Tiefe Fälschungen: Unternehmen benötigen „juristisches Fachwissen“, um das Betrugsrisiko zu minimieren.

/in , , , , , , , , /von

Tiefe Fälschungen: Unternehmen benötigen „juristisches Fachwissen“, um das Betrugsrisiko zu minimieren und eine angemessene Reaktion auf die Bedrohungen zu gewährleisten.

Von Joachim Jakobs

„Enkeltrick, Schockanrufe oder falsche Polizisten: Die Betrugsversuche krimineller Banden nehmen zu.“ titelt die Süddeutsche Zeitung im November 2024.

Da könnte der Eindruck entstehen, dass den Betrügerinnen nur tattrige Omas und Opas auf den Leim gehen. Ein Irrtum wie eine Pressemitteilung vom Deutschland sicher im Netz e.V. beweist: „Die regierende Bürgermeisterin von Berlin, Franziska Giffey, ist letzte Woche Freitag Opfer einer digitalen Täuschung geworden. Eigentlich wollte sie um 17 Uhr per Videokonferenz mit Vitali Klitschko, Oberbürgermeister der ukrainischen Hauptstadt Kiew, sprechen. Doch im Verlauf des Gesprächs stellte sich heraus, dass das Gegenüber zwar aussah und sprach wie Vitali Klitschko, es sich aber nicht um eine reale Person handelt, sondern um eine Fälschung. Auch der Bürgermeister Madrids, José Luis Martínez-Almeida, traf auf jenen Fake-Klitschko, genauso wie Wiens Bürgermeister Michael Ludwig, Warschaus Stadtpräsident Rafał Trzaskowski und der Budapester Oberbürgermeister Gergely Karacsony.“

Franziska Giffey fiel einem Identitätsdiebstahl zum Opfer, Bild: Wikipedia

Für die Glaubwürdigkeit der Fälschung lassen sich missbrauchen:

„–    Kundendaten: Dazu gehören demografische Daten der Kunden, Kaufhistorie, Website-Verhalten und Feedback aus dem Kundenservice.
—    Marktforschungsberichte: In Branchenberichten, Wettbewerberanalysen und Markttrendstudien schlummern viele externe Daten und wertvolle Erkenntnisse.
—    Interne Aufzeichnungen: Die Datenbanken, Finanzunterlagen und Betriebsdaten des eigenen Unternehmens liefern wertvolle Einblicke in die Leistung des Unternehmens.
—    Plattformen für soziale Medien: Das Überwachen Social-Media-Kanäle hilft dabei, Kundenfeedback zu sammeln, Markenerwähnungen zu verfolgen und neue Trends in der Branche zu erkennen.
—    Webanalyse: Daten zu Website-Traffic, Nutzerverhalten und Konversionsraten sammeln, um die Online-Präsenz zu optimieren.“

So gehts :
„Runde 1: Geduld und Recherchefähigkeiten. Cyberkriminelle spüren mögliche Opfer auf, indem sie vertrauliche personenbezogene Informationen sammeln. Diese Informationen lassen sich über Datenhändler, bei Datenlecks oder einfach durch die Suche auf Marktplätzen im Darknet finden, wo personenbezogene Daten so alltäglich sind wie Bananen im Supermarktregal.  Manche Hacker setzen zudem Spyware (zur Online-Überwachung und zum Datensammeln) sowie Phishing-E-Mails ein, die angeblich von Ihrem Mobilfunkanbieter stammen und Sie zur Preisgabe persönlicher Daten wie Name und Geburtsdatum auffordern. Eine andere weit verbreitete Technik zum Sammeln von Daten wird als „Smishing“ bezeichnet. Diese Phishing-Methode via SMS beinhaltet Textnachrichten von Hackern, die sich als Vertreter echter Unternehmen tarnen. Sperren und entfernen Sie sie sofort! Social-Media-Recherche ist ebenfalls ein nützliches Tool, und wir leisten Cyberkriminellen ungewollt Hilfe, wenn wir persönliche Informationen in unseren Social-Media-Profilen preisgeben. Ist zum Beispiel der Mädchenname Ihrer Mutter oder Ihr erstes Auto die Antwort auf eine Sicherheitsfrage?

Runde 2: Imitation. Mit den persönlichen Daten des Opfers kann der Betrüger nun dessen Mobilfunkanbieter kontaktieren und sich als rechtmäßiger Besitzer dieser SIM-Karte ausgeben. Mit den zuvor entwendeten persönlichen Daten wird er versuchen, Sicherheitsüberprüfungen zu umgehen. „Hallo, Max Schmidt hier. Ich melde mich, weil mein Handy weg/beschädigt/gestohlen ist“ – so beginnen oft Versuche​ von Identitätsdiebstahl​. Anschließend fordert der Betrüger den Kundendienstmitarbeiter auf, eine neue SIM-Karte zu aktivieren, die sich bereits in seinem Besitz befindet. Dadurch wird die Telefonnummer des ahnungslosen Opfers auf die SIM-Karte im Gerät des Cyberkriminellen übertragen (oder „portiert“). Ist dieser Vorgang erst einmal abgeschlossen, landen Anrufe und Textnachrichten, die für den rechtmäßigen Besitzer dieses Telefons bestimmt sind, stattdessen beim Betrüger. Ihre Arbeit ist damit erledigt – Während Ihre Probleme gerade erst anfangen.“

Das Ergebnis: „Mit Audio-Deepfakes werden Stimmen von Familie und Freunden imitiert.“
„Besonders hohe Gefahren verbergen sich für Unternehmen in den Bereichen Datenschutz, Finanzen und Personal. Die Zielsetzung eines Deepfakes kann die finanzielle Vorteilsnahme, Verletzung von Persönlichkeitsrechten, Anschuldigungen oder gefälschte Auseinandersetzungen sein. Selbst im privaten Umfeld könnte Deepfakes in spezieller Form des Enkeltricks Anwendung finden.“

Alles Graue Theorie? Mitnichten: Die Cybersicherheitsfirma Infoguard berichtet  von einer „Hackergeschichte“, die „sich vor nicht allzu langer Zeit in einer Niederlassung eines multinationalen Unternehmens in Asien“ zugetragen habe:

Gewinnt die Informationstechnik die Kontrolle? Bild: Freepik.com

„Die Hacker haben das Opfer zuerst mit einem Phishing-E-Mail als primärer Angriffsvektor kontaktiert, gefolgt von einem gefälschten Videoanruf.
In diesem Fall waren genug Informationen vorhanden, um eine vermeintliche Autorität für einen Finanzmitarbeiter zu schaffen, der in 15 Transaktionen umgerechnet insgesamt rund 20 Millionen Schweizer Franken auf fünf verschiedene Bankkonten in Hongkong überwies – bis der Betrug entdeckt wurde. Die Polizei berichtete, dass die ursprüngliche Phishing-E-Mail zu einer Online-Sitzung über dringende Finanztransaktionen geführt hatte. Die Betrüger hatten sorgfältig ein Gespräch zwischen mehreren leitenden Angestellten des Unternehmens, einschliesslich des Finanzchefs, eingefädelt.
Die einzige echte Person, die sich in diese Sitzung einwählte, war jedoch der Finanzmitarbeiter, der anschliessend das Geld überwies. Alle anderen, einschliesslich des CFO, waren Deepfakes. Das gesamte Gespräch wurde im Voraus aufgezeichnet und es fand keine natürliche Interaktion statt. Dennoch glaubte der Finanzmitarbeiter, dass er von der Geschäftsleitung den Auftrag für die Überweisung erhalten hatte. Während dieser Sitzung wird die dringende Notwendigkeit der Transaktionen unterstrichen, woraufhin der Finanzmitarbeiter zum Schluss kommt, dass diese ausgeführt werden müssen. Es herrschte ein Gefühl der Dringlichkeit, ein Gefühl der Verpflichtung oder der Notwendigkeit, dem nachzukommen, eine starke Motivation zum Handeln und nur ein einziger Ausweg aus der Situation. Das klassische Social-Engineering- und Phishing-Rezept!“

„Im Jahr 2024 verschwimmen die Grenzen zwischen Realität und Illusion, da Deepfake-Trends unsere Wahrnehmung verändern. Dieses KI-gestützte Werkzeug ist nicht mehr nur auf spielerische Filmmagie beschränkt, sondern hat unser Leben infiltriert, webt Fehlinformationen und sät Zwietracht in allen Branchen.“

2024 ist nahezu rum. Jetzt die Zukunft:

„Check Point Software Technologies prognostiziert für 2025 eine zunehmende Bedrohungslage durch den verstärkten Einsatz von Künstlicher Intelligenz (KI) und Quantencomputern sowie durch Deepfake-Technologien.
[…]
Durch personalisierte Phishing-Angriffe und Malware, die sich in Echtzeit anpasst, können auch weniger technisch versierte Gruppen umfangreiche Attacken starten. Dies führt zur ‚Demokratisierung‘ des Cybercrime.“

Viele Daten aus vielen Quellen werden für die perfekte Tiefe Fälschung benutzt, Bild: ChatGPT/Dall-E

 

„Vorläufiges Fazit 2025
Um diese Herausforderungen zu meistern, müssen Unternehmen in KI-gestützte Abwehrmaßnahmen investieren, auf quantensichere Verschlüsselung umstellen und einen Zero-Trust-Ansatz für Cloud- und IoT-Sicherheit verfolgen.
Darüber hinaus sollten sich Unternehmen auf ein strengeres regulatorisches Umfeld vorbereiten und eine Cyberversicherung in Betracht ziehen. Angesichts der rasanten Entwicklung der Internetkriminalität laufen Unternehmen, die sich nicht vorbereiten, Gefahr, das nächste Opfer zu werden.“

Die Rechtsanwältin Vasiliki Paschou bestätigt
„Die Deepfake-Technologie stellt eine große Herausforderung für Unternehmen und ihre Sicherheitsstrategien dar. Mit der Fähigkeit, täuschend echte audiovisuelle Inhalte zu erstellen, öffnen Deepfakes die Tür zu neuen Betrugsmöglichkeiten, die herkömmliche Sicherheitsmaßnahmen in Frage stellen. Die zunehmende Verbreitung und der fortschrittliche Charakter dieser Technologie erfordern ein Umdenken bei der Prävention und Reaktion auf Sicherheitsrisiken.
Insgesamt erfordert der Umgang mit Sicherheitsrisiken im Zusammenhang mit Deepfakes eine gemeinsame Anstrengung von Arbeitgebern und Arbeitnehmern. Während die Arbeitgeber dafür verantwortlich sind, robuste Sicherheitssysteme zu implementieren, ihre Mitarbeiter regelmäßig zu schulen und eine Kultur des Sicherheitsbewusstseins zu schaffen, müssen die Arbeitnehmer eine aktive Rolle in der Sicherheitskette spielen und die ihnen zur Verfügung gestellten Ressourcen und Kenntnisse effektiv nutzen. Angesichts dieser Herausforderungen liegt es auf der Hand, dass Unternehmen fundiertes juristisches Fachwissen benötigen, um das Betrugsrisiko zu minimieren und eine angemessene Reaktion auf die Bedrohungen durch Deepfakes zu gewährleisten.“

„Nachhaltige Digitalisierung geht nur sicher. Oder überhaupt nicht!

Compliance 4.0 berichtet einmal wöchentlich über Digitalisierung, ihre Risiken und Rechtsfolgen auf dem Weg in die regelkonforme Vollautomatisierung der Welt.

 

Ähnliche Beiträge

Tiefe Analyse mit kognitiver Suche Zukunftstrends im IT-Service-Management für Unternehmen Neue Studie zur KI-Integration in Unternehmen Neue NIS-2-Richtlinie für Unternehmen
Das könnte Dich auch interessieren
Vernetzte Gesellschaft
KI & Automatisierung 2024
Industrie du Futur
Den Kunden richtig verstehen
Gewissenhafte Weiterentwicklung der digitalen Vernetzung
Rupie, Yen oder Dollar – wie zahlen Ihre Kunden?