Angreifer nutzen KI-Technologien, um Social-Engineering-Angriffe noch effektiver auszugestalten. In einem international tätigen Hongkonger Unternehmen kam es zu einem besonders dreisten Einsatz von Deepfake-Technologie, wie Ende Februar bekannt wurde. Bei diesem Angriff simulierten die Hintermänner eine komplette Videokonferenzumgebung und verwendeten Deepfake-Imitationen eines Finanzchefs und anderer Meeting-Teilnehmer.
Opfer war ein Mitarbeiter der Finanzabteilung, der eine Phishing-E-Mail erhalten hatte, die angeblich vom Vorgesetzten in Großbritannien stammte und eine „geheime Transaktion“ ankündigte. Der Angestellte nahm an der Videokonferenz mit dem CFO und anderen bekannten Gesichtern der Firma teil, deren Stimme und Aussehen durch den Einsatz von künstlicher Intelligenz (KI) täuschend echt nachgeahmt waren. Der Mitarbeiter fiel auf den Deepfake-Scam herein – und überwies wie angeordnet 200 Millionen Hongkong-Dollar (23 Millionen Euro) auf fünf verschiedene Bankkonten.
Darum nehmen Deepfake-Bedrohungen zu
Bei Deepfake-Attacken schaffen Trickbetrüger eigene Identitäten, stehlen Identitäten echter Menschen oder geben sich als echte Personen aus. Das Ziel der Angreifer ist zumeist, sich Zugang zu Vermögenswerten, privilegierten Informationen oder Geld zu verschaffen. Setzten Trickbetrüger früher gefälschte Bilder, Dokumente und Videos ein, können sie mit modernen Fälschungstechnologien jetzt auch Echtzeit-Videoanrufe kompromittieren und Vishing-Angriffe (Voice Phishing) starten.
Bereits im Jahr 2022 berichteten 66 Prozent der Cybersicherheitsexperten von Deepfakes, die bei Cyberangriffen verwendet wurden. Die Mehrzahl dieser Angriffe erfolgte demnach per Video (58 Prozent) und nicht per Audio (42 Prozent), wobei die Mitarbeiter hauptsächlich per E-Mail und Mobile Messaging getäuscht wurden. Mit leistungsstarken KI-Technologien steigen die Risiken solcher Deepfake-Angriffe noch einmal erheblich.
Die Entwicklung von KI-Technologien hat gerade im letzten Jahr bedeutende Fortschritte erzielt. Aktuelle Studien zeigen, dass es Menschen immer schwerer fällt, Deepfakes als Fälschungen zu erkennen. Mit künstlicher Intelligenz lässt sich beispielsweise das Gesicht einer Person durch das Gesicht einer ganz anderen Person austauschen. Deepfake-Anwendungen können Autoencoder verwenden, um Bilder und Bewegungen von einem Bild auf ein anderes zu übertragen. Das ermöglicht es Angreifern auf einfache Weise, äußerst realistische Audio- und Videoinhalte in Echtzeit zu erstellen.
Vier Folgen von Deepfake-Angriffen
1. Finanzielle Verluste
Im Fall des jüngsten CFO-Deepfake-Angriffs in Hongkong scheint das Motiv eindeutig finanzieller Natur zu sein, denn die Angreifer raubten 23 Millionen Euro. Durch KI-basierte Deepfake-Bedrohungen nehmen aber auch die Risiken durch Wirtschaftsspionage zu. Deepfake-Phishing und Spear-Phishing-Angriffe gehören zu den ersten Angriffsformen, die erwiesenermaßen KI-Technologien eingesetzt haben.
„Business Email Compromise“ (BEC) ist eine weitere Betrugsmasche, bei der Cyberkriminelle versuchen, andere Personen durch betrügerische E-Mails dazu zu bringen, Geld zu überweisen oder vertrauliche Unternehmensdaten preiszugeben. Die Akteure geben sich dabei als vertrauenswürdige Personen aus und verlangen die Bezahlung einer gefälschten Rechnung oder die Herausgabe vertraulicher Daten, die sie für weitere betrügerische Aktivitäten missbrauchen können. Angriffe mit Deepfakes sind dabei noch schwieriger zu erkennen.
2. Kompromittierung wichtiger Daten
Deepfakes bieten eine glaubhafte Möglichkeit, sich als Mitarbeiter auszugeben — das bedeutet auch, dass eine Authentifizierung für andere Identitäten durch visuelle oder sprachliche Bestätigung möglich ist. Gelingt das, und erhalten Angreifer auf diese Weise privilegierte Zugriffsrechte, können Bedrohungsakteure sich seitwärts in einer Unternehmensumgebung weiterbewegen und sensible Daten und Systeme kontrollieren oder einsehen.
Aktuelle Bedrohungstaktiken zielen deshalb darauf ab, Multifaktor-Authentifizierungstechnologien und Verzeichnisse für die anwendungsübergreifende Nutzung von Identitätsinformationen zu untergraben. Während Unternehmen den Kontenschutz mit Phishing-resistenter MFA deutlich verbessert haben, nehmen Bedrohungsakteure verstärkt die zuständigen Helpdesk-Techniker über Social-Engineering-Angriffe ins Visier. Auf diese Weise gelang es bereits, Helpdesk-Techniker dazu zu verleiten, die Authentifizierung einzelner Konten zurückzusetzen.
3. Identitätsdiebstahl und Rufschädigung
Deepfakes von Personen können gezielt zur Rufschädigung eingesetzt werden. Personenbezogene Manipulationen und Fälschungen sehen mittlerweile erschreckend realistisch aus und können daher dem Ruf einer Person oder eines Unternehmens erheblichen Schaden zufügen. Mit fingierten Handlungen oder Ansprachen prominenter Personen, Kunden und Mitarbeiter lässt sich eine Marke nachhaltig beschädigen —oder ein vermeintlicher Skandal inszenieren.
4. Verbreitung von Falschinformationen
Deepfakes werden dafür verwendet, glaubwürdige und realistisch aussehende Videos, Fotos, Wort- und Textbeiträge bestimmter Ereignisse zu erstellen, obwohl diese gar nicht stattgefunden haben. Gefälschte Nachrichtenberichte einer angesehenen Behörde oder eines Nachrichtenredakteurs sind sehr effektiv bei der Verbreitung von Falsch- und Desinformationen, weil die Zuschauer genau diesem Personenkreis ein höheres Vertrauen entgegenbringen. Für öffentliche Diskurse zu Fragen der nationalen Sicherheit, Strafverfolgung oder Finanz- und Gesellschaftsthemen kann sich das entsprechend schädlich auswirken.
Sechs Strategien zur Abwehr von Deepfake-Angriffen auf Unternehmen
In der aktuellen Bedrohungslandschaft liegt der Schwerpunkt auf Zero-Trust-Strategien und der Absicherung digitaler Identitäten, um die skizzierten Angriffe mit Technologien zur Manipulation und Fehlnutzung persönlicher Daten abzuwehren. Hier sind sechs Strategien, die Organisationen zum Schutz vor modernen identitätsbasierten Bedrohungen wie Deepfakes und anderen Angriffen befolgen sollten.
1. Zero Trust
Durch Implementierung von Zero-Trust-Sicherheitskontrollen können Unternehmen identitätsbasierte Angriffe besser verhindern und abwehren. Zu den Kernkonzepten, die sich Organisationen aneignen sollten, gehören eine kontinuierliche, kontextbasierte Authentifizierung und Überwachung sowie die Durchsetzung des Least-Privilege-Prinzips in der gesamten IT-Umgebung. Diese sollten mit starken und praxiserprobten Richtlinien kombiniert werden.
Bei dem anfangs geschilderten Deepfake-Angriff in Hongkong waren natürlich Profis am Werk, aber aus Sicherheitssicht erleichterten den Trickbetrügern auch fehlende oder schwache Kontrollmechanismen die kriminelle Arbeit. So hätte im Unternehmen beispielsweise verpflichtend sein müssen, dass die Webkonferenzsoftware standardisiert ist und für die Durchführung geschäftlicher Besprechungen strenge, identitätsbasierte Kontrollen durchgesetzt werden.
2. Deepfake-Penetrationstests
Für die Aufdeckung von Schwachstellen in Arbeitsabläufen und die Verhinderung von Angriffen empfehlen sich Penetrationstests und Trainingsübungen, bei denen Deepfake-Technologien eingesetzt werden.
Künstliche Intelligenz ermöglicht die Erstellung realistischer Videos oder Audioaufnahmen von echten Personen, die als Deepfakes im Rahmen einer Social-Engineering-Kampagne eingesetzt werden. Durch die Simulation eines echten Deepfake-Angriffs können ethische Hacker die Wirksamkeit von Sicherheitsmaßnahmen und internen Prozessen überprüfen, potenzielle Schwachstellen identifizieren und Ratschläge geben, wie die Abwehr gegen diese Angriffsform verstärkt werden kann.
Durch Darstellung der Deepfake-Gefahren verstehen Unternehmen besser, wie wichtig die Implementierung zusätzlicher Sicherheits- und Richtlinienkontrollen zum Schutz vor Cybercrime ist. Dieser proaktive Ansatz trägt dazu bei, das Bewusstsein zu schärfen und Cybersicherheitsstrategien zu verbessern, mit denen sich neue Bedrohungen durch digitale Manipulationstechniken bekämpfen lassen. Wie generell bei Penetrationstests müssen Unternehmen dabei natürlich rechtliche und ethische Grenzen oder Risiken berücksichtigen.
3. Schulungen und Weiterbildung
Regelmäßige Cybersicherheitsschulungen für alle Mitarbeiter sind eine ganz entscheidende Vorsichtsmaßnahme. Im Jahr 2023 beruhten 74 Prozent der Sicherheitsvorfälle zumindest teilweise auf menschlichem Fehlverhalten, bei denen Personen unter anderem Privilegien missbraucht haben oder gestohlene Anmeldeinformationen oder Social-Engineering-Taktiken eingesetzt wurden. Die Schulung der Mitarbeiter soll sie in die Lage versetzen, Manipulationen und Deepfake-Technologien besser zu erkennen.
Neben der allgemeinen Aufklärung der Teams über die neuesten Bedrohungen sollte es auch Trainings geben, die ganz gezielt Mitarbeitergruppen über Bedrohungen informieren, denen sie am wahrscheinlichsten begegnen werden. Die Simulation von Social-Engineering-Angriffen und realer Phishing-Versuche kann auch dazu beitragen, das Bewusstsein für Cybersicherheitsfragen innerhalb des Unternehmens zu erhöhen. Und es sollte auch interne Prozesse und Aufsichtspflichten geben, um dem Verlust großer Datenmengen oder Finanzsummen vorzubeugen.
4. Multi-Faktor-Authentifizierung (MFA)
Die Implementierung von Multi-Faktor-Authentifizierung (MFA) stellt einen effektiven Schutz vor unbefugten Zugriffen dar und schafft Vertrauen in die Authentizität einer Identität. Multi-Faktor-Authentifizierung sollte für jedes privilegierte Konto aktiviert sein. Zusätzliche Anmelderichtlinien und Richtlinien zur Einschränkung von Zugriffen stellen sicher, dass autorisierte Benutzer vom richtigen Gerät, Standort oder Netzwerk aus authentifiziert werden.
Insbesondere im vergangenen Jahr hat sich jedoch gezeigt, dass MFA allein nicht ausreicht — auch weil es Unterschiede zwischen verschiedenen MFA-Anmeldeverfahren gibt. Phishing-resistente MFA wie FIDO2 bieten beispielsweise einen stärkeren Schutz, was bei der Absicherung sensibler Konten und Zugriffe natürlich besonders wichtig ist.
5. Privileged Access Management (PAM)
Privileged Access Management (PAM) schafft die Grundlage für Zero-Trust- und Identitätssicherheitsmodelle. Digitale Identitäten und Konten mit privilegierten Zugriffsrechten auf Systeme, Daten, Anwendungen und andere sensible Ressourcen erfordern Sicherheit auf höchstem Niveau. Mit der Ausbreitung verschiedener Cloud-Kontenarten und maschineller Identitäten verschwimmt allerdings die Grenze zwischen privilegierten und nicht-privilegierten Personen.
Für Unternehmen ist es Pflicht, Sicherheitstools einzusetzen, die höherprivilegierte Zugriffe erkennen, diese Konten in die IT-Verwaltung integrieren und das Prinzip der geringsten Rechte durchsetzen. Dabei werden Zugriffe auf den benötigten Umfang und zeitliche Dauer beschränkt, die zur Erfüllung der zugewiesen Aufgaben unbedingt erforderlich sind. PAM-Lösungen stellen sicher, dass lokale und Cloud-Berechtigungen richtig dimensioniert sind, und überwachen alle privilegierten Sitzungen. Diese Best-Practice-Vorgabe sollte für privilegierte Zugriffe immer gelten — unabhängig davon, ob es sich um Mitarbeiter, Rechner oder Drittanbieter handelt.
6. Identity Threat Detection and Response (ITDR)
Noch lassen sich Deepfakes in den meisten Fällen aufdecken und erkennen, weil zum Beispiel die Lippensynchronisation fehlerhaft ist, Verfärbungen auftreten oder unnatürliche Kopf- und Körperhaltungen irritieren sowie Gesichtsausdruck, Sprachmuster oder Formulierungen nicht stimmen. KI-gesteuerte Verbesserungen der Deepfake-Technologie stellen jedoch die menschliche Fähigkeit zur Erkennung von Fälschungen vor immer größere Aufgaben.
Unternehmen müssen daher moderne Technologien und Strategien nutzen, die identitätsbasierte Bedrohungen oder Risiken erkennen können. Identity Threat Detection and Response (ITDR) verfügt über Funktionen, die Unternehmen bei der proaktiven Erkennung und Abwehr von Bedrohungen unterstützen. Die Sicherheitslage wird dabei in Echtzeit angepasst, so dass Unternehmen schnell auf laufende Angriffe reagieren und Schäden minimieren können.
Die nächsten Schritte
Der Deepfake-CFO-Angriff in Hongkong dient als Weckruf für Unternehmen, ihre Cybersicherheitsmaßnahmen und internen Prozesse neu zu überprüfen – denn solche Angriffe sind auf dem Vormarsch.
BeyondTrust kombiniert Funktionen für PAM, ITDR und Cloud Infrastructure Entitlement Management (CIEM) auf einer Identity-Security-Plattform. Mit BeyondTrust sind Unternehmen in der Lage, die Kernprinzipien von Zero Trust umzusetzen und viele Angriffsvektoren vollständig zu unterbinden, während sich laufende Bedrohungen zugleich schnell erkennen und beheben lassen.
BeyondTrust Identity Security Insights bietet einen ganzheitlichen, zentralen Überblick über den gesamten Identitätsbestand Ihres Unternehmens (einschließlich Okta, Ping, Microsoft Entra ID (ehemals Azure AD), Active Directory, BeyondTrust-Lösungen und mehr), um Bedrohungen aufzudecken und rechtzeitig reagieren zu können.
Erhalten Sie hier eine kostenlose Bewertung Ihrer Identitätssicherheit
oder kontaktieren Sie uns direkt und erfahren Sie mehr über BeyondTrusts Sicherheitslösungen.