|

Erich Steiner über Deepfake-CEO-Fraud: Was auf uns zukommt, wie wir uns schützen und was wir heute beobachten

«Deepfake»-Betrüger sind heute schon in der Lage, ganze Videokonferenzen zu generieren, in denen scheinbar GL- und Managementmitglieder sprechen und Mitarbeitende zur Überweisung riesiger Geldsummen bewegen. Dagegen wirkt der aktuell verbreitete CEO-Betrug fast wie ein harmloser Streich. In diesem Blog berichte ich, was wir bei der firstframe networkers ag heute beobachten, was auf uns zukommt und mit welchen konkreten Massnahmen wir uns schützen.

Inhaltsverzeichnis

  1. Was gestern noch Science-Fiction war, ist heute Realität
  2. Echter CEO-Fraud-Versuch im Detail
  3. Unsere konkreten Schutzmassnahmen
  4. Fazit: Awareness als wichtigstes Mittel

 

Vor einem Jahr traf es die britische Grossfirma Arup: Ein angeblicher CFO und mehrere «Kollegen» luden einen zu einem Video-Call ein. Alles war täuschend echt – Gesichter, Stimmen, Kulisse. Darin wurde ein Mitarbeitender dazu verleitet, rund 25 Millionen US-Dollars an die Kriminellen zu überweisen. Es war alles ein riesiger Fake mit grossen Implikationen für die Zukunft.

Was gestern noch Science-Fiction war, ist heute Realität

Stell dir das vor: Ein Mitarbeitender kommt auf dich zu und sagt «Ich habe dich gerade in einem Meeting gesehen!» Du selbst warst aber in keinem Meeting. Doch der Mitarbeitende bleibt dabei: Stimme, Mimik, Tonfall – das warst du. Und kurz darauf fehlen 500’000 Franken.

Wir sind beim «CEO-Fraud 2.0» angelangt. Nein, ist uns natürlich nicht passiert. Aber: Es könnte. 

Dass der Identitätsbetrug mittels Deepfakes auf dem Vormarsch ist, bestätigt das britische Identity Security Unternehmen Sumsub. Gemäss dessen jährlichen «Identity Fraud Report» ist die Betrugsmasche von 2023 auf 2024 weltweit stark gewachsen:

250618_Deepfake_SumsubReport_Wachstum

Echter CEO-Fraud-Versuch im Detail

Bei uns gehen regelmässig E-Mails ein, in denen sich Cyberbetrüger als mich ausgeben. Zum Glück sind diese noch keine raffinierten Deepfakes, sondern eher tollpatschige Versuche.

Aber: «Das Handwerk wird besser», wie Philippe Hirzel, unser Verantwortlicher des Security Operation Centers, kürzlich gesagt hat. Für mich ist es nicht die Frage, OB ein Deepfake-Betrugsversuch kommt, sondern WANN.

Die Waffe heisst Kontext: Die Täter sind keine Nerds in dunklen Kellern, sondern Social Engineers. Sie wissen, wann ich im Urlaub bin. Dies auch, weil viele ihre Urlaubfotos auf den Social Media Plattformen posten.

Sie kennen die Rollen und Namen in unserem Team. Diese Informationen werden vorgängig recherchiert, um legitim aussehende E-Mails im richtigen Moment an die richtigen Personen zu verschicken. Sie nutzen Vertrautheit, Druck, Dringlichkeit und das Verantwortungsbewusstsein der Zielperson als Instrumente.

250616_CEOFraud_echtes_Beispiel-1

Die obige Nachricht ging automatisch in den Junk-Folder des Empfängers, da unser Microsoft Defender den Betrugsversuch durchschaut hat und die Nachricht mit einem Warnhinweis versehen hat. Die Schutzfunktion heisst «Impersonisation Protection» und ist in Microsoft Defender for Office 365 auffindbar.

Was hier sofort auffällt:

  • Die Absender haben extra eine outlook.com-Adresse mit meinem Namen und der URL unserer Webseite erstellt.
  • Die Absenderadresse hat eine 2 am Ende; es scheint sich also schon um den zweiten Versuch zu handeln.
  • Die Absender wollen den direkten Anruf bei mir verhindern, weil dies die Nummer entlarven würde. Sie versuchen, die Zielperson via E-Mail zur Zahlung anzuleiten.

Unsere konkreten Schutzmassnahmen

So wie uns ergeht es heute vielen KMU. Nicht bei allen geht das glimpflich aus: Zwischen 2022 und 2025 haben die Behörden in den Kantonen Waadt und Neuenburg mehrere Dutzend Fälle registriert, bei denen über CHF 12 Millionen Schaden entstanden sind und die Kriminellen bis weit ins Ausland verfolgt wurden.

Hier ein Auszug aus den konkreten Massnahmen, mit denen wir uns gegen solche Betrügereien schützen:

Prozesse sind klar definiert und dokumentiert

  • Geldüberweisungen haben gewisse Formalitäten zu erfüllen, das geht nicht einfach husch husch mit einer E-Mail vom vermeintlichen CEO auf irgendein Konto.
  • Bei grösseren Überweisungen gilt immer das 4-Augen-Prinzip und sie können erst ausgeführt werden, nachdem beide Personen die Freigabe erteilt haben.
  • Einmalige Zahlungen werden besonders kritisch beäugt.
  • Dringende Zahlungen erfordern immer einen Rückruf.

Aufgaben, Kompetenzen und Verantwortlichkeiten sind geregelt

  • Der CEO schickt keine Aufgaben an die Mitarbeitenden, das machen wenn schon deren Vorgesetzte. Der Dienstweg wird eingehalten.
  • Finanzflüsse verantwortet unser CFO und der weiss immer, was läuft, wer Geld bekommt und wer nicht.

Eigenes SOC ist in Betrieb, Awareness wird trainiert

Im Bereich Cybersicherheit sind wir nach ISO 27001 zertifiziert. In diesem Blog habe ich vor einiger Zeit darüber berichtet, wie wir das umgesetzt haben und was es uns bringt.

Team- und Unternehmenskultur wird gefördert

  • Unsere Teams sollen sich kennen und miteinander kommunizieren.
  • Der und die Einzelne soll den Mut haben dürfen, Nein zu sagen.

Der «Will Smith Spaghetti-Test»

Was für eindrückliche Fortschritte die Video-KIs gemacht haben, wird am Spaghetti essenden Will Smith sichtbar. 2023 machte ein KI generiertes Video von ihm die Runde, welches völlig offensichtlich ein richtig schlechter Deepfake war.

Spulen wir nur zwei Jahre vorwärts, sieht die Sache schon komplett anders aus. Die KI-Artefakte in den neuen Videos sind nur auf den zweiten oder dritten Blick sichtbar, der Qualitätssprung ist enorm.

 

Für mich ist klar: Noch vor 2030 werden wir Deepfake-Videos haben, die von der Realität nicht mehr zu unterscheiden sind.

Fazit: Awareness als wichtigstes Mittel

CEO-Fraud entwickelt sich weiter und bald ist die Zeit der plumpen E-Mails vorbei. Die Werkzeuge dafür gibt es heute schon. CEO Fraud 2.0 ist zu billig, zu einfach, zu effektiv, um nicht genutzt zu werden.

Ja, wir sprechen immer von von Cybersecurity, Schwachstellen, VPNs, von Endoint Protection. Leider nützt das Technische alles nichts, wenn beim CEO Fraud 2.0 nicht die Technik, sondern deine Menschlichkeit benutzt wird. Dein Pflichtbewusstsein, Deine Loyalität, deine Hilfsbereitschaft. 

Der wirksamste Schutz heisst Awareness. Und die beginnt bei der Frage: «Wie gut kenne ich eigentlich die Stimme meines Chefs oder meiner Chefin?» 

Erich Steiner

Nach der Ausbildung zum Elektromonteur landete Erich Steiner bald einmal in der IT, absolvierte verschiedene betriebswirtschaftliche Verkaufs- und Managementweiterbildungen und übernahm diverse Verkaufsleitungs- und Führungsfunktionen. Im Fitnesscenter, mit dem Stand-up-Paddle auf dem See, beim Skifahren oder bei einem guten Essen findet er den idealen Ausgleich zum Beruf.

Erich Steiner