Immer häufiger gehen Unternehmen Betrügern auf den Leim, die sich als täuschend echte Geschäftspartner präsentieren. Denn mit „Deepfakes“ lassen sich nicht nur Dokumente, sondern auch Stimmen und sogar Videokonferenzen manipulieren.
Anzeige
Deepfakes entstehen durch Audio-, Bild- und Videomaterial, das mit Künstlicher Intelligenz (KI) generiert oder manipuliert wurde. Dafür gibt es frei verfügbare Anwendungen wie Face-Swap-Software, die Gesichter in einem Video oder Bild austauschen können. Und mit Stimmgeneratoren erschaffen Täter Inhalte, die real wirken, aber tatsächlich nie stattgefunden haben. Besonders problematisch ist die überzeugend echte Nachahmung individueller Merkmale wie Stimme, Sprachstil oder Mimik. Adressaten erkennen vermeintlich vertraute Personen wieder und schenken den Aussagen und Gesten Vertrauen – ein Einfallstor für gezielte Irreführung.
Täter schwer greifbar
Die Erstellung und Verbreitung von Deepfakes verletzen das Persönlichkeitsrecht des Betroffenen. Die Datenschutz-Grundverordnung (DS-GVO) greift bereits bei der Verarbeitung personenbezogener Daten, die unerlässlich ist, um Deepfakes zu erstellen. Darüber hinaus dürfen Bildnisse identifizierbarer Personen – auch synthetisch erzeugte – nur mit deren Einwilligung verbreitet werden (§§ 22, 23 KUG). Fehlt diese, bestehen zivilrechtliche Ansprüche auf Unterlassung und Schadensersatz (§§ 823, 1004 BGB). Praktisch lassen diese sich jedoch nur durchsetzen, wenn die Täter identifiziert werden können. Anonyme oder im Ausland agierende Akteure erschweren die Rechtsverfolgung erheblich.
Kriminelle nutzen Deepfakes für Cyberangriffe wie etwa die betrügerische Ansprache im Namen von Vorständen oder Geschäftsführern (CEO-Fraud). Klassischerweise geben sie sich per E-Mail als Führungskraft aus und veranlassen Mitarbeiter zu Überweisungen. Gezielt recherchieren sie öffentlich verfügbare Informationen über Unternehmen, Entscheidungsträger und Beschäftigte. Deepfake-Technologie hebt diese Angriffe auf ein neues Niveau: Die Betrüger imitieren Stimmen oder erstellen täuschend echte Sprachnachrichten. Zusätzlich manipulieren sie Telefonnummern (Call-ID-Spoofing), so dass Anrufe scheinbar vom Vorstand stammen. Häufig wählen sie Zeitpunkte mit eingeschränkter Erreichbarkeit – etwa abends, an Wochenenden oder Feiertagen –, erzeugen gezielt Zeitdruck und dringen auf Geheimhaltung.
Gesetze werden verschärft
Wer ein Deepfake nutzt, um eine Zahlung zu erhalten, macht sich wegen Betrugs (§ 263 StGB) strafbar. Bei einer aktuell viel diskutierten Neuregelung könnte auch das Zugänglichmachen von Deepfakes nichtsexuellen Inhalts einer eigenen Strafnorm unterfallen (§ 201b StGB-E). Unternehmen sollten diese Entwicklungen im Blick behalten, da sie die Compliance-Anforderungen weiter verschärfen können.
Eine wirksame Prävention kombiniert organisatorische, technische und personelle Maßnahmen:
• Umgang mit Daten: Definieren Sie Richtlinien zur Nutzung privater mobiler Endgeräte und sozialer Medien – beliebte Einfallstore für Kriminelle.
• Simulationen: Spielen Sie regelmäßig typische Angriffsmuster wie Phishing oder CEO-Fraud durch.
• Transparenz bei Abwesenheiten: Kommunizieren Sie klar, wer wann erreichbar und wie die Vertretung geregelt ist.
• Dokumentation: Etablieren Sie verbindliche Protokollierungsregeln für Überweisungen, insbesondere ab bestimmten Schwellenwerten.
• E-Mail-Prüfung: Beschäftigte müssen Absenderadressen sorgfältig prüfen, insbesondere wenn sie Zahlungsanweisungen enthalten.
• Verifizierungsprozesse: Kommen diese per Mail, Telefonat oder Sprachnachricht, müssen sie stets über einen zweiten Kanal bestätigt werden (Rückruf oder persönliches Gespräch).
• Vier-Augen-Prinzip: Bei Zweifeln ist immer eine weitere Person einzubinden.
• Meldewege: Beschäftigte müssen wissen, an wen sie sich bei Verdacht auf Betrug wenden können.
Deepfakes verschärfen bekannte Betrugsszenarien und erhöhen das Risiko für Unternehmen erheblich. Rechtlicher Schutz besteht grundsätzlich, stößt wegen der oft nicht möglichen Identifikation der Täter jedoch an Grenzen. Entscheidend ist daher die Vorbeugung: Klare Prozesse, geschulte Mitarbeiter und konsequente Verifizierungsmechanismen sind die beste Vorbeugung gegen derartige Angriffe.
