-
» Herausragend «
Die wachsende Bedrohung durch Deepfakes und andere KI-gestützte Manipulationen stellt Unternehmen, insbesondere in der Finanzbranche, vor erhebliche Herausforderungen. Traditionelle Kontrollmechanismen versagen zunehmend, wenn Täuschungen durch hochentwickelte künstliche Intelligenz unterstützt werden.
Deepfakes sind durch generative KI erzeugte oder veränderte Medieninhalte – Videos, Audiodateien, Bilder oder Texte. Mit Hilfe von Deep-Learning-Algorithmen wie Generative Adversarial Networks lassen sich täuschend echte Manipulationen erstellen, die selbst für Fachleute oder automatische Prüfsysteme schwer vom Original zu unterscheiden sind. Kriminelle nutzen diese Technik, um Stimmen zu klonen, Gesichter zu fälschen oder gefälschte Dokumente zu erzeugen. Auch KI-basierte Chatbots können täuschend echt kommunizieren und Social-Engineering-Angriffe perfektionieren.
Ein besonders eindrücklicher Fall ereignete sich Anfang 2024 in Hongkong: Eine Mitarbeiterin überwies 25 Millionen US-Dollar, nachdem sie in einer Videokonferenz vermeintlich von ihren Vorgesetzten dazu angewiesen worden war. Tatsächlich handelte es sich um Deepfake-Avatare, die das Aussehen und die Stimmen des CFO und anderer Führungskräfte perfekt nachahmten. Alle klassischen Kontrollmechanismen wie Vier-Augen-Prinzip, Rückrufverfahren oder Plausibilitätsprüfungen versagten, da die Echtheit nicht mehr hinterfragt wurde.
Bereits frühere Vorfälle verdeutlichen das Risiko. 2019 fiel ein britischer Manager auf einen Deepfake-Anruf herein, bei dem die Stimme seines Vorgesetzten nachgeahmt wurde, und überwies 220.000 Euro. Auch Privatpersonen sind betroffen, etwa wenn bekannte Betrugsmuster wie der Enkeltrick mit synthetischen Stimmen ausgeführt werden. Opfer hören vermeintlich Angehörige um Hilfe bitten und reagieren entsprechend. Studien zeigen, dass die Mehrheit der Menschen nicht in der Lage ist, zwischen echter und geklonter Stimme zu unterscheiden.
Generative Software ermöglicht es, synthetische Identitäten zu erstellen. Täter fälschen Ausweise, Selfies oder ganze Identitätspakete, die für Kontoeröffnungen oder Kreditbeantragungen genutzt werden können. Teilweise werden vorab aufgezeichnete Videos oder animierte Avatare in Live-Identifikationsverfahren eingeschleust, um Liveness-Prüfungen zu umgehen. Damit unterlaufen Angreifer grundlegende Voraussetzungen moderner Compliance-Prozesse.
Klassische Kontrollsysteme stoßen hier an ihre Grenzen. Biometrische Verfahren wie Gesichtserkennung oder Stimmprofile lassen sich durch Deepfakes täuschen. Multifaktor-Authentifizierung schützt nicht, wenn die eigentliche Nutzerin selbst manipuliert und zum Handeln verleitet wird. Selbst Rückrufprozesse verlieren an Zuverlässigkeit, wenn auch der zweite Kommunikationskanal gefälscht oder kompromittiert ist. Fraud-Detection-Systeme, die Transaktionsmuster überwachen, können umgangen werden, wenn Täuschungen gezielt so gestaltet werden, dass sie unauffällig erscheinen.
Zur Abwehr solcher Angriffe ist ein mehrschichtiger Ansatz erforderlich. Auf technischer Ebene müssen fortgeschrittene Liveness-Detection-Verfahren eingesetzt werden, die etwa spontane Bewegungsaufgaben oder Mikroexpressionen prüfen, die sich mit Replay-Videos nicht imitieren lassen. KI-basierte Prüftools können Medieninhalte auf Artefakte analysieren, auch wenn keine Methode absolute Sicherheit verspricht. Im Bereich der Authentifizierung sollten Codewörter, physische Faktoren wie Token oder Push-Bestätigungen und sichere Kommunikationskanäle eingesetzt werden, die schwerer nachzuahmen sind.
Organisatorisch müssen Zahlungsrichtlinien angepasst werden, um auch ungewöhnliche Anweisungen per Video oder Telefon abzudecken. Das Vier-Augen-Prinzip sollte auf Authentifizierungsprozesse selbst ausgeweitet werden. Notfallpläne müssen klarstellen, wie Mitarbeitende bei Verdachtsmomenten vorgehen und an wen sie sich wenden können. Eine offene Meldekultur ist unerlässlich, damit Hinweise ohne Angst vor Sanktionen weitergegeben werden.
Von besonderer Bedeutung ist die Schulung der Mitarbeitenden. Sie müssen lernen, dass visuelle oder akustische Echtheit keine Garantie mehr ist. In simulierten Angriffen können sie trainieren, ein „gesundes Misstrauen“ zu entwickeln. Konkrete Hinweise auf Täuschungen – etwa ungewöhnliche Verzögerungen in Videos, unnatürliche Sprachmelodien oder fehlendes Hintergrundwissen bei Anrufern – sollten in praxisnahen Programmen vermittelt werden.
Auch auf Governance-Ebene sind Anpassungen erforderlich. Unternehmen sollten klare Richtlinien zum Umgang mit KI-Risiken entwickeln und interne Strukturen schaffen, die technologische Entwicklungen regelmäßig evaluieren. Ein spezielles KI-Risk-Committee oder ein Chief Information Security Officer mit erweitertem Mandat kann hier die Koordination übernehmen. Dabei sind regulatorische Vorgaben, etwa der EU-KI-Act oder Leitlinien der Finanzaufsicht, konsequent zu berücksichtigen.
International lassen sich bereits regulatorische Entwicklungen beobachten. In den USA hat FinCEN 2024 spezielle Warnhinweise zu Deepfake-Fraud veröffentlicht. In der EU schreibt der KI-Act Transparenzpflichten für generierte Inhalte vor. Der Vollzug bleibt jedoch schwierig, da Kriminelle sich naturgemäß nicht an Kennzeichnungspflichten halten. Daher ist entscheidend, rechtliche Vorgaben, technische Innovation und organisatorische Wachsamkeit miteinander zu verbinden.
Deepfakes verändern die Spielregeln der Betrugsbekämpfung grundlegend. Unternehmen müssen ihre Fraud-Detection-Systeme neu denken und auf eine Kombination aus technischen Instrumenten, organisatorischen Maßnahmen, geschulten Mitarbeitern und konsequenter Governance setzen. Wer dies nicht beherzigt, läuft Gefahr, innerhalb weniger Minuten Opfer von Angriffen zu werden, die Verluste in Millionenhöhe verursachen können.