Die Verbreitung von Deepfakes nimmt rapide zu und fasziniert durch die zunehmend verschwommene Grenze zwischen Realität und Fiktion. Was bei täuschend echten Nachbildungen berühmter Persönlichkeiten auf Fotos und Videos noch unterhaltsam wirken mag, kann jedoch auch persönliche Daten und die Integrität von Individuen gefährden.
Doch wie können sich Unternehmen effektiv gegen Deepfake schützen? Wie steht es um die Haftung von Arbeitnehmern und Arbeitgebern im Falle einer erfolgreichen Deepfake-Attacke? Ein Überblick!
Was sind Deepfakes?
Der Begriff Deepfake setzt sich zusammen aus „Deep Learning“ – einem Schlüsselkonzept des maschinellen Lernens, das auf der Verwendung großer neuronaler Netze basiert – und dem Wort „Fake“. Deepfakes bezeichnen also eine fortschrittliche Form der digitalen Medienmanipulation, bei der künstliche Intelligenz (KI) und maschinelles Lernen eingesetzt werden, um hochrealistische, aber gefälschte audiovisuelle Inhalte zu erzeugen oder zu modifizieren.
Im Kern nutzen Deepfake-Technologien umfangreiche Datensätze echter audiovisueller Materialien, um ein neuronales Netz zu trainieren, das fähig ist, bestimmte Aspekte dieser Materialien – wie Gesichtszüge, Stimmmuster oder spezifische Bewegungsabläufe – zu imitieren oder vollständig neue Inhalte zu generieren, die bestimmten realen Personen nachempfunden sind. Durch Verfahren wie Face Swapping (Gesichtertausch), Lip Syncing (Lippensynchronisation) und Voice Cloning (Stimmklonung) können Deepfakes Personen in Situationen darstellen oder Aussagen treffen lassen, die nie stattgefunden haben.
Diese Technologie wirft bedeutende rechtliche und sicherheitstechnische Fragen auf, insbesondere im Hinblick auf Datenschutz und den Schutz der Integrität von Individuen. Die potenzielle Nutzung von Deepfakes reicht von harmloser Unterhaltung bis hin zur Fälschung von Beweismaterial in juristischen Auseinandersetzungen und Durchführung gezielter Phishing-Angriffe.
Angesichts der rasanten Entwicklung und Verfeinerung der Deepfake-Technologien ist es zunehmend schwieriger geworden, gefälschte Inhalte von authentischen zu unterscheiden, was die Notwendigkeit von robusten Detektionsmethoden, rechtlichen Rahmenbedingungen und einer breiten Aufklärung über die Risiken und Implikationen dieser Technologie unterstreicht.
Erhöhte Sicherheitsrisiken durch Deepfake-Betrug
Deepfakes repräsentieren eine signifikante Eskalation in der Landschaft digitaler Bedrohungen, indem sie die Möglichkeit bieten, überzeugende audiovisuelle Fälschungen zu erstellen, die traditionelle Sicherheitsmaßnahmen untergraben können.
Diese fortschrittliche Form der Manipulation erhöht die Sicherheitsrisiken auf mehreren Ebenen:
Überwindung biometrischer Sicherheitssysteme
Deepfakes können biometrische Sicherheitssysteme, die auf Gesichts- oder Stimmerkennung basieren, täuschen. Indem sie in der Lage sind, das Aussehen oder die Stimme einer berechtigten Person mit hoher Genauigkeit nachzuahmen, könnten Angreifer Zugang zu gesicherten Systemen erlangen. Dies stellt eine direkte Bedrohung für die Sicherheit vertraulicher Informationen dar.
Verfeinerung von Social Engineering und Phishing
Deepfakes eröffnen im Bereich des Phishings neue Dimensionen von Bedrohungen, indem sie es ermöglichen, äußerst authentisch wirkende, gefälschte Kommunikationsmittel zu erschaffen. Diese reichen von E-Mails, die mit manipulierten Video- oder Audioanlagen versehen sind, über künstlich generierte Sprachnachrichten bis hin zu komplett inszenierten Videoanrufen. Die besondere Gefahr dieser Angriffe liegt in ihrer Fähigkeit, die vertrauten visuellen und akustischen Signale so nachzuahmen, dass die Empfänger instinktiv geneigt sind, ihnen Glauben zu schenken.
Deepfake-Audio
Ein prägnantes Beispiel für das erhöhte Sicherheitsrisiko durch Deepfakes ist der sogenannte CEO-Fraud, bei dem Täter die Stimme eines Geschäftsführers oder einer anderen hochrangigen Führungskraft künstlich nachahmen. Ein Szenario könnte so aussehen:
Ein Mitarbeiter erhält einen Anruf, der vermeintlich vom CEO stammt, mit der dringlichen Aufforderung, unverzüglich eine finanzielle Transaktion durchzuführen oder vertrauliche Informationen preiszugeben. Die verblüffende Authentizität der synthetisch durch Deepfake-Technologie reproduzierten Stimme kann dazu führen, dass der Mitarbeiter die Legitimität der Anfrage nicht hinterfragt. Dies birgt das Risiko gravierender finanzieller Verluste oder Datenschutzverletzungen.
Deepfake-Video
Die Bedrohung durch Deepfakes erstreckt sich weit über die Nachahmung von Stimmen hinaus und umfasst die Erstellung von visuell überzeugenden Videos oder Avataren. Betrachten wir das Beispiel einer manipulierten Videokonferenz:
Ein Mitarbeiter wird zu einer scheinbar dringenden Besprechung eingeladen, die vom IT-Sicherheitsbeauftragten des Unternehmens initiiert wurde. Die während der Konferenz präsentierte visuelle Darstellung des IT-Sicherheitsbeauftragten wirkt durch den Einsatz von Deepfake-Technologie täuschend echt, einschließlich der Synchronisation von Lippenbewegungen und der Nachahmung charakteristischer Mimik. Der künstlich generierte IT-Sicherheitsbeauftragten teilt mit, es bestehe ein akutes Sicherheitsproblem, das die unmittelbare Weitergabe von Zugangsdaten oder die Installation spezifischer Software notwendig mache. Die Annahme, mit einem echten Kollegen zu sprechen, könnte die Mitarbeiter dazu verleiten, den Anweisungen Folge zu leisten, was unautorisierten Zugriff auf das Firmennetzwerk oder die Einführung schadhafter Software nach sich ziehen könnte.
Ein solches Szenario mag auf den ersten Blick unwahrscheinlich erscheinen, doch der Vorfall, der Anfang Februar 2024 in Hongkong auftrat, ist ein realer Beleg für die fortschreitende Bedrohung durch Deepfake-Technologie:
Ein Finanzmitarbeiter eines multinationalen Konzerns mit Sitz in Hongkong hegte zunächst Verdacht, als er von seinem in Großbritannien ansässigen Chief Financial Officer (CFO) eine dringende E-Mail erhielt, die eine Besprechung über ein angeblich geheimes Geschäftsvorhaben verlangte. Der Mitarbeiter vermutete anfänglich eine Phishing-Attacke und agierte dementsprechend vorsichtig.
Seine Skepsis legte sich jedoch, als er an einem Videokonferenzgespräch mit dem CFO und weiteren führenden Unternehmensvertretern teilnahm. Er erkannte die Personen an ihren Gesichtern, Stimmen und den Hintergründen ihrer Büros wieder. Sie informierten ihn darüber, dass das Unternehmen im Begriff sei, ein hochsensibles Geschäftsprojekt zu initiieren, welches eine unverzügliche Kapitalinvestition erfordere, und dass er mit der Durchführung betraut werde. Gemäß den Anweisungen des CFOs und weiterer Führungskräfte veranlasste der Finanzmitarbeiter daraufhin fünfzehn Überweisungen an fünf unterschiedliche Konten in Hongkong, die in Summe HK$200 Millionen (über 25,6 Millionen US-Dollar) betrugen. Er wurde eindringlich dazu angehalten, höchste Diskretion zu bewahren und keine Informationen an seine Kollegen weiterzugeben.
Circa eine Woche später, bei einer Nachfrage im Hauptquartier des Unternehmens bezüglich des Fortschritts des geheimen Geschäfts, offenbarte sich, dass es ein solches Vorhaben nie gegeben hatte und niemand im Unternehmen von dieser Angelegenheit wusste. In diesem Moment wurde dem Finanzmitarbeiter bewusst, dass er Opfer eines Deepfake-Betrugs geworden war.
Um die Risiken zu verdeutlichen und die Potenziale von Deepfakes anschaulich zu illustrieren, verweisen wir an dieser Stelle auch auf den Artikel des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Arbeitnehmerhaftung bei Deepfake-Betrug
Wenn ein Mitarbeiter einem solchen Betrug zum Opfer fällt, entstehen komplexe Fragen bezüglich der potenziellen rechtlichen Konsequenzen. Die Arbeitnehmerhaftung bedarf in diesem Fall einer detaillierten und einzelfallbezogenen Betrachtung. Dabei spielen das Maß der Fahrlässigkeit, die Umstände des Betrugsfalls und die im Unternehmen etablierten präventiven Maßnahmen eine wesentliche Rolle.
Maß der Fahrlässigkeit
Die zentrale Frage ist, ob und inwieweit der Arbeitnehmer die im Verkehr erforderliche Sorgfalt missachtet hat. Fahrlässigkeit liegt vor, wenn der Arbeitnehmer diejenige Sorgfalt außer Acht lässt, die von einer vernünftigen Person in der gleichen Situation erwartet worden wäre. Es wird unterschieden zwischen:
Leichte Fahrlässigkeit
Handlungen, die einem leichten Versehen entsprechen und bei denen die erforderliche Sorgfalt in geringem Maße verletzt wurde. Typischerweise führt leicht fahrlässiges Verhalten nicht zur Haftung des Arbeitnehmers.
Beispiel: Ein Mitarbeiter erhält eine E-Mail, die scheinbar vom CEO des Unternehmens stammt. Die E-Mail bittet um die Weiterleitung eines vertraulichen Dokuments. Der Mitarbeiter überprüft die E-Mail-Adresse, die dem echten E-Mail-Konto des CEOs ähnlich ist, und folgt der Anweisung, ohne zusätzliche Verifikation. Es stellt sich heraus, dass die E-Mail Teil eines Deepfake-Betrugs ist.
In diesem Fall könnte argumentiert werden, dass der Mitarbeiter leicht fahrlässig gehandelt hat, da er die E-Mail-Adresse überprüft hat, aber nicht weitere Schritte zur Verifikation unternommen hat, wie z.B. den CEO direkt anzurufen. Die Ähnlichkeit der E-Mail-Adresse mit der echten könnte als Versehen interpretiert werden, insbesondere wenn keine spezifischen Schulungen zu solchen Betrugsarten stattgefunden haben.
Mittlere Fahrlässigkeit
Diese liegt vor, wenn die Sorgfaltspflicht in einem Maße verletzt wurde, das über ein leichtes Versehen hinausgeht, aber nicht als grob fahrlässig betrachtet wird. Hier kann eine teilweise Haftung des Arbeitnehmers in Betracht gezogen werden, abhängig von den Umständen des Einzelfalles.
Beispiel: Ein Mitarbeiter erhält einen Anruf, der durch Deepfake-Technologie erzeugt wird und bei dem die Stimme des CEO nachgeahmt wird. Der künstliche CEO fordert den Mitarbeiter auf, eine dringende Überweisung an ein neues Lieferantenkonto zu tätigen. Obwohl der Mitarbeiter weiß, dass für solche Anfragen normalerweise ein Verfahren mit mehreren Genehmigungsstufen erforderlich ist, entscheidet er sich, die Überweisung ohne weitere Überprüfung durchzuführen, da der Anruf sehr überzeugend klang.
Hier könnte von mittlerer Fahrlässigkeit gesprochen werden, da der Mitarbeiter den existierenden Prozess des Unternehmens ignoriert hat, obwohl er sich seiner bewusst war. Die Entscheidung, den Anweisungen ohne den erforderlichen Genehmigungen zu folgen, stellt eine signifikante Vernachlässigung der im Verkehr erforderlichen Sorgfalt dar.
Grobe Fahrlässigkeit
Grobe Fahrlässigkeit bezeichnet eine erhebliche Missachtung der im Verkehr erforderlichen Sorgfalt, etwa wenn grundlegende Sicherheitschecks unterlassen werden. In solchen Fällen haftet der Arbeitnehmer in der Regel voll für den entstandenen Schaden.
Beispiel: Einem Mitarbeiter wird eine Videobotschaft vorgespielt, die durch Deepfake erschaffen wurde und in der der CEO die Freigabe eines großen Geldbetrags an eine unbekannte Partei verlangt. Der Mitarbeiter hat bereits an Schulungen teilgenommen, in denen explizit vor solchen Betrugsversuchen gewarnt und auf die Notwendigkeit hingewiesen wurde, solche Anfragen durch persönliche Gespräche mit dem Anweisenden zu verifizieren. Trotzdem führt der Mitarbeiter die Anweisung ohne jegliche Form von Rückversicherung oder Überprüfung aus.
In diesem Fall könnte grobe Fahrlässigkeit vorliegen, insbesondere wenn der Mitarbeiter bewusst die klaren Anweisungen und Sicherheitsprotokolle des Unternehmens missachtet hat. Die Tatsache, dass er geschult wurde und explizite Verfahren zur Verifikation solcher Anfragen ignoriert hat, zeigt eine erhebliche Missachtung der erforderlichen Sorgfalt.
Umstände des Betrugsfalls
Für eine vollständige Bewertung der Fahrlässigkeit, sind auch die spezifischen Umstände des jeweiligen Betrugsfalls entscheidend. Dazu gehört die Frage, ob der Betrug offensichtlich war, welche Informationen der Arbeitnehmer hatte und ob ein durchschnittlich sorgfältiger Arbeitnehmer in einer ähnlichen Situation ähnlich gehandelt hätte.
Die Qualität des Deepfake spielt bei der Bewertung der Fahrlässigkeit eines Mitarbeiters eine ebenfalls entscheidende Rolle. Ein hochentwickeltes, kaum von der Realität zu unterscheidendes Deepfake kann oft selbst sorgfältige und geschulte Mitarbeiter in die Irre führen, was die Beurteilung der Fahrlässigkeit beeinflusst. Im Gegensatz dazu würden offensichtliche Mängel und Fehler in einem schlecht gemachten Deepfake darauf hinweisen, dass ein Mitarbeiter bei angemessener Aufmerksamkeit und Sorgfalt die Täuschung hätte erkennen und entsprechende Sicherheitsüberprüfungen hätte durchführen müssen.
Daher wird die Fahrlässigkeit nicht allein durch die Handlung des Mitarbeiters bestimmt, sondern auch durch die Umstände des Einzelfalls und die Überzeugungskraft und Qualität des Deepfakes.
Präventive Maßnahmen des Arbeitgebers
Ein zentraler Aspekt bei der Beurteilung der Arbeitnehmerhaftung liegt stets darin, inwiefern der Arbeitgeber präventive Maßnahmen implementiert hat, um Betrugsversuche, insbesondere solche, die auf Deepfake-Technologie basieren, zu verhindern.
Die Verhinderung von Betrug durch Deepfakes im Unternehmen erfordert ein mehrschichtiges präventives Vorgehen, das sowohl technologische Lösungen als auch organisatorische Maßnahmen und die Sensibilisierung der Mitarbeiter umfasst.
Zunächst ist die Aufklärung und Schulung von Mitarbeitern von entscheidender Bedeutung, um ein Bewusstsein für die Existenz und die potenziellen Gefahren von Deepfakes zu schaffen. Mitarbeiter sollten geschult werden, kritisch zu hinterfragen und zu verifizieren, bevor sie auf Anfragen reagieren, die über digitale Kommunikationskanäle eingehen, insbesondere wenn diese Aufforderungen zur Weitergabe sensibler Informationen oder zur Durchführung finanzieller Transaktionen beinhalten. Insbesondere sollten Mitarbeitende ermutigt werden, auf eine entsprechende Aufforderung – etwa per (Deepfake-)Anruf oder Videocall – mit einem Rückruf unter den ihnen bekannten Wegen zu reagieren, um die Aufgabe bestätigen zu lassen.
Auf technischer Ebene könnten Unternehmen ebenfalls Maßnahmen einführen, um Deepfakes entgegenzuwirken. Es könnte Deepfake-Detektionssoftware eingesetzt werden, die darauf spezialisiert ist, Manipulationen in audiovisuellen Materialien zu identifizieren, um gefälschte Inhalte proaktiv zu erkennen und zu blockieren.
Die effektive Prävention von Betrug durch Deepfakes erfordert eine dynamische Strategie, die fortlaufende Schulungen, die Kommunikation klarer Richtlinien und eine kontinuierliche Anpassung an neue Bedrohungsszenarien umfasst. Diese Maßnahmen, initiiert durch den Arbeitgeber, bilden das Fundament für den Schutz vor derartigen Angriffen.
Wenn ein Arbeitnehmer, trotz des Zugangs zu umfangreichen Schulungen und klaren Richtlinien, die vom Arbeitgeber zur Bekämpfung von Deepfakes bereitgestellt wurden, diese ignoriert oder dagegen verstößt, könnte dies als grobe Fahrlässigkeit angesehen werden.
Es obliegt demnach primär dem Arbeitgeber, seine Mitarbeitenden über die Risiken und Präventionsstrategien bezüglich Deepfake-Angriffen aufzuklären. In manchen Fällen kann jedoch auch die proaktive Beteiligung der Arbeitnehmer eine wichtige Rolle spielen – und zwar dann, wenn es sich um Mitarbeiter in hochqualifizierten Positionen wie IT-Spezialisten oder Compliance Officer handelt. Bei Fachkräften in diesen Bereichen wird ein höheres Maß an Fachwissen und Eigeninitiative erwartet. Sollten solche spezialisierten Arbeitnehmer dennoch Opfer eines Deepfake-Betrugs werden, könnte ihnen aufgrund ihres erwarteten Fachwissens und der Vernachlässigung ihrer Eigenverantwortung eine Teilschuld zugewiesen werden. Die berufliche Position und das damit verbundene erwartete Fachwissen spielen somit eine wesentliche Rolle bei der Bewertung der Haftungsfrage.
Fazit
Deepfake-Technologie stellt eine immense Herausforderung für Unternehmen und ihre Sicherheitsstrategien dar. Mit der Fähigkeit, täuschend echte audiovisuelle Inhalte zu erzeugen, öffnen Deepfakes das Tor für neue Wege des Betrugs, die traditionelle Sicherheitsmaßnahmen in Frage stellen. Die zunehmende Verbreitung und die fortschrittliche Natur dieser Technologie erfordern ein Umdenken in der Prävention und Reaktion auf Sicherheitsrisiken.
Insgesamt erfordert der Umgang mit Deepfake-bedingten Sicherheitsrisiken eine kombinierte Anstrengung von Arbeitgebern und Arbeitnehmern. Während Arbeitgeber für die Implementierung robuster Sicherheitssysteme, die regelmäßige Schulung ihrer Mitarbeiter und die Schaffung einer Kultur der Sicherheitsbewusstheit verantwortlich sind, müssen Arbeitnehmer eine aktive Rolle in der Sicherheitskette spielen und die ihnen zur Verfügung gestellten Ressourcen und Kenntnisse effektiv nutzen. Angesichts dieser Herausforderungen wird deutlich, dass Unternehmen eine fundierte rechtliche Expertise benötigen, um das Betrugsrisiko zu minimieren und eine angemessene Reaktion auf die durch Deepfakes entstehenden Bedrohungen zu gewährleisten.
