-Trainings unverzichtbar. Wichtig ist dabei, dass firmenspezifische Schulungen durchgeführt werden, in denen individuell auf mögliche Social-Engineering-Angriffe auf das jeweilige Unternehmen eingegangen wird. Die weit verbreiteten generischen Awareness-Trainings hingegen werden von den Mitarbeitern in der Regel als lästige Pflichtveranstaltung. angesehen und erzielen folglich auch nicht den gewünschten Erfolg. Durch die Vorstellung konkreter – und nicht allgemeingültiger – sicherheitsrelevanter Fälle aus dem Unternehmen entsteht eine deutlich bessere Identifikationsmöglichkeit für alle Mitarbeiter.

Eventuell sollte ein Unternehmen auch ein Profiling aus Sicht eines potenziellen Angreifers in Betracht ziehen. Dabei wird analysiert, welche Informationen ein Angreifer über ein Unternehmen und die Mitarbeiter erlangen kann, beispielsweise über Suchmaschinen und in sozialen Netzwerken. Daraus kann dann ein Risikoprofil erstellt und ermittelt werden, welche Mitarbeiter am ehesten für einen Social-Engineering-Angriff ausgesucht werden. Auf dieser Basis können individuelle Awareness-Trainingsmaßnahmen konzipiert werden, die auf den jeweiligen Mitarbeiter zugeschnitten sind.
Die Durchführung von Security-Awareness-Trainings ist ein erster Schritt. Allerdings sollten Unternehmen auch die weitere Entwicklung technischer Abwehrmaßnahmen gegen Social-Engineering-Angriffe im Auge behalten. So wird gegenwärtig beispielsweise auch an Applikationen zur Erkennung von Deepfakes gearbeitet und NTT Security kooperiert in diesem Bereich bereits mit allen relevanten Herstellern.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*