Deepfake: Wie sich neue Bedrohungen auf Cyberversicherungen auswirken

Foto: shuttersv – shutterstock.com

Mit der explosionsartigen Zunahme von generativen KI-Programmen wie ChatGPT, DALL-E oder den neuen KI-Funktionen in Microsofts Suchmaschine Bing wird es immer einfacher, überzeugende Deepfakes zu erstellen. Sie werden realistisch genug klingen, aussehen, sich bewegen und ausdrücken, um Kunden und Unternehmen zu täuschen. Bereits existierende Deepfake-Varianten,, wie zum Beispiel die Fälschung des russischen Präsidenten Wladimir Putin, der über vertrauenswürdige Fernseh- und Radiosender das Kriegsrecht erklärt hat, sind erst der Anfang.

Deepfakes haben das Potenzial, den Ruf eines Unternehmens zu ruinieren und, biometrische Kontrollen zu umgehen. Ahnungslose Benutzer können sie dazu verleiten, auf bösartige Links zu klicken, und Finanzmitarbeiter dazu bringen, Geld auf Offshore-Konten zu überweisen. Angriffe mit Deepfakes können über viele Kanäle erfolgen, von sozialen Medien bis hin zu gefälschten Videoanrufen von Mensch zu Mensch über Zoom. Voicemail, Slack-Kanäle, E-Mail, Mobile Messaging und Metaversen sind allesamt geeignet, um Deepfake-Betrug an Unternehmen und Privatpersonen zu verbreiten.

Cyber-Haftpflichtversicherer werden allmählich aufmerksam auf diese Bedrohungslage und passen ihre Sicherheitsanforderungen an die neue “gefälschte” Realität an. Sie fordern unter anderem eine bessere Cyber-Hygiene im gesamten Unternehmen und mehr Fokus auf Systeme für Heimarbeiter. Hinzu kommen eine stärkere Multi-Faktor-Authentifizierung (MFA), eine Out-of-Band-Bestätigung (dazu später mehr), um zu verhindern, dass man auf Deepfake-Phishing-Versuche hereinfällt, die Schulung von Benutzern und Partnern sowie kontextbasierte Überprüfungsdienste oder -tools von Drittanbietern.

Lesetipp: Lohnt sich eine Cyber-Versicherung?

Auch wer sorgfältig arbeitet, kann auf Deepfakes hereinfallen

Anfang Juni wurde Rob Ferrini, Programm-Manager für Cyber-Policen beim Versicherer McGowanPRO zwei Fälle von Voicemail-Imitation gemeldet, die 5.000 Kunden betrafen. Einer davon führte zu einem offenen Schadensfall, der derzeit untersucht wird. Bei dem Versicherten handelte es sich um eine Wirtschaftsprüfungsgesellschaft, in der ein Buchhalter eine Sprachnachricht von einem seiner Geschäftskunden erhielt. Darin wurde er aufgefordert, die Anweisungen für einen Lieferanten zu ändern und eine Rechnung über 77.000 Dollar zu bezahlen.

Der Buchhalter rief daraufhin seinen Kunden an, um das zu bestätigen. Sein Kunde berichtete, dass er dieselbe Sprachnachricht von seinem Kreditorenkonto erhalten habe, und sagte, es sei wahrscheinlich in Ordnung. Laut Ferrini stellte sich jedoch heraus, dass der Kunde des Buchhalters eine Rechnung in Höhe von 77.000 Dollar auf ein betrügerisches Bankkonto überwiesen hatte.

“Während der Buchhalter seiner Sorgfaltspflicht nachkam und seinen Kunden anrief, hat der Kunde seine Sorgfaltspflicht nicht erfüllt. Letzterer hat seinen Lieferanten nicht angerufen, um sich zu vergewissern, dass die Voicemail echt war. Wenn die Ermittler der Versicherung das Geld nicht zurückholen können, wird der Kunde des Buchhalters möglicherweise nicht entschädig”, erklärt der Versicherungsmanager.

In derselben Woche wandte sich zudem ein Vermögensverwalter an Ferrini. Er berichtete ihm, wie die Out-of-Band-Authentifizierung (OOBA) seinen Kunden davor bewahrt hat, auf einen Betrüger hereinzufallen, der ihn dazu bringen wollte, eine gefälschte Hypothek zu eröffnen. Bevor er dem Betrüger irgendwelche Informationen gab, rief der Kunde einfach an, um den Vermögensverwalter zu fragen, ob das wahr sei, und dieser sagte ihm, dass es eine Fälschung sei.

Bewusstsein für Deepfake in allen Bereichen erforderlich

“Viele Anbieter von Cyberversicherungen verlangen Out-of-Band-Authentifizierungskontrollen, um Policen abschließen zu können”, sagt Ryan Bell, Threat Intelligence Manager beim Cyber-Versicherungsunternehmen Corvus. Eine Out-of-Band-Authentifizierung bedeutet, dass eine Person, die eine Zahlungsanweisung erhält, den Absender vor der Überweisung auf ein Konto anruft und sich mit zwei verschiedenen Methoden vergewissert, dass er auch wirklich derjenige ist, für den er sich ausgibt.

Laut Corvus sollten die gleichen Präventionsempfehlungen für Überweisungsbetrug auch für Social Engineering durch Deepfakes gelten, aber um zu verhindern, dass durch Deepfakes initiierte Betrügereien erfolgreich sind, muss dies möglicherweise ausdrücklich in den Versicherungspolicen erwähnt werden.

Ein weiteres Problem ist der Schutz der Stimme, des Abbilds, der Interessen und der Äußerungen von CEOs und anderen Führungskräften. Diese können abgegriffen und in ein generatives KI-Programm zur Erstellung der Deepfakes eingegeben werden, so Bell. Da es unmöglich ist, diese Personen aus dem Internet fernzuhalten, müssen Unternehmen ihre Dark-Web- und externen Bedrohungsdaten auf die Suche nach Anzeichen für die Erstellung von Deepfakes abstimmen.

Werden Versicherer neue Deepfake-Erkennungstools oder -dienste benötigen?

Mitarbeiterschulungen werden nicht ausreichen. Deepfakes werden immer realistischer und interaktiver. Sie ahmen Gesichtsausdrücke und Stimmen täuschend echt nach. Irgendwann wird es für Mitarbeitende unmöglich, Fälschungen zu erkennen, so dass Tools, um Deepfakes zu erkennen und zu überprüfen, wichtige Instrumente im Arsenal des Arbeitgebers werden.

“Es gibt Programme, die anhand des Blutflusses, der Bewegungen, des Hintergrunds und weiterer Kriterien erkennen können, ob eine Person echt oder gefälscht ist. Dies geschieht, indem sie ein zuvor aufgenommenes oder live übertragenes Bild bis auf die Pixelebene herunterrechnen. Solche Dienste suchen nach Anzeichen für Fälschungen, die für Menschen weitgehend unsichtbar sind”, sagt Geoff Kohl, Senior Director bei der Security Industry Association (SIA). “Die heute aufkommenden Lösungen zur Erkennung von Deepfakes werden größtenteils als eigenständige Software bereitgestellt, aber damit diese Angebote skaliert und für Unternehmen überall verfügbar werden können, ist es unvermeidlich, dass diese Softwarelösungen als cloudbasierte Dienste angeboten werden”, so der Experte.

Derzeit wird an Open-Source-Standards gearbeitet, die Nutzer und Sicherheitstools dabei unterstützen, die Echtheit eines Bildes zu überprüfen. Microsofts Video Authenticator wurde vor seiner Veröffentlichung im Jahr 2020 anhand von Datensätzen entwickelt und getestet. Der Hersteller räumt allerdings ein, dass das Modell der Entwicklung hinsichtlich Generative AI nicht standhalten wird.

Seit 2021 sprechen Experten über Kontextualisierungs-Engines, um die Echtheit von Online-Medien, einschließlich Bildern und Sprache, zu bestimmen. Unternehmen wie Google kündigen neue Tools an, um Fälschungen in Bildsuchergebnissen zu erkennen. Eine Handvoll API- und browserbasierter Plugins werden ebenfalls entwickelt, um die “Lebendigkeit” von Videos in sozialen Medien zu erkennen.

Diese Tools sind zwar für Medienunternehmen und Nutzer sozialer Medien nützlich, vernachlässigen aber offenbar die wichtigsten Kanäle, über die sich Deepfakes auf Unternehmen, Behörden und kritische Infrastrukturen auswirken können. Dazu zählen zum Beispiel Voicemail, E-Mail, Zoom, Slack oder andere gängige Kommunikationskanäle in Unternehmen. Auf der RSA Security Conference im April 2023 waren die traditionellen Security-Anbieter wenig auf generative KI vorbereitet. Daher ist nicht zu erwarten, dass sie diesen Bereich in nächster Zeit besetzen werden. Es werden also wahrscheinlich neue Cloud-basierte Erkennungs- und Prüfdienste entstehen, die Unternehmen in Zukunft bedienen werden.

Lesetipp: Neue Ära der Cyberrisiken erfordert neuen Versicherungsansatz

Was steht in Ihrer Police über Deepfakes?

In den meisten Fällen müssen sich Unternehmen auf die Anforderungen konzentrieren, die in ihren Cyberversicherungspolicen enthalten sind. Da die meisten Policen eine Multifaktor-Authentifizierung als Voraussetzung für den Versicherungsschutz fordern, empfiehlt Ferrini von McGowanPRO, dies in Unternehmen zu stärken. Wenn biometrische Zugangskontrollen durch Deepfakes umgangen werden können, würde eine zweite Form der Authentifizierung zusätzlich vor unbefugtem Zugriff schützen.

Wendy Esposito, Leiterin der GenAI-Kommission bei der Anwaltskanzlei Benesch Law, rät CISOs, ihre Cyber-Haftungsrichtlinien regelmäßig zu überprüfen- Wenn möglich sollte das sogar viertel- oder halbjährlich stattfinden. “Unternehmen sollten ihre Policen jetzt prüfen, um zu verstehen, was abgedeckt ist und was nicht, denn Technologie und Cyberbedrohungen ändern sich so schnell.”

CISOs sollten dieses Dokument regelmäßig zur Hand nehmen und Gespräche mit Risiko-, Rechts- und Finanzteams führen, um aktuelle und künftige Risiken mit möglichen Deckungslücken abzugleichen, so die Rechtsexpertin. Mindestens einmal im Jahr müssten die Vorstände über die Cyber-Haftpflichtversicherung des Unternehmens und etwaige Lücken informiert werden. “Nehmen wir als Beispiel die Deckung von Reputationsschäden. Wenn finanzielle Verluste durch Deepfakes verursacht werden, die in sozialen Medien, Podcasts, YouTube oder im Fernsehen oder Radio gepostet werden – wie im Fall des russischen Präsidenten – dann decken die aktuellen Policen diese wahrscheinlich nicht ab, da sie nicht durch einen Verstoß gegen das Netzwerk oder die Systeme des Unternehmens verursacht wurden”, fügt sie hinzu.

Esposito hat im Auftrag ihrer Kunden viele Policen gesehen, die solche Verluste nur dann abdecken, wenn sie durch ein Eindringen in das Netzwerk oder einen Cyberangriff verursacht wurden. Wenn umgekehrt die Angreifer Deepfakes verwenden, um einen Mitarbeiter zu phishen und dann Ransomware auf den Unternehmenssystemen zu installieren, wäre dies unter bestimmten Policen wahrscheinlich abgedeckt, da es sich um ein Eindringen handelt – solange die richtigen E-Mail-Sicherheitskontrollen und Benutzerschulungsprogramme aktiv eingesetzt werden (und diese Programme müssen Deepfakes berücksichtigen).

Vor diesem Hintergrund müssten CISOs und Versicherer die bestehenden Richtlinienanforderungen und ihre technischen Kontrollen überprüfen. Esposito prognostiziert, dass Deepfake-bezogene Schäden in Cyber-Versicherungspolicen aufgenommen werden, allerdings zu zusätzlichen Kosten für den Versicherten: “Cyber-Haftpflichtversicherungen sind sehr teuer, und die Deepfake-Deckung wird diese Kosten wahrscheinlich noch erhöhen.” (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.