26.08.2021 - 223 Milliarden Euro – das ist verdammt viel Geld. Und es ist weg – ein Negativrekord.
Genau so hoch ist nämlich laut Digitalverband Bitkom der Gesamtschaden, der der deutschen Wirtschaft durch Diebstahl, Spionage und Sabotage jährlich entsteht: 223 Mrd. Euro. Dieser ist damit mehr als doppelt so hoch wie in den Jahren 2018/2019: Damals betrug der jährliche Gesamtschaden noch 103 Mrd. EUR. Noch erschreckender: Neun von zehn Unternehmen (88 Prozent) waren laut Bitkom 2020/2021 von Angriffen betroffen.
Cyberrisiken sind in den letzten Jahren für Unternehmen eine sehr teure Realität geworden – mit fortschreitendem technischen Fortschritt werden Cyberkriminelle immer professioneller. Und auch Covid-19 hat zu einem deutlichen Anstieg beigetragen: Das Einfallstor Homeoffice steht seit der Pandemie noch weiter offen also sonst.
Homeoffice: Mehr Angriffsfläche für Hacker
Berechnungen des Instituts der deutschen Wirtschaft (IW) zeigen, dass Angriffe im Homeoffice bislang einen Schaden von 52 Mrd. Euro verursacht haben. Mitarbeiter im Homeoffice nutzen häufig Verbindungen, die leichter angegriffen werden können als solche im Firmennetzwerk. Entsprechend muss die IT-Sicherheit während der Pandemie besonders geschützt werden. Nach Untersuchungen des IW sei bei vielen Unternehmen aber offensichtlich nicht der Fall gewesen und Unternehmen haben hier noch teilweise Nachholbedarf: Ein Viertel der Schadenszunahme aus dem vergangenen Jahr lässt sich auf die Arbeit im Homeoffice zurückführen. Häufig hatten Mitarbeitende keine Firmen-Laptops, keine Schulungen und keine Sicherheitskonzepte.
So ist es wenig überraschend, dass mehr als die Hälfte aller Angriffe im Homeoffice erfolgreich war. Die geringere Sicherheit ist sicherlich ein Grund – die zunehmende Professionalisierung und Nutzung von neuen Technologien der Cyberkriminellen ist ein weiterer.
Deepfake: Wenn der falsche Chef die richtige Stimme hat
2019 hatten wir bei Euler Hermes den ersten Fake President Fall mit einem „Audio Deepfake“, also mit Stimmimitationssoftware. Der „falsche Johannes“ hieß dieser Fall bei uns, denn der falsche Chef hatte die richtige Stimme, inklusive Sprachmelodie und dem leichten deutschen Akzent im Englischen. Dieser Wiedererkennungseffekt der Stimme war der entscheidende Moment, dass die Cyberkriminellen mit ihrer Masche erfolgreich waren. Die vertraue Stimme schafft sofort Vertrauen, so dass der britische CEO den Anweisungen des leider falschen Johannes nachkam.
Doch die Evolution geht weiter: Inzwischen lassen sich neben Audio Deepfakes auch täuschend echte Video Deepfakes erstellen. Und stellen sie sich das vor: Ihr Chef bittet sie im Video-Call, eine dringende Überweisung zu tätigen. Er sieht aus wie immer, redet wie immer – ist aber ein Deepfake? Sie würden nicht drauf reinfallen? Ganz sicher? Nicht per E-Mail, nicht am Telefon und schon gar nicht per Video? Dann schauen sie sich unbedingt die Tom Cruise Deepfake-Videos von Chris Umé an.
Täuschend echt. Erstellt mit Hilfe von künstlicher Intelligenz: Mit etwa 6.000 Aufnahmen des Schauspielers aus verschiedenen Winkeln, mit den unterschiedlichsten Gesichtsausdrücken hat der Visual Artist den Algorithmus trainiert und mit seinen Tik Tok Videos einen viralen Hype ausgelöst. Rund zwei Monate hat es gedauert, das Computermodell zu bauen und viele weitere Stunden, um mit entsprechender Software das Gesicht von Tom Cruise über jede Sequenz zu legen. Aber das Ergebnis ist verblüffend. Ein Quantensprung in der KI-Technologie.
Algorithmen im "Trainingslager"
Der Erfolg der Algorithmen liegt oft im Training. Das ist wie beim Fußball. Doch wie trainiert man einen Algorithmus am besten? Mit Trainingsspielen – und zwar gegen einen Algorithmus, der Deepfakes enttarnt. Wenn das Video von diesem nicht mehr als „Fake“ erkannt wird, ist die Täuschung gelungen. Wer weiß, ob dies nicht schon in einigen Betrugsfällen der Fall war? Mit Sicherheit ausschließen können wir das jedenfalls nicht.
Und was ist mit dem Argument, dass es ja „nur“ ein Video ist und noch keine Echtzeit-Unterhaltung in beispielsweise einer Video-Konferenz, die seit der Covid-19-Pandemie alltäglich geworden ist? Gibt’s nicht, gibt’s nicht. Auch das ist technisch heute umsetzbar. Erst kürzlich sind einige niederländische Politiker auf einen gefälschten Nawalny-Mitarbeiter reingefallen. Täuschend echt sah er aus – aber es war ein Dialog mit einem Deepfake.
Die Risiken, auf solche „Fakes“ reinzufallen ist exponentiell gestiegen – für jeden für uns und für alle Bereiche, sozial, politisch oder wirtschaftlich. Umso wichtiger ist es, wachsam zu bleiben.
Wie Unternehmen sich schützen können
Und was hilft, sich als Unternehmen zu schützen? Die Mitarbeiter zu sensibilisieren, über die technologischen Möglichkeiten aufzuklären und zu schulen, die IT-Sicherheitsstandards gerade im Homeoffice nicht zu vernachlässigen und nicht an der falschen Stelle zu sparen. Gleiches gilt für Compliance und Kontrollmechanismen. Wer diese im Homeoffice vernachlässigt, läuft Gefahr, dass Cyberkriminelle genau diese Schwachstellen ausnutzen.
Ganz besonders hilfreich ist es für Unternehmen in solchen Fällen aber, eine offene Kultur zu pflegen, in denen Rückfragen erwünscht sind. Mit einer Rückfrage beim echten Chef ist der falsche Chef nämlich schon enttarnt. Ähnlich leicht durchzuführen ist übrigens auch folgender Tipp, der helfen kann, Video-Deepfakes zu enttarnen: Bitten Sie ihren Chef, ob er sich in der Videokonferenz vielleicht kurz an die Nase fassen könne. Wahrscheinlich wäre der im ersten Moment überrascht. Aber die Erklärung leuchtet ein: Die Geste könnte bei einem Deepfake nämlich das digital erzeugte Bild zerstören. Klappt nicht immer. Aber kleine Geste – eventuell große Wirkung!