Deepfakes: Das können Sie gegen KI-Identitätsdiebstahl tun

Warum diese Bedrohung zuerst die Führungsriege betrifft

Die Geschäftsleitung und andere Führungskräfte sind seit langem ein primäres Ziel für Cyberangriffe. In der Vor-KI-Ära war Business E-Mail Compromise (BEC) ein häufiger Angriff und ist auch heute noch eine beliebte Methode, die eine lukrative Gelegenheit ausnutzt. In der KI-Ära ist die Führungsriege aus einer Vielzahl von Gründen noch stärker ins Visier geraten, darunter:

• Öffentlich zugängliche Daten: Stimmen und Gesichter von Führungskräften sind in Gewinnankündigungen, Konferenzvorträgen, Medieninterviews und Social Media präsent. Generative KI-Modelle (Gen AI), die auf diesen öffentlich verfügbaren Daten trainiert werden, können überzeugende Klone erstellen, die in der Lage sind, direkte Mitarbeiter und Kollegen zu täuschen.
• Ausnutzung von Autorität: Deepfakes zielen auf Organisationshierarchien und Vertrauensnetzwerke ab. Wie Keith Wojcieszek, Managing Director bei FTI Consulting, erklärt: „Die raffiniertesten Angriffe von heute gelingen, weil die Opfer ihren Sinnen glauben und vertrauen.“ Finanz-, Personal- und IT-Abteilungen gewähren Führungskräften in der Regel erweiterte Befugnisse, die es ermöglichen, dass dringende Anweisungen Standardkontrollen außer Kraft setzen.
• Psychologische Barrieren: Mitarbeiter zögern, Anweisungen der Geschäftsleitung in offensichtlichen Krisensituationen in Frage zu stellen. Diese psychologische Dimension erweist sich als wirksamer als technische Raffinesse, da sie Schwachstellen schafft, die eher auf das Verhalten innerhalb der Organisation als auf die technische Infrastruktur abzielen.

Die Vertrauenskrise in der Unternehmenskommunikation

In der Ära generativer künstlicher Intelligenz (KI) ist eine Vertrauenskrise in der Unternehmenskommunikation entstanden, da traditionelle Verifizierungsmechanismen zunehmend wirkungslos werden. Spracherkennung, Videobestätigung und professionelles Auftreten können alle synthetisiert werden. Die Werkzeuge, die zur Erstellung überzeugender Deepfakes erforderlich sind, sind für jeden Cyberkriminellen mit moderaten technischen Fähigkeiten zugänglich.

„Selbst textbasiertes Phishing ist jetzt effektiver, da alte Methoden, die nach schlechter Grammatik und Rechtschreibung suchen, bei von ChatGPT geschriebenen Skripten nicht mehr funktionieren“, sagt Brian Jackson, Principal Research Director bei der Info-Tech Research Group.

Die operativen Auswirkungen gehen über unmittelbare finanzielle Verluste hinaus und umfassen Datenschutzverletzungen, die sich aus der Weitergabe von Informationen an Betrüger ergeben, reputationsschädigende Folgen durch kompromittierte Kommunikation und eine Erosion des internen Vertrauens, die die Entscheidungsgeschwindigkeit beeinträchtigt.

Es gibt auch eine kulturelle Dimension, die sich auf die Abläufe auswirkt, und Führungskräften sollte nicht standardmäßig immer vertraut werden.

„Die Führungsebene sollte klarstellen, dass auch leitenden Angestellten bei außerhalb der normalen Kanäle gestellten Anfragen nicht vertraut werden sollte und dass Mitarbeiter nicht bestraft werden, wenn sie ungewöhnliche oder richtlinienwidrige Anfragen überprüfen und dadurch Abläufe verlangsamen“, betont Winkler.

Warum traditionelle Cybersicherheit versagt

Herkömmliche Cybersicherheitskontrollen sind nicht besonders effektiv, um KI-Imitationsrisiken zu reduzieren. Firewalls, Phishing-Filter und Multifaktor-Authentifizierung (MFA) wurden entwickelt, um bösartigen Code zu stoppen und Benutzeranmeldedaten zu überprüfen, nicht um KI-Deepfakes abzuwehren.

Das Wettrüsten bei der Erkennung

Jackson wies darauf hin, dass Intel und andere Anbieter in den letzten Jahren Lösungen entwickelt haben, die auf Techniken zur Identifizierung von videobasierten Deepfakes abzielen. Cyberangreifer sind jedoch zunehmend raffinierter geworden.

„Anfang 2025 bewiesen Forscher, dass Video-Deepfakes inzwischen einen Puls imitieren und diese bestehenden Systeme täuschen können“, erklärt Jackson. „Auch wenn dies in der Praxis noch nicht beobachtet wurde, führt diese Demonstration zu genug Zweifeln am Einsatz von Technologie zur KI-Erkennung und deutet darauf hin, dass wir unsere Taktiken in einem endlosen Katz-und-Maus-Spiel mit Gegnern ständig verbessern und aktualisieren müssen.“

Lücken in allen Kanälen finden und schließen

Erkennungsmethoden, die für Video effektiv sind, bieten keinen Schutz gegen Audio-only Voice-Phishing. „Die Schwierigkeit besteht darin, eine Lösung zu finden, die sich in Unternehmenskommunikations-Tools über alle Kanäle hinweg integrieren lässt“, betont Jackson und fügt hinzu: „Meiner Erfahrung nach hat bislang fast niemand diese Tools eingesetzt.“

Grundlegende Risikoverschiebung

Die Kernschwachstelle hat sich von der technischen Domäne, in der Sicherheits-Tools effektiv funktionieren, auf die Verhaltens- und Governance-Domäne verlagert, in der die menschliche Entscheidungsfindung unter wahrgenommener Autorität zur primären Angriffsfläche wird.

Im Grunde ist es die gleiche Herausforderung durch die Entwicklung der Bedrohungsraffinesse, die im Cybersicherheitsumfeld nicht ungewöhnlich ist. „Wie bei allen Cyberbedrohungen entwickeln sich auch die Modelle weiter, und damit die Qualität der Täuschung und die Kreativität der Bedrohungsakteure“, führt Wojcieszek aus.

Was IT-Führungskräfte jetzt tun müssen

Geschäftsführung und IT-Führungskräfte können das Deepfake-Risiko vielleicht nicht vollständig beseitigen, aber es gibt zahlreiche Maßnahmen, um die Anfälligkeit der Organisation zu verringern:

Out-of-Band-Verifizierungsprotokolle

Wojcieszek empfiehlt obligatorische sekundäre Verifizierung für sensible Kommunikation. Er schlägt vor, Anweisungen, die Geld, Daten oder Zugang betreffen, immer über einen zweiten vertrauenswürdigen Kanal, wie einen Telefonanruf oder eine SMS, zu bestätigen, bevor gehandelt wird. Winkler präzisiert dies noch: „Wenn eine mündliche Aufforderung zur Überweisung von Geldern erfolgt, sollte diese dennoch eine Autorisierung durch traditionelle Systeme erfordern.“

Für echte Notfälle, die eine beschleunigte Bearbeitung erfordern, sollten Organisationen Verifizierungsmechanismen unter Verwendung von vorab festgelegten, vertrauenswürdigen Kontaktinformationen einrichten. Jackson schlägt Mehrpersonen-Freigabepflichten für Finanztransfers oberhalb definierter Schwellenwerte vor.

Einsatz von Erkennungs-Tools mit realistischen Erwartungen

Integrieren Sie, wo technisch machbar, Echtzeit-Deepfake-Erkennung in Meeting- und Kommunikationsplattformen. Wojcieszek warnt davor, dass CIOs Erkennungs-Tools als eine Verteidigungsschicht betrachten sollten, nicht als eigenständige Lösung. Diese Systeme weisen eine begrenzte Zuverlässigkeit im Echtzeiteinsatz in Unternehmensgröße auf und müssen mit menschlichen Überprüfungsprozessen gepaart werden, anstatt automatisierte Vertrauensentscheidungen zu treffen.

Verhaltenstrainingsprogramme

Eine Form von Sensibilisierungstraining für Führungskräfte ist entscheidend. Wojcieszek merkt an, dass die Simulation einer KI-gesteuerten Phishing- oder Video-Imitation das Risiko wirksamer demonstriert als theoretischer Unterricht. Jackson stellt fest, dass Bildungsmaterialien weit verbreitet und für einen sofortigen Einsatz ohne signifikante Budgetanforderungen verfügbar sind. Die Trainingsziele sollten sich auf Verhaltensänderungen statt auf Sensibilisierungs-Metriken konzentrieren, um sicherzustellen, dass Mitarbeiter verstehen, dass Verifizierungsprotokolle Vorrang vor Reaktionsgeschwindigkeit bei ungewöhnlichen Anfragen haben.

Integration der Risiko-Governance

Wojcieszek empfiehlt umfassende Richtlinien-Audits, die die Autorisierung für Transfers, Vertragsgenehmigungen und die interne Weitergabe von Vermögenswerten abdecken. „Viele Organisationen stellen fest, dass es ihnen an klaren Eskalationspfaden oder mehrstufigen Sicherheitsvorkehrungen für Hochrisikogenehmigungen fehlt“, sagt er. Das Deepfake-Risiko erfordert eine explizite Integration in das Rahmenwerk des Unternehmensrisikomanagements, anstatt als isoliertes IT-Anliegen behandelt zu werden.

Bereichsübergreifende Koordination

Winkler betont zudem, dass Cybersicherheitsteams zwar ihre operativen Rollen behalten, dieses Problem aber auch die Betrugsprävention und Betriebsabläufe betrifft. Angriffsvektoren können je nach Ziel der Bedrohungsakteure Finanzen, Personalwesen, geistiges Eigentum oder Systemzugang betreffen. Eine effektive Verteidigung erfordert Koordinationsprotokolle, die IT, Personal, Kommunikation, Rechtswesen und Compliance-Funktionen abdecken.

Blick nach vorn: Von Sicherheit zu Vertrauensarchitektur

Der Aufstieg synthetischer Medien erzwingt einen Wandel von der Informationssicherheit hin zur Vertrauensarchitektur. Das ist eine Architektur, die Systeme, Prozesse und Kultur integriert, die darauf ausgelegt sind, die Authentizität bei jeder Interaktion zu validieren. Für IT-Führungskräfte und CIOs gibt es einige kritische Schritte auf dem Weg zur Vertrauensarchitektur:

Aufbau einer Verify-First-Kultur

Wojcieszek sagt voraus, dass die Verifizierung so alltäglich werden wird wie die Multifaktor-Authentifizierung (MFA). Organisationen müssen nicht nur validieren, wer eine Nachricht gesendet hat, sondern auch die Stimme, das Video oder das Dokument selbst. Dies stellt eine grundlegende Veränderung dar – die Behandlung aller Kommunikation als nicht verifiziert, bis ihre Authentizität bewiesen ist, statt von vornherein von ihrer Legitimität auszugehen.

Umsetzung mehrschichtiger Verteidigung

Jackson beschreibt die Zukunft der Deepfake-Betrugsprävention als eine mehrschichtige Flickendecke von Lösungen mit drei Komponenten:

• Schulung und Ausbildung der Mitarbeiter, um Deepfakes zu identifizieren und mehrere Autorisierungsschritte umzusetzen, bevor sie auf Telefon- oder Videokonferenzanfragen reagieren.
• Vertrauenswürdige Unternehmenskommunikationskanäle mit persistenter Identität, autorisiertem Zugang und eingebetteten Deepfake-Erkennungstechnologien, bei denen Benutzer deutlich gewarnt werden, wenn eine eingehende Kommunikation von außerhalb ihres vertrauenswürdigen Netzwerks kommt.
• Neue Organisationsrichtlinien, die eine mehrstufige Verifizierung für kritische Transaktionen vorschreiben.

Entwicklung technischer Standards

Zukünftige Plattformen werden die Verifizierung direkt in die Kommunikationssysteme einbetten. Langfristige Ansätze umfassen digitale Wasserzeichen für Führungskräftekommunikation, kryptografische Identitäts-Token und Echtzeitwahrscheinlichkeitswerte, die die Wahrscheinlichkeit eines Deepfakes anzeigen.

Wojcieszek erwartet, dass die zukünftige Verifizierung einem ähnlichen Weg folgen wird wie die Web-Sicherheit. „Ähnlich wie wir Sicherheitszertifikate verwenden, um zu beweisen, dass eine Website echt ist, werden zukünftige Messaging- und Videoplattformen digitale Nachweise enthalten, die zeigen, wer etwas erstellt oder gesendet hat, und als Zero-Trust-Netzwerk operieren“, erklärt er.

Der menschliche Faktor bleibt kritisch

Technologie bietet notwendigen, aber unzureichenden Schutz. CIOs müssen sowohl Daten als auch Glaubwürdigkeit schützen: eine Aufgabe, die eine Kombination aus Technologie und menschlicher Expertise erfordert.

„Unternehmen müssen sich darauf konzentrieren, sichere Technologie mit positiven Kommunikationsgewohnheiten zu kombinieren“, sagt Wojcieszek. „Werkzeuge können menschliches Urteilsvermögen nicht ersetzen, daher müssen die Mitarbeiter wissen, wann und wie sie das, was sie sehen und hören, überprüfen müssen.“