Nachricht schreiben an

Sie haben keinen Betreff angegeben, möchten Sie die Nachricht ohne Betreff versenden?
Bitte beachten Sie, dass Ihre Nachricht maximal 1000 Zeichen lang sein darf
Sonderzeichen '<', '>' sind im Betreff und in der Nachricht nicht erlaubt
reCaptcha ist ungültig.
reCaptcha ist aufgrund eines Serverproblems gescheitert.

Ihre Nachricht wurde gesendet

Sie finden die Nachricht jetzt in Ihrem persönlichen Bereich unter „Meine Nachrichten“.

Es ist ein Fehler aufgetreten

Bitte versuchen Sie es nochmal.

Termin vereinbaren mit

Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.

Vor-Ort-Termin vereinbaren mit

Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.

Jake Moore, Global Cybersecurity Advisor ESET
  • Branchennews
  • Management, Awareness und Compliance

Freundliche Übernahme – Wie KI hilft, Identitätsdiebstahl auf ein neues Level zu bringen

Der britische Security-Experte Jake Moore testete die Auswirkungen von KI und Deepfakes auf die Sicherheit ¬ mit verheerenden Konsequenzen: Er übernahm die Identität eines Unternehmenslenkers und gelangte so nicht nur unbemerkt ins Vorstandsbüro. Moore hackte auch dessen LinkedIn-Account und erstellte ein Fake-Video, mit dem er via LinkedIn eine absurde Fahrradkampagne ankündigte. Niemand bemerkte den Betrug und Moore konnte sogar Unterstützer für seine Idee aktivieren. Gegen Deepfakes und KI helfe nur Misstrauen, daher plädiert Moore für eine Zero-Trust-Strategie.

Der britische Security-Experte Jake Moore startete ein Experiment, um zu zeigen, wie leicht sich mit KI-generierten Deepfakes Sicherheitsvorkehrungen überwinden lassen– mit erschreckendem Ausgang.

Kaum ein Gebiet, das noch ohne KI auskommt, aber auch Kriminelle wissen diese Technologie geschickt einzusetzen. Immer häufiger kommen Deepfakes zum Einsatz. Die Schadenssummen sind bereits enorm, in einem Fall waren es 25 Millionen US-Dollar. Der britische Security-Experte Jake Moore wollte herausfinden, wie aufwendig das ist und übernahm mit Leichtigkeit die Identität eines Unternehmenslenkers.

Fast täglich entstehen neue Anwendungsfelder für künstliche Intelligenz (KI). Doch ebenso oft hört man von neuen Missbrauchsmöglichkeiten. Ein bekannter britischer Security-Experte startete dazu ein Experiment. Er wollte wissen, wie weit er mit der aktuellen Technik kommt und ob es ihm sogar gelingen würde, Geld zu erbeuten. In einem Vortrag schildert er den überraschenden Verlauf seines Projekts.

Ein solches Experiment, bei dem finanzieller Schaden entstehen kann, erfordert die Zustimmung des vermeintlichen Opfers, das war Jake Moore sofort klar. Schließlich hatte er 14 Jahre für die britische Polizei im Bereich Computerkriminalität und digitale Forensik gearbeitet, bevor er zum Security-Software-Anbieter ESET wechselte. Heute ist Moore ein viel gefragter Interview-Partner. Moore hatte schon bei vorherigen Experimenten auf Personen aus seinem Umfeld zurückgegriffen und deren SIM-Karten, Whats-App- und Social-Media-Accounts gekapert. Für sein neues Vorhaben suchte er wieder in seinem Bekanntenkreis, doch niemand war bereit, an diesem Versuch teilzunehmen. Letztlich gelang es ihm, Jason Gault zur Mitwirkung zu überreden. Gault leitet in Großbritannien eine florierende Personalvermittlungsagentur mit rund 40 Mitarbeitern.

 

Unbemerkt ins Vorstandsbüro

Zunächst begann alles eher harmlos. Moore wettete, dass es ihm ohne Zugangsberechtigung gelingen würde, in das Büro des Firmenchefs zu gelangen. Gault war von seiner Sicherheitstechnik überzeugt und ging auf die Wette ein. Moore kopierte mithilfe eines Hacking-Tools heimlich den RFID-Code des Mitarbeiterausweises von Jason Gault. Damit gelangte er unbehelligt in die Büros der Firma. Trotz provokantem Posing vor Überwachungskameras fiel niemanden auf, dass sich ein Eindringling im Haus befand. Moore fragte sogar eine Mitarbeiterin, ob sie von ihm ein Foto machen könnte, wie er im Vorstandssitzungsraum die Beine auf den Tisch legt. Das tat sie bereitwillig und Moore sandte das Foto umgehend an den überraschten Jason Gault.

 

Übernahme in Social Media

Doch Moore wollte mehr. Er war überzeugt, wenn er mit einfachen Kniffen so weit kommen konnte, dann würde ihm mit intelligenteren Tricks weit mehr gelingen. „Die technischen Möglichkeiten heutzutage sind fantastisch“, schwärmt Moore. Er dachte dabei an KI, hatte er doch schon ein Deepfake-Video von sich selbst als James Bond im Trailer zum letztem Film erstellt.

Also fragte er Gault, ob er versuchen dürfe, dessen LinkedIn-Account zu hacken. Der stimmte zu. Schnell hatte sich Moore Zugang verschafft und bat Gault ihm den Account für 48 Stunden zu überlassen. Gault trat derweil den lang geplanten Urlaub auf Teneriffa an.

 

Ein Fake-Video mit Konsequenzen

Moore wusste, dass Gault ein ambitionierter Rennradfahrer ist. Er ersann die Idee, ein Fake-Video zu erstellen, in dem Gault eine absurde Fahrradkampagne ankündigt. Mit KI-Tools gestaltete er eine anspruchsvolle Kulisse. Darin zu sehen ist eine Gruppe von Rennradfahrern, die zur Pause die Fahrräder abgestellt hat, um in ein spanisches Restaurant auf der kanarischen Insel einzukehren. Nichts und niemand davon war real. Vor dieser Kulisse ließ Moore Gault sagen: „Ihr wisst alle, beim Fahrradfahren liebe ich Herausforderungen. Nun plane ich eine neue Aktion, größer und spektakulärer als alle vorherigen: Ich werde mit dem Fahrrad nach Australien fahren. Nein, ich kaufe kein Flugticket, ich will auf dem Fahrrad dorthin“. Er fügte noch hinzu, dass er wisse, dass sein Vorhaben verrückt sei.

Das Video postete Moore auf LinkedIn. Innerhalb weniger Stunden sahen es dort über 4000 Leute. Die Reaktionen ließen nicht lange auf sich warten. Viele erklärten das Vorhaben für absurd. Doch andere wollten Gault sofort unterstützen und boten ihm finanzielle und materielle Mittel an. Die Summen waren beträchtlich. Sogar einen hoch dotierter Sponsoring-Vertrag wurde Gault angeboten. Selbst die Ehefrau von Gault fiel auf das Fake-Video herein: Verärgert fragte sie ihn, warum er ihr von dem verrückten Trip nichts erzählt hatte. Niemand stellte das Video infrage. Lediglich die 14-jährige Tochter von Gault erkannte den Betrug sofort: „Papa, das bist nicht du“, rief sie. Doch die Resonanz auf das absurde Vorhaben wurde immer größer. Schon bald rief Gault aus dem Urlaub an und bat Moore: „Ich weiß, wir haben zwei Tage vereinbart, aber die Sache läuft aus dem Ruder. Ich möchte, dass wir das Experiment sofort beenden“.

 

Maßnahmen gegen Deepfakes

Auch im Nachgang hatte niemand die Echtheit des Videos infrage gestellt. Moore zeigt sich im Gespräch mit der it-sa immer noch überrascht, wie leicht es war, mit einer völlig absurden Idee sogar Bekannte und Freunde zu täuschen und zigtausend britische Pfund erbeuten zu können.

Gault zog Konsequenzen: Er heuerte Moore für Sicherheitstrainings an. Die Mitarbeiter sollten sensibilisiert und Schwachstellen in der Sicherheitstechnik ausgemerzt werden. Moore hatte sein Ziel erreicht: „Physische Einbrüche bringen Menschen zum Nachdenken“, kommentierte er das Resultat.

„Wenn ich ihnen zeige, wie einfach so etwas geht, dann sind die Leute viel eher bereit, etwas zu ändern“, resümiert Moore.

 

Zero-Trust-Prinzip gegen KI-Deepfakes

Doch gefragt, was zur Abwehr von Betrug mit Deepfakes nötig sei, hat auch Moore kein Patentrezept. Er sehe dazu momentan weder Tools noch technische Möglichkeiten. „Die Identität einer Person zu überprüfen, ist eine der großen gegenwärtigen Herausforderungen“, erläutert Moore im Gespräch. Er fügt hinzu: „Hier ist eine Lücke, die hoffentlich bald geschlossen wird“. Vorerst rechnet er mit einer Zunahme von Deepfake-Betrug: „Cyberkriminelle sind gut organisiert, sie werden bestimmt bald deep-fake-as-a-service anbieten“.

Seine Empfehlung lautet: „Zero Trust ist die Basis, das muss auch zwischen Personen gelten und in der persönlichen Kommunikation. Insbesondere, wenn es um Geld geht“. Moore rät: „Man muss sich immer Fragen stellen, wie: Warum passiert das jetzt und warum passiert das mir“. Oftmals liefert das eigene Gefühl, die eigene Intuition entscheidende Anhaltspunkte. „Wenn einem irgendetwas komisch vorkommt, sollten die Alarmglocken schrillen“, mahnt er.

Wie nötig das ist, zeigt ein Fall, über den der US-amerikanische Nachrichtensender CNN berichtete. Ein Mitarbeiter der Finanzabteilung des multinationalen Unternehmens Arup wurde gebeten, an einer Videokonferenz mit Managementvertretern teilzunehmen. Darin wurde ihm erklärt, dass eine wichtige Überweisung in Höhe von 25 Millionen US-Dollar zu veranlassen ist. Doch dabei handelte es sich um Betrug, das Geld war weg, denn der Mitarbeiter war die einzig echte Person in diesem Videogespräch – alle anderen waren Deepfake-Nachbildungen.

close

Diese Inhalte oder Funktionen stehen der it-sa 365 Community zur Verfügung. 
Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.