Mit Deepfakes erwächst den Banken ein gefährliches Cyberrisiko
Realistisch wirkende Medieninhalte wie Videos, Fotos oder Audiomitschnitte, welche mittels KI und Machine Learning abgeändert und verfälscht wurden, sorgen seit Jahren in den sozialen Netzwerken für Aufsehen. Häufig handelt es sich bei den Beiträgen um Diffamierungen einzelner Nutzer – zuletzt standen aber auch geschickt lancierte Fake News im Fokus des Interesses.
Die technischen Verfahren sind dabei derart ausgereift, dass es für den Laien kaum möglich ist, Originale von Deepfakes zu unterscheiden. Was auf den ersten Blick wie reale Science-Fiction wirkt, muss den Cyberexperten der Banken Sorgen bereiten: Die neuen Technologien eröffnen Kriminellen eine Vielzahl neuer Einfallstore. Es ist Eile geboten, sich gegen potentielle Angriffe vorzubereiten.
Kundenschnittstelle und interne Prozesse im Fadenkreuz
Besonders exponierte Ziele für den Einsatz der Deepfakes sind die neuen, digitalen Kanäle, welche Institute mit Nachdruck ausbauen. Längst ist es gängig, via sogenanntem digitalen Onboarding ein Bankkonto von der heimischen Couch aus zu eröffnen. Bringen Kriminelle nun fremde Ausweispapiere in ihren Besitz, ist es mittels verfälschter Videosequenzen nicht mehr allzu weit bis zur Eröffnung eines Fake-Accounts. Banken, die Geldwäscherei, Terrorfinanzierung etc. den Kampf angesagt haben, sollten den Gefahren frühzeitig mit Massnahmen begegnen.
Auch verfälschte Audiomitschnitte könnten massive Schäden verursachen. Bankkunden, die am Telefon die Stimme ihres bekannten Beraters zu erkennen glauben, sind potentielle Opfer für falsche Überweisungsanforderungen oder Ähnliches.
Wie bei den klassischen Cyberrisiken, müssen auch interne Prozesse der Banken die neuen kriminellen Potentiale ausreichend antizipieren. Ein verfälschter Anruf von Vorgesetzten – etwa mit dem Auftrag einer Prozessausführung – stellt ein ungleich höheres Risiko dar, als die inzwischen weitgehend entlarvten Phishing Mails. Hinzu kommt, dass gerade in der Pandemie-bedingten Ausnahmesituation Unternehmen teils improvisieren müssen, um trotz Homeoffice ihre Operations aufrecht zu erhalten. Diese Ausnahmesituation eröffnet Kriminellen noch weitere Möglichkeiten, wie z.B. mittels Social Engineering die 4-Augen-Kontrollen zu überwinden.
Nourdine Abderrahmane, CapcoSensibilisierte Mitarbeiterinnen und Mitarbeiter haben zudem eher die Möglichkeit, auch Angriffe an der Schnittstelle zum Kunden als solche zu erkennen.
Mitarbeiter sensibilisieren – Technologien nutzen
Um den neu entstandenen Risiken adäquat zu begegnen, sind Banken im ersten Schritt angehalten, ihren Mitarbeitenden mit Schulungen auf potenzielle Angriffe, deren neue Methoden und Vorgehensweisen vorzubereiten. Für viele Banker ist deren technische Finesse noch eine echte Überraschung.
Interne Sicherheitsprüfungen reduzieren operative Gefahren jedoch ad hoc massiv. Sensibilisierte Mitarbeiterinnen und Mitarbeiter haben zudem eher die Möglichkeit, auch Angriffe an der Schnittstelle zum Kunden als solche zu erkennen. Auch technologische Lösungen im Kampf gegen Deepfakes werden mit Nachdruck vorangetrieben. Technologieunternehmen – allen voran auch die besonders betroffenen Bigtechs – arbeiten an Softwareanwendungen, die Bausteine wie KI, ML etc. gegen die Angreifer verwenden.
Handlungsbedarf frühzeitig erkennen
Die neu erwachsenen Risiken sollten Banken frühzeitig antizipieren und mittels Schulungen aber auch durch den Einsatz von Softwarelösungen gegensteuern. Aufgrund der Tragweite von Vorfällen und der strengen KYC-Vorschriften ist erwartbar, dass regulatorische Vorschriften hier folgen werden. Banken sollten jedoch nicht auf den Regulator warten. Erfolgreiche Angriffe via Deepfake stellen ein nicht zu unterschätzendes Risiko für die Reputation dar. Es gilt daher, schnell zu handeln.
