Deepfakes werden immer realistischer – was das für Ihre Online-Sicherheit bedeutet

21. September 2023  |  W. Perry Wortman

Mit dem explosiven Wachstum von generativer KI nehmen auch Sicherheitsbedenken und die Angst vor Arbeitsplatzverlusten zu. 

In einem Bereich überschneiden sich diese Bedenken: „synthetische Medien“. Dazu gehören Deepfakes (hyperrealistische, von KI generierte Videos) sowie das Klonen von Stimmen bzw. Audio-Deepfakes (von KI generierte Text-to-Speech-Stücke, die wie reale Personen klingen sollen). 

Fürsprecher von synthetischen Medien heben ihre Vorteile hervor: Niedrigere Produktionskosten in Film und Werbung sowie bessere Zugänglichkeit, da Kreativtools heute weniger Kosten verursachen und einfacher zu verwenden sind. Die Nachteile sind jedoch weniger rosig.

Deepfakes bedrohen biometrische Sicherheitsfunktionen, einschließlich Gesichts- und Spracherkennungstechnologie. Sie können zu Betrug führen und sich auf die individuelle und nationale Sicherheit auswirken. Fortschrittliche Deepfakes sind nicht so leicht als gefälscht zu erkennen, was eine Verbreitung von Fehlinformationen in den Medien ermöglicht. 

Eine staatliche Regulierung von generativer KI und synthetischen Medien sowie Alternativen zu biometrischen Sicherheitsfunktionen können dazu beitragen, diese Schwachstellen zu bekämpfen. 

Hier erfahren Sie, wie Deepfake-Technologie voranschreitet, was Gesetzgeber sagen und wie Sie die Kontrolle über Ihre Sicherheit übernehmen können. 

Der Begriff „Deepfake“ ist eine Kombination aus „Deep-Learning-Technologie“ und „gefälschten“ (fake) oder synthetischen Videos. Diese Technologie ist weit fortschrittlicher als Tools wie Photoshop oder Videoeditoren und erlaubt eine deutlich schnellere Erstellung von Videos.

Genauso wie umfangreiche Sprachmodelle wie ChatGPT mit öffentlich verfügbarem Quellmaterial im Internet geschult werden, wird KI anhand von Videoquellen auf Deepfakes geschult, um die Bewegungen von Personen in echten Videos zu duplizieren. Entwickler können das KI-Tool beispielsweise auffordern, ein Gesicht durch ein anderes zu ersetzen. Die Software wird das Video oder Bild dann so lange ändern, bis es realistisch aussieht. Beim Klonen von Stimmen bzw. bei Audio-Deepfakes kommt dieselbe Technologie zum Einsatz. Anstatt jedoch Bewegungen zu duplizieren, werden die Modelle anhand von Audioquellen geschult, um Dinge wie Klang und Intonation eines Sprechers nachzuahmen. 

Die Ergebnisse sind nicht nur sehr gut, sondern können in einigen Fällen auch innerhalb von Minuten generiert werden. 

Viele Benutzer haben einfach zum Spaß harmlose Deepfakes erstellt (siehe Jim Carrey in The Shining). Außerdem experimentieren Marken mit KI-generierten Videos. Gartner prognostiziert, dass bis 2025 30 % der ausgehenden Marketingbotschaften großer Unternehmen synthetische Videos nutzen werden.

Unmoralische Deepfakes sind jedoch sehr verbreitet. 2017 machte ein Redditor die Öffentlichkeit auf Deepfake-Technologie aufmerksam, als er KI-gestützte Software nutzte, um gefälschte pornografische Videos zu erstellen, in denen anscheinend Prominente zu sehen waren. Laut einem Artikel in The Guardian aus dem Jahr 2020 stellte das KI-Unternehmen Deeptrace fest, dass 96 % der Deepfake-Videos, die 2019 online waren, pornografischer Art waren.

Deepfakes werden zudem für politische Subversion verwendet, wie in diesem gefälschten Video von Präsident Biden, in dem er einen Entwurf anzukündigen scheint, amerikanische Soldaten in die Ukraine zu schicken. Schon seit langem werden Fehlinformationen über Artikel und Social-Media-Beiträge verbreitet. Deepfakes stellen eine weitere, überzeugendere Methode dar, um Fehlinformationen zu verbreiten.

Kriminelle haben synthetische Medien bereits verwendet, um sich als andere Personen auszugeben, was zu erheblichen Verlusten durch Betrug geführt hat. Unternehmen werden von Betrügern ins Visier genommen, die KI-gestützte Technologie nutzen, um sich als eine Person aus dem Unternehmen auszugeben und Überweisungen in großen Summen anzufordern. 

2019 überzeugte ein Scammer mit KI-gestützter Technologie einen CEO, 243.000 USD zu überweisen. 2020 wurde ein Unternehmen in Hongkong durch Voice Cloning dazu gebracht, betrügerische Überweisungen in Höhe von 35 Millionen USD zu autorisieren. Betrügereien im Zusammenhang mit Deepfakes nehmen weiter zu und haben sich zwischen 2022 und 2023 verdoppelt. Allein in den USA machten sie im ersten Quartal 2023 2,6 % der Betrugsfälle aus. 

Diese KI-generierten Angriffe richten sich auch an Privatpersonen. Laut FTC beliefen sich Verluste durch Betrügereien bei Verbrauchern im Jahr 2022 auf insgesamt 2,6 Milliarden US-Dollar. 

Taktiken zum Klonen von Stimmen können verwendet werden, um Sicherheitsmaßnahmen wie Sprachverifizierung, die bei Banking- und anderen sensiblen Konten zum Einsatz kommen, zu umgehen. Im Februar 2023 beschrieb ein Reporter von Motherboard, wie er seine eigene Stimme mittels KI-gestützter Technologie klonen konnte, um auf sein Bankkonto zuzugreifen. 

Gesichtserkennungstechnologie ist ebenfalls anfällig für Deepfake-Angriffe. The Verge hat berichtet, dass „Lebendigkeitstests“, eine Form der Gesichtserkennung, die das Gesicht eines Benutzers in einer Kamera mit seinem Ausweisfoto vergleicht, von Deepfakes leicht getäuscht werden können. 

The Verge stellte fest, dass Sicherheitsmaßnahmen wie Face ID von Apple, das Identitäten basierend auf der Form des Gesichts eines Benutzers verifiziert, sich nicht von Deepfakes täuschen lassen. Solche biometrischen Sicherheitsfunktionen überprüfen das Gesicht oder den Fingerabdruck eines Benutzers mit dem, was auf dem Gerät des Benutzers gespeichert ist, und nicht mit einer Sicherheitsdatenbank. Diese Maßnahmen setzen außerdem voraus, dass der Benutzer physisch anwesend ist, und können nicht durch ein Foto oder Video entsperrt werden. 

Neben der Verwendung von Software (wie FakeCatcher von Intel) zur Erkennung von Deepfake-Scams können Unternehmen neue Verfahren zum Schutz ihrer Assets einrichten. Wenn Sie beispielsweise eine Richtlinie erarbeiten, die untersagt, dass Überweisungen über Telefon- oder Videoanrufe angefordert oder autorisiert werden dürfen, kann das Deepfake-Scams verhindern. 

Für Privatpersonen schlägt The Atlantic vor, für Freunde und Verwandte Codewörter für den Fall festzulegen, dass Sie einen Anruf von einem Betrüger erhalten, der sich als geliebte Person ausgibt und Geld anfordert.  

Im Gegensatz zur Autorisierung per Gesichts- oder Spracherkennung stellen starke Passwörter und Multi-Faktor-Authentifizierung (MFA) sichere Methoden zum Schutz Ihrer sensiblen Konten dar. 

Starke Passwörter bleiben die beste Verteidigung gegenüber Cybersicherheitsangriffen. Es gibt viele Maßnahmen, die Privatpersonen und Unternehmen ergreifen können, um dafür zu sorgen, dass ihre Passwörter einzigartig und schwer zu knacken sind. 

Die Passwortverwaltungslösung von Dashlane bietet einen Passwortgenerator, der einen Algorithmus namens zxcvbn nutzt, um Passwörter von Benutzern zu prüfen und zu verbessern. Sie können Passwörter aber auch basierend auf individuellen Kontoanforderungen anpassen (d. h. Länge und Verwendung von Sonderzeichen). 

Unternehmen können Single Sign-On (SSO) implementieren. Bei Verwendung von SSO müssen sich Mitarbeiter weniger Passwörter merken, während IT-Administratoren mehr Kontrolle über die Sicherheit des Unternehmens erhalten und fremde Logins verfolgen können. 

Eine weitere Alternative sind passwortlose Logins, die bei Dashlane in Arbeit sind. Dabei kommen anstelle eines Master-Passworts optionale Gesichtserkennung – die Art, die von Deepfakes nicht getäuscht werden kann – oder eine einzigartige PIN zum Einsatz, die lokal auf dem Gerät des Benutzers gespeichert wird. Die Methode ist resistent gegenüber Phishing-Angriffen, da sowohl das Gerät als auch der Benutzer selbst auf das Konto zugreifen müssen. 

Bedenken hinsichtlich generativer KI und des Arbeitsmarkts sowie der Sicherheit haben den Kongress erreicht. Sam Altman, der Chief Executive von OpenAI, forderte die US-Gesetzgeber bei einer Anhörung im Senat im Mai auf, Vorschriften rund um generative KI zu erlassen, um potenzielle Schäden zu verhindern. 

Zwar ist unklar, wie die US-Gesetzgeber weiter vorgehen werden. Manche Länder haben jedoch bereits Mandate erlassen, um die von KI ausgehenden Risiken zu adressieren. Großbritannien finanziert Forschung zur Erkennung von Deepfakes und zieht ein Gesetz in Betracht, das eine Kennzeichnung von KI-generierten Fotos und Videos vorschreiben soll. Länder wie China und Südkorea haben bereits umfassende Gesetze erlassen, die die Offenlegung von Deepfakes sowie die Zustimmung der Benutzer vorschreiben.   

Aktuell bedeuten die zunehmende Verbreitung und Weiterentwicklung von Deepfakes, dass Privatpersonen und Unternehmen kritisch sein müssen, um Betrug und identitätsbasierte Angriffe zu verhindern. Sie können Ihre eigene Fähigkeit zum Erkennen von Deepfakes sogar über die Detect Fakes-Website testen, die im Rahmen eines MIT-Forschungsprojekts erstellt wurde, und sich über potenzielle Phishing- und Social-Engineering-Scams informieren. 

Durch Verwendung von Alternativen zur Sprach- und Gesichtserkennung (wie Passwörtern und passwortlosen Logins) können Sie Ihr Risiko im Zusammenhang mit Cyberangriffen reduzieren. 

W. Perry Wortman

Mehr erfahren