Eine Welt, in der wir unseren Augen und Ohren nicht mehr trauen können und Technologie die Realität täuschend echt imitiert – das klingt zunächst nach einer Science-Fiction-Dystopie. Doch mit dem Einsatz von Künstlicher Intelligenz (KI) sind sogenannte Deepfakes mittlerweile Realität geworden. Schon heute lassen sich das Gesicht und die Stimme einer jeden Person realitätsnah imitieren, wenn von ihr ausreichend Trainingsdaten existieren. Egal ob Fotos, Audio oder Video: Je größer die Datenmenge, mit der das Machine-Learning-Modell gefüttert wird, desto authentischer ist am Ende das Ergebnis.
In Hollywood wurde diese Technologie bereits dazu eingesetzt, verstorbene Schauspieler für neue Rollen wieder zum Leben zu erwecken. Doch neben Use Cases in der Film- und Unterhaltungsindustrie bietet die Technologie auch zahlreiche Risiken. Denn auch das Potenzial für Betrüger ist groß: Kriminelle können auf Deepfakes zurückgreifen, um an sensible Daten zu gelangen, Falschinformationen zu verbreiten oder den Ruf eines Unternehmens zu schädigen. Und wie ein aktueller Fall zeigt, können Deepfakes auch für Banküberfälle eingesetzt werden.
Vertrauter Feind
Als der Manager einer Bank aus den Vereinigten Arabische Emirate Anfang 2020 einen Anruf erhielt, erkannte er die Stimme des Gesprächspartners sofort. Der Geschäftsführer eines Unternehmens, ein Firmenkunde seiner Bank, erzählte ihm von einer bevorstehenden Firmenübernahme, für die er sofort eine Überweisung von 35 Million US-Dollar benötige. Wie Forbes berichtet, führte der Bankmanager diese Überweisung auch umgehend aus. Denn neben der Stimme des Mannes, die er eindeutig wiedererkannte, deckte sich der E-Mail-Verlauf mit den Angaben des Anrufers. Ein amerikanischer Rechtsanwalt namens Martin Zelner sei mit der Koordinierung der Akquisition beauftragt worden. Die unter seinem Namen verschickten E-Mails bestätigten auch genau, welcher Betrag wohin überwiesen werden soll.
Was der Bankmanager nicht wusste: Der Anruf wurde von einem Betrüger getätigt, der mit Hilfe von „Deep Voice“-Technologie die Stimme des Geschäftsführers exakt nachahmte. Wie aus Gerichtsdokumenten hervorgeht, gehen die Ermittler aus den Vereinigten Arabischen Emiraten davon aus, dass es sich bei dem Betrugsfall um einen koordinierten Plan handelt, an dem mindestens 17 Personen beteiligt waren. Das gestohlene Geld wurde im Anschluss auf Bankkonten in der ganzen Welt geschickt, darunter zwei Konten der amerikanischen Centennial Bank, die insgesamt eine Summe von 400.000 US-Dollar erhielten.
CEO-Fraud 2.0
Bei diesem Fall handelt es sich nicht um den ersten Betrug, bei dem Deepfake-Technologie in Echtzeit bei einem Telefonat zum Einsatz gekommen ist. Bereits 2019 setzten Cyberkriminelle diese Technologie ein, um 220. 000 Euro von einem britischen Energiekonzern zu erbeuten. Mit einer KI-basierten Software imitierten sie die Stimme des Vorstandsvorsitzenden der deutschen Muttergesellschaft und wiesen den Chef des britischen Unternehmens an, eine Überweisung an einen ungarischen Lieferanten zu tätigen. Indem sie die enorme Dringlichkeit der Überweisung betonten und das Opfer so unter Druck setzten, erreichten sie schließlich auch ihr Ziel.
Diese Taktik, die aus herkömmlichen CEO-Frauds bekannt ist, wurde auch bereits gegen deutsche Banken eingesetzt. So etwa gegen eine niederbayerische Bank, von der Betrüger im letzten Jahr einen Vermögensschaden im mittleren 6-stelligen Bereich ergaunern konnten. Mit dem Einsatz von Deepfakes könnte diese Betrugsmasche in Zukunft noch effektiver werden. Auch beim Kunden-Onboarding könnten Banken angreifbar sein. Denn die neuen digitalen Kanäle sind anfällig dafür, dass Betrüger mithilfe von Deepfake-Videosequenzen falsche Bankkonten eröffnen – vorausgesetzt sie sind bereits im Besitz gestohlener oder gefälschter Identitätsnachweise. So wie Banken in den letzten Jahrzehnten auf die neuen Möglichkeiten der Digitalisierung reagierten, müssen sie sich auch jetzt rechtzeitig auf die kriminellen Potenziale durch diese neuen Technologien einstellen. Denn sonst erhöhen sie Convenience und Zufriedenheit am Ende nicht nur für ihre Kunden, sondern auch für Betrüger.
