Deepfakes

Keeping it real: Wie Deepfakes die Cybersicherheit von Unternehmen gefährden können

Druckfreundlich, PDF & E-Mail

Als Tom Cruise vor Kurzem auf TikTok Golf spielte, einen Zaubertrick vorführte und an Lutschern naschte, entwickelten sich die Videos schnell zu einer viralen Sensation. Die Clips erreichten über 11 Millionen Aufrufe auf der Social-Media-Plattform, bevor sie entfernt wurden. Doch aufmerksamen Betrachtern fiel schnell auf, dass es sich dabei nicht um das Werk des „Mission Impossible“-Darstellers selbst handelte, sondern um eine Zusammenarbeit zwischen dem belgischen Visual Effects Artist Christopher Ume und dem Tom-Cruise-Imitator Miles Fisher.

War das Ganze also nur ein harmloser Streich oder versteckt sich dahinter eher das besorgniserregende Potenzial einer digital veränderten Zukunft, in der wir nichts, was wir online sehen, wirklich glauben können? Ume selbst hat gesagt, er wollte die Aufmerksamkeit der Menschen darauf lenken, wie überzeugend Deepfake-Technologie heute mittlerweile ist. CISOs sollten Acht geben: Die Technologie könnte Betrügern in den kommenden Jahren einen klaren Vorteil verschaffen.

So entsteht ein Fake

Entwickler von Deepfake-Videos nutzen Deep Learning – eine Variante künstlicher Intelligenz –, um gefälschte Video- und Audiodateien zu erstellen, die immer schwerer vom Original zu unterscheiden sind. Die Ergebnisse können zur Sprachsynthese, Manipulation der Mimik und sogar zum Austausch ganzer Gesichter verwendet werden.

Der Schlüssel dabei ist der „Autoencoder“. Es handelt sich hierbei um eine Technologie für mehrschichtige neuronale Netze, die darauf trainiert werden kann, eine Videoeingabe über einen Encoder zu komprimieren und dann mit einem Decoder wiederherzustellen. Mithilfe dieser Technologie kann einem System beigebracht werden, wie man ein Gesicht aus der komprimierten „Essenz“ dieses Bildes rekonstruiert – hier beschrieben als „latente Fläche“.

Um ein Deepfake zu generieren, wird dem System separat beigebracht, zwei verschiedene Gesichter zu kodieren und zu dekodieren, z. B. eines von Tom Cruise und ein anderes von Fisher. Durchläuft dann das „latente Gesicht“ von Cruise den Decoder, der zur Rekonstruktion des Gesichts von Fisher verwendet wurde, verschmelzen die beiden zu einem Gesicht. Daher scheint es so, als ob die Gesichtsausdrücke von Cruise die von Fisher imitierten. Die gleiche Technologie kann verwendet werden, um einer Zielperson ein völlig anderes Gesicht „aufzusetzen“.

Es ist unklar, welche Technik – oder Kombination anderer Spitzentechnologien – Ume tatsächlich verwendet hat. Sein Anliegen bestand darin, mit der besten Technik, die heute verfügbar ist, zu zeigen, was morgen jedem zur Verfügung stehen könnte. „Etwas, wofür ein findiger Imitator und ein talentierter Fachmann mithilfe eines sperrigen Computers heute mehrere Tage Arbeit investieren müssen, könnte bis 2025 durch einen einfachen Snapchat-Filter erledigt werden“, äußerte er gegenüber der britischen Tageszeitung „The Guardian“.

Diese Tatsache sollte jedem im Bereich Cybersecurity Anlass zur Sorge geben, wenn man bedenkt, wie schnell dadurch die Zugangsschranke für eine Reihe von möglichen Betrugsmaschen gesenkt werden könnte.

Um ein #Deepfake zu generieren, wird dem System separat beigebracht, zwei verschiedene Gesichter zu kodieren und zu dekodieren. Durchläuft dann das „latente Gesicht“ von Cruise den Decoder, der zur Rekonstruktion des Gesichts von Fisher verwendet wurde, verschmelzen die beiden zu einem Gesicht.Twitternh

Wie geht es weiter?

Abgesehen von der Arbeit von Profis wie Ume sind die meisten Deepfakes ziemlich dürftige Versuche von kindischen Spaßvögeln. Durch Unstimmigkeiten, Pixelierung und andere Fehler sind sie leicht zu entlarven. Aber die Aussicht auf überzeugendere Fälschungen gibt vor allem Politikern Anlass zur Sorge. Sie warnen davor, dass solche Videos genutzt werden könnten, um die öffentliche Meinung zu verschiedenen Kandidaten zu beeinflussen. Psychologen vertreten die Meinung, dass wir alle dazu neigen, uns aufgrund unserer ersten Erfahrung einen bleibenden Eindruck von Menschen zu verschaffen. Das heißt, selbst wenn sich ein Clip später als gefälscht herausstellt, kann er dennoch unbewusst unsere Wahrnehmung eines Kandidaten beeinflussen.

Cyberkriminelle könnten eine ähnliche Taktik einsetzen, um einem CEO Worte in den Mund zu legen oder sein Gesicht auf den Körper einer Person zu retuschieren, die illegal oder kontrovers handelt. Sie könnten die Taktik verwenden, um die Person zu erpressen oder sogar den Aktienkurs ihres Unternehmens zu manipulieren.

Deepfakes könnten theoretisch auch kreiert werden, um Identitätsmissbrauch im Stil von BEC-Angriffen (Business Email Compromise) seriöser erscheinen zu lassen. Tatsächlich wurden gefälschte Audioclips bereits verwendet und veranlassten einen CEO, auf Geheiß seines „deutschen Chefs“ 240.000 US-Dollar an Betrüger zu überweisen. Mit zunehmender Verbreitung der Technologie werden geschäftstüchtige Betrüger immer neue Wege für deren Einsatz finden, wie die Umgehung von Gesichts- und Spracherkennungssystemen.

Die Herausforderung annehmen

Wie reagieren wir also am besten auf diese Entwicklungen? Für die vorhersehbare Zukunft stellen Phishing und die davon abgeleiteten Varianten auf Social Media, über das Telefon oder Textnachrichten den wichtigsten Vektor für solche Betrugsmaschen dar. Das Wettrüsten entwickelt sich allerdings ständig weiter und durch den Einsatz von KI spitzt sich die Lage noch mehr zu, während beide Seiten um die Vorherrschaft kämpfen.

Social-Media-Websites versuchen, solche Inhalte von ihren Seiten zu entfernen. Twitter versprach, jegliche Inhalte zu kennzeichnen, die „erheblich und täuschend verändert oder gefälscht“ wurden und auf irreführende Weise geteilt werden, und ließ verlauten, dass Deepfakes entfernt würden, wenn diese Schaden verursachen könnten. Auch bei Facebook hieß es letztes Jahr, dass Deepfakes einem striktem Verbot unterliegen würden. Das Unternehmen folgt dabei dem Beispiel von YouTube. Wenn es darum geht, umstrittenes oder illegales Material zu entfernen, hinken die Social-Media-Plattformen jedoch noch erheblich hinterher. Außerdem könnten die ergriffenen Maßnahmen die Herausforderung, die privat per E-Mail versandte Videos darstellen, ohnehin nicht erfolgreich eindämmen.

Das Beste, was die Verantwortlichen für Cybersecurity in den Unternehmen im Moment tun können, ist die Aktualisierung ihrer Richtlinien für Sicherheitstraining und -bewusstsein. CISOs können eine effektive erste Verteidigungsstrategie entwickeln, indem sie sicherstellen, dass Mitarbeiter die verräterischen Anzeichen von Deepfakes erkennen und verstehen, wie diese gegen ihren Arbeitgeber eingesetzt werden könnten. Die nächste Herausforderung besteht darin, Tools zu entwickeln, die solche Fälschungen identifizieren und blockieren.

Sicherheitsanbieter wie Barracuda Networks setzen bereits fortschrittliche KI-Algorithmen ein, sodass bösartige Nachrichten besser erfasst werden, und werden mit der Zeit Technologien entwickeln, um ebenso mit Deepfakes verfahren zu können. Die Schlagzeilen sind zwar besorgniserregend, aber die Branche hat sich schon früher solchen Herausforderungen gestellt – und sie wird es auch wieder tun.

Get AI-based protection from phishing and account takeover

Nach oben scrollen
Twittern
Teilen
Teilen