Deepfakes & Robocalls: Schutzmaßnahmen für Unternehmen

Die Bedrohung durch KI-basierte Deepfakes und Robocalls wächst. Unternehmen müssen wachsam sein und geeignete Schutzmaßnahmen ergreifen, um finanzielle Verluste und Reputationsschäden zu vermeiden. Paul Laudanski von Onapsis gibt Handlungsempfehlungen.

Inhalt

Millionen-Verlust durch Videocall-Betrug

Die Zeiten, als Betrugsversuche mit monotoner, roboterhafter Stimme und holprigen Bildern daherkamen, sind vorbei. Cyberkriminelle verwenden modernste künstliche Intelligenz (KI) zur Erstellung von Fakes und nutzen diese, um Desinformation zu verbreiten oder mithilfe von Robocall-Betrügereien Geld zu erbeuten.

Ein Fall aus Hongkong zeigt, welche verheerenden Folgen und finanziellen Schäden KI-gestützte Deepfakes nach sich ziehen können. Berichten zufolge nahm das Opfer in einer Fake-Konferenz teil, in der weder der CRO noch die anderen Anwesenden im Call „echt“ gewesen sein sollen. Aussehen und Stimmen der Zielpersonen konnten mithilfe von Deepfake-Technologie und öffentlich zugänglichem Video- und Audiomaterial akribisch und (offenbar) sehr überzeugend nachgebildet werden.

KI-generierte Deepfakes stellen durch soziale und politische Manipulation eine enorme Bedrohung für Demokratie, Rechtsstaat und Wirtschaft dar. Außerdem legen sie die Messlatte für die Betrugserkennung sowohl für Privatpersonen als auch für Unternehmen höher. Mehr Wachsamkeit und Skepsis gegenüber öffentlicher und vermeintlich privater Kommunikation sind gefragt.

Gesetzgeber schreiten ein

Eine so große und omnipräsente Bedrohung wie die durch Deepfakes ruft Gesetzgeber weltweit auf den Plan. So hat die US-amerikanische Federal Communications Commission (FCC) im Frühjahr 2024 entschieden, die Verwendung von KI-generierten Stimmen zu verbieten. Dies ist eine direkte Reaktion auf den zunehmenden Missbrauch von Sprachsynthese-Technologie und angesichts des Skandals um Präsident Biden von besonderer Bedeutung: Zu Beginn des Jahres wurden in einer Robocall-Kampagne gefälschte Audiodateien verwendet, die vorspiegelten, vom aktuellen Präsidenten zu sein.

In der EU sollen Deepfakes über den AI Act reguliert werden. Wer einen Deepfake erstellt oder verbreitet, muss zukünftig dessen künstlichen Ursprung und die verwendete Technik offenlegen. So sollen Verbraucher Manipulationen erkennen und informierte Entscheidungen treffen können. Fraglich ist jedoch, ob Transparenzverpflichtungen allein wirksam schützen können, da nicht davon auszugehen ist, dass Akteure mit böswilligen Absichten sich an die Vorschriften halten werden. Deshalb sind Unternehmen und deren Mitarbeitende zur Eigenverantwortung und Wachsamkeit aufgerufen.

So können sich Unternehmen vor Robocalls und KI-Betrug schützen

  • Erhöhte Vorsicht bei unbekannten Quellen: Bei Anrufen und Nachrichten von unbekannten Quellen gilt erhöhte Vorsicht, insbesondere, wenn die Kontaktperson vorgibt, ihr Anliegen sei sehr dringend, oder die Transaktion von Informationen bzw. hohen Geldbeträgen fordert. Anrufe von angeblichen Unternehmensvertretern oder Behörden sollten daher immer auf ihre Authentizität hin überprüft werden.
  • Keine persönlichen Informationen weitergeben: Persönliche oder finanzielle Informationen sollten niemals über das Telefon, Videokonferenzen oder ungeprüfte Links weitergegeben werden.
  • Verdächtige Anrufe melden: Unternehmen können verdächtige Anrufe und Telefonbetrüger bei der Polizei oder der Bundesnetzagentur melden. Diese können Anzeige erstatten, Bußgelder erheben und beteiligte Telefonnummern sperren.
  • Sichere Passwörter und Zwei-Faktor-Authentifizierung: Online-Konten sollten durch sichere Passwörter und Zwei-Faktor-Authentifizierung geschützt werden. Wichtig: Nicht das gleiche Passwort für mehrere Accounts nutzen.
  • Tools zum Blockieren von Anrufen nutzen: Durch spezielle Tools zum Blockieren von Anrufen und der Erstellung einer „Do Not Call List“ können Robocalls und Telemarketing-Anrufe eingedämmt werden.

Darüber hinaus helfen eine konsequente Threat Detection and Response-Strategie und kontinuierliche Threat Intelligence Research wie die der Onapsis Research Labs Unternehmen dabei, sich zu schützen.

Fazit

Die aktuelle Cyber-Lage lässt sich sehr gut mit einer Analogie aus dem Straßenverkehr beschreiben: Für die eigene Sicherheit ist es wichtig, in einem verkehrstüchtigen Auto zu fahren und Verkehrsregeln zu beachten. Dennoch können Unfälle passieren – Verkehrsrowdys und unvorhergesehene Umstände können selbst die besten Pläne durchkreuzen. Entsprechend reicht es auch bei der Cyberverteidigung nicht aus, sich ausschließlich auf Technologie und Gesetze zu verlassen. Böswillige Angreifer finden immer Wege, Schutzmechanismen zu überwinden. Deshalb braucht es auch eine vorausschauende und wachsame Fahrweise aller Beteiligten, um durch die Rushhour der Cyberbedrohungen zu navigieren.

Ähnliche Artikel