Risikofaktor „Deepfakes“
Künstliche Intelligenz stellt eine neue Gefahr für Unternehmen dar. Von der Bedrohung ist nicht nur die IT-Sicherheit von Unternehmen betroffen. Sog. Deepfakes sind auch eine erhebliche Gefahr für die Reputation von Personen, Institutionen und Unternehmen. Kriminelle machen sich die Technologie zu Nutze, um an sensible Daten zu gelangen, falsche Informationen zu verbreiten und so den Ruf von Ihrem Unternehmen zu schädigen. In diesem Artikel erklären wir Ihnen, welchen Gefahren von Deepfakes für Sie und Ihr Unternehmen ausgehen und wie Sie sich davor schützen können.
Manipulierte Texte, Bilder, Videos und Audioaufnahmen
Das Wort Deepfake setz sich aus den Begriffen „Deep Learning“ und „Fake“, (Fälschung) zusammen. Hieran wird schon ersichtlich, worum es beim Deepfake geht: gefälschte oder manipulierte Inhalte, die mithilfe von modernen Technologien und Künstlicher Intelligenz erstellt worden sind. Bekannt wurden Deepfakes unter anderem durch Videos, in denen Stars und Politiker Dinge zum Besten geben, die sie so nie sagen würden. Das bekannteste Beispiel ist ein Video vom ehemaligen US-Präsidenten Barack Obama.
Während solche Videos damals noch als außergewöhnliche technische Leistung galten, kann heute fast jeder mit einem Handy und Internetzugang ein manipuliertes Filmchen erstellen. Apps wie Reface oder Open-Source-Programme wie Avatarify machen es möglich. Dabei benötigen Sie meist nur ausreichend Foto-Material von der Person, die Sie imitieren möchten. Das finden Sie heutzutage schnell und einfach über Google, Facebook & Co.. Neben Videos können Deepfakes mittlerweile auch viele andere Formen annehmen. Egal, ob Text, Bild oder Audioaufnahme – heute können beinahe alle Inhalte manipuliert oder verfälscht werden. Im Privaten mag das auf den ersten Blick harmlos und witzig sein, im Unternehmenskontext können Deepfakes aber verheerende Folgen haben.
Deepfakes als neue Betrugsmasche
Deepfakes eignen sich vor allem für Betrugsmaschen. Ziel dabei ist es, Geld zu erbeuten oder Zugang zu sensiblen Firmendaten zu erhalten. Dabei geraten nicht nur Konzerne, sondern zunehmend auch mittelständige Unternehmen in das Fadenkreuz von Cyber-Kriminellen. Diese nutzen z.B. manipulierte Audioaufnahmen, um sich Geld zu erschleichen. Mit den gefakten Aufnahmen imitieren sie die Stimmen von Führungskräften täuschend echt und weisen Mitarbeiter:innen an, Geld auf falsche Konten zu überweisen. Diese Methoden nennt man auch CEO-Fraud oder Voice-Spoofing. Bei solchen Betrugsmaschen kommen immer häufiger auch sog. Readfakes, also gefälschte Texte, zum Einsatz. Dabei werden Schreibstil und Wording von CEOs durch neue Technologien imitiert. Das Ergebnis sind z.B. Phishing-Emails, die Mitarbeiter:innen anweisen betrügerischen Links zu folgen, Passwörter offenzulegen oder sensible Daten zu versenden. Im Kontext von Unternehmensbetrug stellen Deepfakes damit die nächste Stufe von Social Engineering dar. Mitarbeiter:innen werden geschickt manipuliert, um unwissentlich zu Handlangern von Betrüger:innen zu werden.
Deepfakes als Reputationsrisiko
Die Bedrohung von Deepfakes geht jedoch weit über raffinierte Betrugsmaschen hinaus. Stellen Sie sich vor, ein Video wird veröffentlicht, in dem sich Ihr:e CEO (scheinbar) zu sensiblen Themen polarisierend äußert. Bei Konzernen kann das schnell zum Crash von Aktienkursen führen. Bei kleineren Unternehmen ist der Shitstorm meist vorprogrammiert. Selbst, wenn Ihre PR-Abteilung schnell reagiert und die Echtheit des Videos bestreitet, müssen Stakeholder:innen das noch lange nicht glauben. Bis Beweise dafür vorliegen, kann sich bereits ein erheblicher Reputationsschaden entwickelt haben. Denn: Studien zeigen, dass der Großteil eines Reputationsschadens oft innerhalb von 24 Stunden nach einem Incident entsteht. Deepfakes stellen somit ein ähnliches Reputationsrisiko wie unternehmerische Desinformationen dar – allerdings mit einer deutlich höheren Durchschlagskraft. Verbreitet sich ein gut gemachter Fake online, ist es schwer, die Glaubwürdigkeit zu entkräften und die Reputationskrise einzufangen. Der richtige Umgang mit den falschen Informationen ist an dieser Stelle essentiell.
Angreifer:innen und Opfer von Deepfakes
Sie fragen sich jetzt vielleicht: „Okay, aber wer sollte einen aufwendigen Deepfake erstellen, um meinem Unternehmen zu schaden?“. Die Antwort darauf kann vielfältig sein. Generell gilt aber: Deepfakes können heute von jeder Person einfach erstellt werden. Ein verärgerter Ex-Mitarbeiter, der sich an seinem Chef rächen will oder eine Konkurrentin, die nicht vor unfairen Mitteln zurückschreckt. Daher kann auch so gut wie jede Organisation zum Opfer von falschen oder manipulierten Inhalten werden. Egal ob kleiner Betrieb, mittelständisches Unternehmen oder großer Konzern.
Wie umgehen mit der Gefahr durch manipulierte Inhalte?
Wie Sie mit Deepfakes am besten umgehen, hängt immer von der spezifischen Situation ab. Trotzdem gibt es Dinge, die die Bedrohung durch Deepfakes reduzieren. Um nicht Opfer von Betrugsmaschen zu werden, können z.B. mehrstufige Authentifizierungsverfahren für Überweisungen oder das Herausgeben von Daten eingeführt werden. Solche Prozesse sollten in firmeninternen Richtlinien festgehalten und allen Mitarbeiter:innen nahegebracht werden. Darüber können Sie Ihre Mitarbeiter:innen für die Gefahr durch Deepfakes sensibilisieren. Trainings zum Umgang mit solchen Risiken helfen, die „Schwachstelle Mensch“ zu schließen.
Werden Sie öffentlich mit einem Deepfake angegriffen, gilt es schnell zu handeln. So kann ein Reputationsschaden bestenfalls vorgebeugt werden. Hierfür sollten im Vorhinein bestimmte Prozesse und (Kommunikations-)Regeln festgelegt werden. Dabei ist es wichtig, schnell und stichhaltige zu beweisen, dass es sich bei dem reputationsschädigenden Inhalt um einen Deepfake handelt. Damit das klappt, muss insbesondere die Kommunikationsabteilung im Umgang mit solchen Issues geschult werden.
Wie so oft geht es auch bei Deepfakes vor allem um eine umfassende Prävention und Vorbereitung.
Sie wollen Ihre Mitarbeiter:innen im Umgang mit Deepfakes und Co. schulen? Nehmen Sie jetzt Kontakt zu unseren Expert:innen auf.
Better safe than sorry.
