Künstliche Intelligenz wird 2025 auch die Cybersecurity bestimmen. Eines der Felder, in der sie schon einige Zeit eingesetzt wird, sind mittels Midjourney und ähnlichen Tools erstellte Fake-Bilder. Aber diese Deepfakes waren gestern. Heute entwickeln sich Echtzeit-Deepfakes zur neuen Phishing-Masche.
Ein echter Meilenstein im Deepfake war wohl das Bild vom Papst in der weißen Daunenjacke, das im März 2023 veröffentlicht wurde und tatsächlich von vielen auch technisch versierten Menschen für echt gehalten wurde. Aber auch im Bereich der Bewegtbilder wird die Technologie bereits seit Jahren eingesetzt und hat mittlerweile eine gewisse Reife erreicht. Jeder, der sich in sozialen Netzwerken bewegt, ist schon über Videos von Fernsehmoderatoren, die scheinbar Geldanlagen bewerben, oder Politiker, die offensichtlich verblüffende Reden halten, gestolpert.
Deepfakes sind jetzt noch raffinierter
Doch all dies ist nur Deepfake 1.0. Wie die meisten Technologien haben auch gefälschte Bilder einen Entwicklungssprung gemacht. Mittlerweile setzen Cyberkriminelle immer häufiger auf Echtzeit-Deepfakes. So konnten Anfang des Jahres Cyberkriminelle einen Mitarbeitenden der Finanzabteilung eines multinationalen Unternehmens dazu bringen, 25 Millionen US-Dollar zu zahlen, nachdem er an einer Videokonferenz scheinbar mit seinem CFO sowie anderen Kollegen teilgenommen hatte. Allerdings waren bis auf das Opfer sämtliche andere Personen Deepfakes. Und es war genau diese Videokonferenz, die sämtliche Zweifel des Mitarbeitenden aus Hongkong beseitigte. Offensichtlich haben alle Anwesenden wie Kollegen, die das Opfer kannte, ausgesehen und geklungen.
Neue Dimension der Insiderbedrohungen
Das Varonis Incident Response Team untersucht immer häufiger Vorfälle, bei denen künstliche Intelligenz die Quelle des Angriffs ist. So wurden kürzlich staatlich unterstützter Angreifer aus dem asiatisch-pazifischen Raum entdeckt. Diese versuchten, einen Spion als Mitarbeitenden in einem Unternehmen zu platzieren. Dabei gab sich der potenzielle Mitarbeitende während der gesamten Vorstellungsgespräche als eine andere, real existierende Person aus. Mittels Deepfake sah der Spion genauso wie das (echte) LinkedIn-Profil aus. Und auch wenn man den Namen des Bewerbers googelt oder seinen Instagram-Account besucht, entsprechen die Bilder der Person aus dem Zoom-Gespräch. Letztlich aufgeflogen ist der Angriff durch eine Warnung und Eskalation des Varonis Managed Data Detection and Response-Teams, dass sich diese Person von einem Ort aus eingeloggt hat, der nicht zum üblichen Arbeitsbereich des Unternehmens gehört. Zudem hatte sie auf Quellcode zugegriffen, um diesen zu exfiltrieren, was durch die Security-Experten verhindert wurde.
Bislang haben wir hauptsächlich gefälschte Phishing-E-Mails und Videos, die die Meinung der Bevölkerung beeinflussen sollen, im Blick gehabt. Diesen müssen wir nun weiten, auch auf hartnäckige Angreifer, die sieben virtuelle Interview-Runden als gefälschte Person durchlaufen.
Wer ist besonders betroffen?
Als Vorlage für die Fakes eignen sich besonders exponierte Mitarbeitende. Die LinkedIn-Rockstars eines Unternehmens, die häufig in den sozialen Medien posten und damit auch sich und ihre Gesichter in die Öffentlichkeit bringen, verfügen somit über ein hohes Risiko. Was aus der Marketing-Perspektive großartig ist, kann leider die Sicherheit gefährden.
Als Opfer dieser Fakes wiederum eignen sich die Personengruppen, die schon längst im Fadenkreuz der Angreifer sind: Mitarbeitende, die finanzielle Befugnisse haben oder in der Lage sind, innerhalb kurzer Zeit große Geldsummen zu überweisen. Diese werden nach wie vor mittels Social Engineering identifiziert, wobei auch hier KI beim Aufspüren behilflich sein kann. Und wie bei allen Angriffen, bei denen es um die Zahlung hoher Geldsummen geht, müssen die Opfer in eine emotional aufgeladene Situation gebracht werden. Bei Ransomware ist es ein vermeintlicher Zeitdruck, im Falle des Hongkonger Finanzangestellten eine Zoom-Konferenz, in der sechs Personen auf jemanden einwirken, etwas zu tun.
Wie kann man sich vor Echtzeit-Deepfakes schützen?
Der Schutz vor Deepfakes gestaltet sich relativ schwierig. Unsere Augen erkennen mittlerweile etliche KI-generierten Bilder und Videos. Allerdings macht die Technik große Fortschritte, mit denen wir nur schwer mithalten können. Und möglicherweise wird es irgendwann auch verlässliche KI-Lösungen zur Erkennung von KI-generierten Inhalten geben. Bis dahin kann man auf einige aus der Offline-Welt stammende bewährte Praktiken zurückgreifen. Etwa einen einfachen Rückruf. Wir sollten – wie bei Bankgeschäften – ein gewisses Misstrauen an den Tag legen und gegebenenfalls zurückrufen.
Die Lektion aus dem Spionage-Versuch sollte sein, dass Bewerbungsgespräche an irgendeinem Punkt nicht nur virtuell, sondern vor Ort stattfinden müssen. Und schließlich empfiehlt das FBI die Verwendung von Safewords, die eine zusätzliche Legitimation darstellen.
Experten-Kommentar von Volker Sommer, Regional Sales Director DACH & EE von Varonis Systems.
Über Varonis Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,