Fachleute warnen, dass sich Kriminelle künftig zusehends hinter virtuellen Klonen von Gesichtern und Stimmen tarnen, um Kasse zu machen. Banken sollten sich auf solche Deep Fakes einstellen und ihre Mitarbeiter für derlei Szenarien vorbereiten, verdeutlichten Cyber-, Betrugs- und Rechtsexperten am Donnerstag in einem von Euler Hermes organisierten Pressegespräch anlässlich der Veröffentlichung der Studie „Deepfakes, Social Engineering und die Schwachstelle Mensch“.

Erste Einzelfälle sind überliefert, in denen solche mit künstlicher Intelligenz (KI) fabrizierten Videos und Tonaufnahmen zum Einsatz kamen, was mit teils erheblichen finanziellen wie Reputationsschäden einherging. „Manipulierte Video-Calls, in denen ein gefälschter CEO mit dem richtigen Aussehen und der richtigen Stimme Anweisungen für Überweisungen gibt, sind möglich“, berichtet der selbstständige Rechtsanwalt und Cyberexperte Dirk Koch von Erfahrungen hierzulande. „Das schafft ein maximales Vertrauen in die Echtheit des Auftrags.“ Hochwertige Imitationen können genauso wie klassische Cyberangriffe in der arbeitsteilig organisierten Unterwelt bestellt werden. Cybercrime-as-a-Service sozusagen.

Andreas Dondera, Experte für Cybercrime im Landeskriminalamt Hamburg, weiß zudem von Fällen, in denen Kunden von ihren vermeintlichen Bankberatern angerufen wurden. In Hongkong brachten im vergangenen Jahr Kriminelle mit einem Audio-Deep-Fake eine Bank um 35 Mill. Dollar. „In Frankreich haben Betrüger in einem Fall sogar ein ganzes Büro nachgebaut, um dem Video-Call die maximale Authentizität zu verleihen“, berichtete Dondera, der sich wundert, dass noch nicht mehr Kriminelle die Möglichkeiten von Deep Fakes nutzen. Der LKA-Experte rechnet damit, dass sich das bald ändern wird. „Noch herrscht keine brandaktuelle Gefahr, aber in wenigen Jahren werden wir eine Menge erleben.“ Rüdiger Kirsch, Betrugsexperte bei Euler Hermes, pflichtete ihm bei. Noch handele es sich bei Audio-Deep-Fakes um Einzelfälle, aber die Bedrohung nehme zu. Kirsch zufolge ist es nur noch eine Frage der Zeit, bis Tonfälschungen Standard sind und auch Video-Deep-Fakes immer besser werden. So seien niederländische Politiker in einer Videokonferenz in Echtzeit auf einen vermeintlichen Mitarbeiter des inhaftierten russischen Oppositionellen Alexej Nawalny hereingefallen, der dem Original online zum Verwechseln ähnlich gesehen habe.

Im Fall von Betrügern, die Mitarbeiter etwa zu narren versuchen, indem sie sich als ihr Chef ausgeben, gebe es „einen Garanten“, wie Kirsch hervorhebt: „gut gelebte, freundliche und offene Unternehmenskultur“. Wer Angst haben muss, wegen Nachfragen vom Vorgesetzten in den Senkel gestellt zu werden, ist anfälliger. Auch Jesko Trahms, Fachanwalt für Strafrecht und Partner bei der BDO Legal Rechtsanwaltsgesellschaft, verwies auf die Bedeutung der Unternehmenskultur, aber ebenso von Whistleblowern und neuen Strukturen, um das Einfallstor für Angreifer zu verkleinern: „Es ist gar nicht so sehr der Einzelne, der versagt, sondern es sind Prozesse, die nicht angepasst wurden.“ Er prognostiziert, dass Online-Kommunikation zwischen Bankberater und Kunde künftig erst nach Legitimation via PIN- oder TAN-Verfahren möglich ist.