Der Betrug durch KI wird eine große Bedrohung für deutsche Unternehmen. Es geht vor allem um Deepfakes, Account Takeover und Identitätsdiebstahl sowie Erpressung. Wer sich jetzt nicht rüstet, der verliert. Wie kann man Abhilfe schaffen?
Hinter KI verbergen sich viele Chancen, etliche Technologien können so verbessert und verfeinert werden, Services werden optimiert etc. pp. Doch auch Betrüger können KI für sich nutzen. Laut der aktuellen Studie „The Battle against KI-driven identity fraud“ kenne nur ein Drittel der befragten 1.206 Entscheidungsträger aus den Bereichen Betrugsbekämpfung in Banken, Versicherungen, Zahlungsdienstleistern und Fintechs in sieben europäischen Ländern spezifische KI-Techniken wie Deepfakes oder synthetische Identitäten. Wenn man etwas nicht kennt, kann man sich auch nicht dagegen wehren. Doch Cyberkriminalität nimmt zu und somit muss man sich mit diesen Themen auseinandersetzen. Denn nach gefälschten Ausweisen und synthetisch generierten Identitäten sind nun Deepfakes und Account Takeover die neuen KI-Betrugsmaschen. Das kann auch deutsche Unternehmen gefährden. Jeder mögliche Online-Account wird beim Account Takeover übernommen und dann für Betrugsaktivitäten missbraucht werden. Deepfakes können bis hinein in die großen Konzerne und in die Politik Schaden anrichten. Denn hier werden Videos und/oder Stimmen manipuliert, die eingesetzt werden, um echte Personen zu imitieren. So könnten auch Vorstände oder andere Personen nachgeahmt und mit in der Realität nie geäußerten Sätzen versehen werden. Das kann nicht nur Imageschäden zur Folge haben. Deepfakes machen das täuschend echt und können u. a. Opfer manipulieren. Es gibt aber Technologien, die solche Deepfakes enttarnen können, was zum Beispiel für Finanzinstitute interessant ist, die schließlich mit Identitäten arbeiten müssen.
Was tun?
Als beste Verteidigungsmethoden gegen KI-gestützten Identitätsbetrug kann man Biometrie, stärkere Passwörter und persönliche Interviews verwenden. Mitarbeiterschulungen, Experten-Teams, Technologie-Updates und größere Budgets müssen insgesamt eingesetzt werden. Kombinierte Verfahren und Technologien erschweren den Betrügern zudem, erfolgreich zu sein. Mitarbeiter müssen für folgende Dinge sensibilisiert werden: Telefonanrufe müssen auf einen unnatürlichen Tonfall und eine ungewohnte Wortwahl hin überprüft werden, um Deepfakes zu enttarnen. So müssen auch Bilder und Videos kritisch beäugt werden. Kommen komische Schatten vor, unrealistische Handhaltungen oder Bewegungen? Auch Social-Media-Konten müssen abgesichert werden. Dazu schränkt man persönliche Informationen und öffentliche Bilder ein, damit diese nicht fremdverwendet werden. Wie bei so vielen Betrugsmaschen müssen Mitarbeiter und Privatpersonen unerwartete Anrufe immer bei der angeblichen Quelle gegenchecken. Hat das Unternehmen bzw. das Amt etc. wirklich angerufen, oder war das ein Betrüger, der sich als diese ausgegeben hat? Vorher sollten keine Cashcodes, persönlichen oder sensiblen Informationen herausgegeben werden. Die klassischen Methoden zur Identitätsprüfung, wie Rückrufe oder gespeicherte Telefonnummern, sind aufgrund von KI-gestütztem Vishing nicht mehr zuverlässig. Unternehmen sollten daher neue mehrstufige Verifizierungsmechanismen einführen. Dies können mehrstufige Freigaben durch mehrere Personen sein, vordefinierte Stakeholder-Listen, für besonders sensible Transaktionen, eine interne Kodierung bestimmter Begriffe, um Anrufer zu testen, was auch innerhalb von Familien hilfreich sein könnte, und generell unternehmensweite KI-Richtlinien, die den sicheren Einsatz generativer KI regulieren. Technische Hilfsmittel zur Gegenwehr können sein: Zwei-Faktor-Authentifizierungen, Deepfake-Erkennungstools, KI-basierte Betrugserkennung als Gegenmechanismus, wie ScamCheck oder Signicat, sowie eine erweiterte E-Mail-Sicherheit, die auch KI-gestützte Analysen einsetzt, um Phishing-Mails zu enttarnen.
(Karoline Sielski)
Bildquellen
- solen-feyissa-hWSNT_Pp4x4-unsplash(1): Foto von Solen Feyissa auf Unsplash