Künstliche Intelligenz (KI) ist in aller Munde. Auch Rechtsanwaltskanzleien, wie wir, testen den Einsatz von KI in der Rechtsberatung, um diese für unsere Mandanten zu verbessern. KI kann aber auch von Betrügern genutzt werden. Mittels Deepfake-Technologien können täuschend echt wirkende Medieninhalte (zB hinsichtlich Videos/Bild durch Face Swap, Lip Sync etc oder hinsichtlich Audios durch Voice Cloning) geschaffen werden.
Medial berichtet wurde bereits von einem Mitarbeiter eines Unternehmens, der USD 25 Millionen an Betrüger überwiesen hat, weil sich diese in einer Videokonferenz mittel Deepfake-Technologie als dessen Finanzchef ausgaben. Dies erinnert an den „CEO-Fraud“ des oberösterreichischen börsenotierten Luftfahrtzulieferers FACC. FACC entstand durch eine ähnliche gefinkelte Betrugsmethode ein Schaden von rund EUR 50 Millionen. 2015 hatten die Betrüger eine gefälschte Mailadresse des damaligen FACC-Vorstandschefs und Firmengründers Walter Stephan eingerichtet und FACC-Finanzverantwortliche in Stephans Namen angewiesen, Millionenbeträge auf ausländische Konten zu überweisen. Den Mitarbeitern wurde dabei vorgegaukelt, es handle sich um streng vertrauliche Transaktionen für einen Firmenkauf. Außerdem wurde der Anruf eines angeblich damit befassten Anwalts fingiert. Damals konnten die Betrüger also noch ohne Deepfake bereits erhebliche „Beute“ machen. Durch Deepfake ergeben sich ganz neue Möglichkeiten für Betrüger. Aus Sicht der Unternehmen erhöhen sich die diesbezüglichen Risiken, worauf man reagieren sollte.
Laut einem Gastkommentar in der Börsen Zeitung sei es nur eine Frage der Zeit bis Deepfake-Technologien für Desinformationskampagnen gegen Unternehmen eingesetzt werden. In den USA gibt es schon erste solche Fälle. Der Aktienkurs eines dortigen Pharmaunternehmens war um ca 10% abgestürzt, nachdem ein Fake-Tweet veröffentlicht wurde. Für Leerverkäufer, die ja auf fallende Kurse „wetten“, könnten diesbezüglich besonders gefährlich sein.
Vor diesem Hintergrund stellt sich die Frage, was man als Unternehmen dagegen tun kann. Wichtig ist ein umfassendes Risikomanagement, welches Prävention (Risikoanalyse) und Reaktion auf Deepfake-Risiken (Defence Team, Notfallplan etc) umfasst. Die Mitarbeiter müssen hinsichtlich des Gefahrenpotenzials geschult werden. Dabei sind im Sinne des Verhältnismäßigkeitsgrundsatzes jene Mitarbeiter besonders genau zu schulen, die der Deepfake-Gefahr am meisten ausgesetzt sind (Finance, Investor Relations etc). Für die Reaktion ist es zunächst wichtig Deepfakes als solche zu erkennen. Das bedeutet im ersten Schritt eine umfassende Beobachtung der Medien, um möglichst früh bei Verdacht prüfen zu können, ob es sich um Deepfake handelt. Um die Authentizität von digitalen Inhalten besser beurteilen zu können, können verschiedene Methoden und Tools unterstützen. Zum Erkennen von Deepfakes sind etwa visuelle Hinweise, wie Unregelmäßigkeiten in der Mimik und Gestik, und Audioanalysen, worin die Synchronität von Lippenbewegungen und Sprache bewertet wird, zu nennen. Metadatenanalysen und eine sorgfältige Quellenüberprüfung sind ebenso nennenswerte Methoden. Auch KI selbst kann in diesem Zusammenhang behilflich sein: Mittels spezialisierter Software sollen digitale Medien analysiert und Manipulationen durch bestimmte Algorithmen identifiziert werden (Deepfake Detection).
Als Reaktion auf Deepfake-Angriffe sind zunächst alle gesetzlichen Melde- und Veröffentlichungspflichten zu erfüllen und die notwendigen rechtlichen Abwehrmaßnahmen (Löschung, Unterlassung, Beseitigung, Strafanzeige etc) zu ergreifen. Im Fall von Desinformationskampagnen ist eine profunde aber gleichzeitig auch schnelle Richtigstellung gegenüber der Öffentlichkeit (Live-Events, Interviews, Hintergrundgespräche etc) und eventuell auch spezielle Gespräche mit Investoren erforderlich.
Wir raten jedenfalls dazu, sich alsbald im obigen Sinne auf die Deepfake-Gefahr vorzubereiten. Diese virtuelle Gefahr ist nämlich bereits real!
Sebastian Sieder, Lukas Messner, 2024
Den Newsletter dazu finden Sie HIER.