CEO Fraud via E-Mail war gestern. Der einfache Zugang zu künstlicher Intelligenz macht es Cyberkriminellen leicht, Stimmen und Gesichter zu imitieren, um an Geld oder Informationen heranzukommen. Heute erfolgen solche Deepfake-Angriffe bereits alle 5 Minuten.

KI-basierte Deepfakes sind der Grund, dass Unternehmen beziehungsweise ihre Mitarbeitenden in die Falle tappen. Hinter vermeintlich vertrauten Stimme stecken immer öfter Kriminelle.

Solche Deepfake-Angriffe und die Fälschung digitaler Dokumente haben 2024 um 244 Prozent zugenommen und werden zu einer immer größeren Bedrohung für Unternehmen. Vor allem KI-gestütztes Vishing, ein neues Kofferwort aus Phishing und Voice – also Angriffe via Telefon und mittels KI-erzeugter Stimmen, wird zur immer größeren Gefahr für Unternehmen, aber auch für Privatpersonen. Laut der Unternehmensberatung Deloitte sollen die finanziellen Schäden durch KI-gestützte Deepfake-Angriffe bis 2027 auf 40 Milliarden Dollar ansteigen. Das sind mehr als dreimal so viel wie die 12,3 Milliarden im Jahr 2023.

Wie it-daily.net berichtet, kam es in diesem Jahr bereits alle fünf Minuten zu einem Deepfake-Angriff, wobei besonders solche KI-gestützten Betrugsversuche auf dem Vormarsch sind und immer raffinierter werden. Cyberkriminelle passen ihre Techniken weiter an, um Abwehrmechanismen zu umgehen.

EMEA besser gerüstet als APAC und Amerika

Angreifer zielen aktuell vor allem auf Onboarding-Prozesse. Betrugsversuche in dieser besonders vulnerablen Phase sind im EMEA-Raum von 3,1 auf 3,4 Prozent gestiegen. Noch gravierender sind die Zahlen im APAC-Raum (6,8 Prozent) sowie in Amerika (6,2 Prozent). Das ist auch auf strengere KYC- (Know Your Customer) und Onboarding-Regeln in Europa zurückzuführen.

Zusätzlich sollte digitale Identitätsüberprüfung ein wichtiger Bestandteil jedes Onboarding-Prozesses sein, um Betrug und Finanzkriminalität im Vorfeld zu begegnen und zu verhindern.

Trotz aller Sicherheitsmaßnahmen gibt es zahlreiche Beispiele für versuchte und erfolgreiche Deepfake-Angriffe auch auf namhafte Unternehmen. Ein großer italienischer Hersteller von Luxus-Automobilen ist etwa gerade noch mit einem Schrecken davongekommen, weil ein Manager misstrauisch wurde und den angeblichen CEO mit gezielten Fragen als Betrüger entlarven konnte.

Als er auf erste Aufforderungen via Mail nicht reagierte, folgte ein Anruf mit täuschend echter Stimme des CEO, inklusive dessen süditalienischen Akzents.

Schäden in Millionenhöhe möglich

Dieser Versuch war zwar ohne Erfolg, hätte aber mit mehr als einem blauen Auge enden können. So erging es etwa einer Bank in Hongkong vor einem Jahr, als Betrüger mit einem Video-Deepfake des Finanzvorstands 200 Millionen Hongkong-Dollar oder fast 25 Millionen Euro erbeuteten, der bislang größte KI-gestützte Finanzbetrug weltweit. Solche Fälle nehmen rasant zu.

Der Finanzsektor und seine Kundschaft sind besonders anfällig für Deepfakes oder KI-gestützten Telefonbetrug. Doch auch andere Branchen sind zunehmend betroffen. Das bekam jüngst ein britischer Energieversorger beziehungsweise dessen deutsche Muttergesellschaft zu spüren. Cyberkriminelle hatten einen Top-Manager in UK mit Vishing dazu gebracht, 243.000 US-Dollar oder 217.000 Euro an einen angeblichen Lieferanten in Ungarn zu überweisen.

Die wichtigsten Gegenmaßnahmen

Aus dem Vorgehen der Angreifer und den üblichen Reaktionen der betroffenen Unternehmen lassen sich folgende drei Gegenmaßnahmen ableiten:

1. Klare Regeln für Kommunikationsprotokolle festlegen und darauf achten, dass alle internen Prozesse, die Führungskräfte betreffen, standardisiert und stets überprüfbar sind. Es sollte klar sein, dass ein CEO zum Beispiel nie selbst die Überweisung großer Geldbeträge per E-Mail oder Telefon veranlasst oder andere ungewöhnliche Anfragen stellt.
2. Ein mehrkanaliges Verifizierungssystem einführen und darauf achten, dass jede wichtige Kommunikation mindestens über zwei Kanäle erfolgt, via E-Mail und Messaging-Dienst etwa. Kommt eine wichtige Anweisung nur über einen Kanal, sollten Angestellte diese ignorieren und oder um Rücksprache über einen zweiten Kommunikationskanal bitten.
3. Regelmäßige Mitarbeiterschulungen sind der Schlüssel für IT-Sicherheit allgemein und Deepfakes im Besonderen. Das fängt, wie eingangs erwähnt, schon mit der Aufklärung an, was sich hinter dem Begriff verbirgt. Laut einer Bitkom-Umfrage wissen 30 Prozent der Deutschen nicht, was ein Deepfake ist. Schulungen sind nötig um aufzuzeigen, welche Maschen Betrüger einsetzen, was unter Vishing zu verstehen ist und wie darauf reagiert werden sollte.

Um den finanziellen Schaden möglichst gering zu halten oder erst gar nicht entstehen zu lassen, sollten Unternehmen auf ein striktes Zero-Trust-Sicherheitsmodell setzen und darauf achten, dass jede Kommunikation erst nach einer eingehenden Prüfung authentifiziert wird.

Zusätzlich verpflichten neue Regularien in der EU Unternehmen dazu, bessere Sicherheitsvorkehrungen zu treffen.

Quelle Titelbild: Adobe Stock / WrightStudio