Vordenker

Die Kluft im Vorstand: Warum CISOs Schwierigkeiten haben, über Deepfakes zu sprechen – und wie sie es formulieren können

Veröffentlicht August 5, 2025

Jim Brennan, Chief Product and Technology Officer für GetReal

Die Cybersicherheit erlebt einen entscheidenden Moment, angetrieben durch die weit verbreitete Nutzung von KI durch Unternehmen, Regierungen und Einzelpersonen. Mit 82% der Unternehmen in den USA, die KI in ihrem Unternehmen nutzen oder den Einsatz solcher Technologien in Erwägung ziehen, erschließen sich neue Effizienzpotenziale, doch das gilt auch für Angreifer. Dieselben Tools, die Innovationen vorantreiben, ermöglichen es Bedrohungsakteuren auch, mit erschreckender Leichtigkeit und Realitätsnähe synthetische Inhalte zu generieren. Diese neue Realität bringt erhebliche Herausforderungen mit sich, darunter die Möglichkeit, synthetische Inhalte (Bilder, Audio und Video) und bösartige Deepfakes (manipulierte Audio-, Video- oder Bilddateien, die zur Nachahmung einer realen Person verwendet werden) mit beispielloser Geschwindigkeit und Raffinesse zu erstellen. Mit nur wenigen Klicks kann jeder mit Zugang zu einem Computer und dem Internet Bilder, Audio und Videos manipulieren und so Misstrauen und Zweifel in die Informationsgesellschaft bringen.

In einer Zeit, in der Unternehmen, Regierungen und Medienorganisationen für ihren Lebensunterhalt auf digitale Kommunikation angewiesen sind, dürfen die Risiken von Deepfakes, synthetischem Identitätsbetrug und Identitätsbetrug nicht unterschätzt werden. Diese Bedrohungen sind nicht länger hypothetisch – die finanziellen Verluste durch Deepfakes-gestützten Unternehmensbetrug überstiegen 200 Millionen US-Dollar allein im ersten Quartal 1, was das Ausmaß und die Dringlichkeit des Problems unterstreicht. Eine neue Bedrohungslandschaft erfordert einen neuen Ansatz für die Cybersicherheit, und CISOs müssen schnell handeln, um die Sicherheit ihres Unternehmens zu gewährleisten. Es kann jedoch entmutigend sein, neues Kapital anzufordern und die Bedrohungslage eines Unternehmens einem Vorstand mit unterschiedlichem Kenntnisstand über die Schwere der Bedrohung durch Deepfakes klar zu kommunizieren. Da sich Deepfake-Angriffe ständig weiterentwickeln und Gestalt annehmen, muss jeder CISO dieses Thema im Vorstand an vorderster Front diskutieren.

Nachfolgend finden Sie einen Rahmen für CISOs und Führungskräfte, um Stakeholder-Gespräche auf Vorstands-, Organisations- und Community-Ebene zu erleichtern.

Vertraute Frameworks nutzen: Deepfakes als fortgeschrittenes Social Engineering

Vorstände sind darauf konditioniert, Cybersicherheit in vertrauten Begriffen zu betrachten: Phishing-E-Mails, Ransomware-Angriffe und die drohende Frage, ob ihr Unternehmen angegriffen wird. Diese Denkweise prägt die Priorisierung von Bedrohungen und die Verteilung von Sicherheitsbudgets. Doch bei KI-generierten Inhalten, insbesondere Deepfakes, fehlt ein integrierter Bezugspunkt. Deepfakes als eigenständige, neuartige Bedrohung zu betrachten, führt oft zu Verwirrung, Skepsis oder Untätigkeit.

Um dem entgegenzuwirken, sollten CISOs die Diskussion auf etwas lenken, das die Vorstände bereits kennen: Social Engineering. Im Kern ist die Bedrohung durch Deepfakes nicht völlig neu; es handelt sich um eine weiterentwickelte, gefährlichere Form des Phishings, die in der Branche seit Jahren existiert und nach wie vor die Nummer eins ist. Angriffsvektor des Social Engineering. Vorstände erkennen Phishing bereits als ernstzunehmendes Risiko an und geben bereitwillig Ressourcen zur Abwehr frei. Deepfakes stellen in vielerlei Hinsicht eine überzeugendere, skalierbarere und wirksamere Form des Social Engineering dar, die sowohl Organisationen als auch Einzelpersonen mit verheerender Präzision ins Visier nimmt.

Einrahmung Deepfakes Auf diese Weise können CISOs auf vorhandene Ausbildung, Budgetlinien und institutionelles Know-how zurückgreifen. Anstatt neue Ressourcen anzufordern, können sie die Anfrage als Weiterentwicklung bereits genehmigter Sicherheitsinvestitionen interpretieren. Je mehr CISOs sich auf diese Strategie einlassen, desto wahrscheinlicher ist es, dass ihnen die Ressourcen zur Verfügung gestellt werden, um dieses größere, unmittelbare Problem anzugehen.

Verankern Sie das Risiko im Realismus, nicht im Sensationsdenken

Das Aufzeigen realer Beispiele ist eine hervorragende Möglichkeit, das Verständnis des Vorstands für die Auswirkungen von Deepfake-Bedrohungen auf Unternehmen zu fördern. Es ist jedoch wichtig zu berücksichtigen, welche Beispiele CISOs den Vorständen präsentieren, da diese den gegenteiligen Effekt haben können. Bekannte Geschichten wie: der Überweisungsbetrug im Wert von 25 Millionen US-Dollar in Hongkong Sie sorgen für tolle Schlagzeilen, können aber im Sitzungssaal nach hinten losgehen. Diese extremen Beispiele wirken oft weit hergeholt oder unrealistisch und erzeugen den Eindruck, dass uns so etwas Katastrophales niemals passieren könnte. Diese Voreingenommenheit setzt sofort ein und nimmt das Gefühl der Dringlichkeit, in Schutzmaßnahmen zu investieren.

Stattdessen sollten CISOs anhand nachvollziehbarerer Szenarien aufzeigen, wie sich dieses Risiko intern auswirken könnte, beispielsweise durch Identitätsbetrug oder Interviewbetrug.

In einem Fall, Nordkoreanische Bedrohungsakteure erstellte einen gefälschten Zoom-Anruf mit KI-generierten Führungskräften, um einen Krypto-Mitarbeiter dazu zu bringen, Malware herunterzuladen und so auf vertrauliche Unternehmensinformationen zuzugreifen, mit der Absicht, Kryptowährungen zu stehlen. Letztendlich gelang es den Hackern nicht, Zugriff zu erlangen, doch die Bedrohung, die diese Angriffe für die Integrität einer Marke darstellen, sollte den Vorständen im Unternehmen ein Weckruf sein.

Eine weitere wachsende Taktik beinhaltet gefälschte Bewerber Sie nutzen KI-generierte Identitäten und Deepfake-Anmeldeinformationen, um in Unternehmen einzudringen. Diese Personen agieren oft im Auftrag von US-Gegnern wie Russland, Nordkorea oder China und versuchen, Zugriff auf sensible Systeme und Daten zu erhalten. Dieser Trend belastet interne Ressourcen und setzt Unternehmen nationalen Sicherheitsrisiken und finanzieller Ausbeutung aus.

Diese Bedrohungen bleiben oft unbemerkt. Auf jedes Beispiel, das in den Nachrichten auftaucht, kommen Dutzende, über die nicht berichtet wird. Das erschwert es, das Ausmaß dieser Bedrohung umfassend zu erfassen. Je banaler der Angriff, desto beunruhigender – und nachvollziehbarer – wird er. Durch die Weitergabe solcher Beispiele – realistisch, nachvollziehbar und näher an der Realität – können CISOs die Diskussion über Deepfake im alltäglichen Geschäftsbetrieb verankern und bekräftigen, warum diese sich entwickelnde Bedrohung ernsthafte Aufmerksamkeit auf Vorstandsebene erfordert.

Verknüpfen Sie die Deepfake-Abwehr mit vorhandenen Resilienzmetriken

CISOs werden von ihren Vorständen immer wieder mit denselben Fragen konfrontiert: Wie hoch ist die Wahrscheinlichkeit eines Datendiebstahls? Wo sind wir am anfälligsten? Wie können wir das Risiko minimieren? Phishing, Ransomware und Datenschutzverletzungen gibt es zwar weiterhin, aber es ist wichtig, die grundlegenden Veränderungen innerhalb dieser Schwachstellen aufzuzeigen und zu zeigen, dass sie mittlerweile weit über traditionelle Angriffsflächen hinausgehen.

Personal-, Finanz- und Beschaffungsteams – traditionell nicht als Front-Verteidiger angesehen – sind heute häufig Ziel synthetischer Identitätsdiebstahls, und die Fähigkeit des Durchschnittsmenschen, diese Bedrohungen zu erkennen, ist äußerst gering. Tatsächlich nur 1 von 1,000 Menschen kann KI-generierte Inhalte präzise erkennen. CISOs stehen nun vor der Aufgabe, den Bedarf an fortgeschrittener Social-Engineering-Ausbildung und größerer Cyber-Resilienz im gesamten Unternehmen zu decken, da jeder im Unternehmen geschult, getestet und sensibilisiert werden muss, um bei der Schadensbegrenzung mitzuhelfen.

Die Abwehr von Deepfakes muss zu einer Erweiterung der unternehmensweiten Resilienz werden und erfordert kontinuierliche Schulung, ähnlich wie Teams durch Phishing-Simulationen, Sensibilisierungstrainings und Red-Team-Übungen geschult werden. CISOs sollten Kennzahlen aus Schulungen und Simulationen nutzen, um das Problem in für den Vorstand verständliche Kennzahlen zu fassen. Wenn der Vorstand Resilienz bereits als strategische Priorität für das Unternehmen anerkannt hat, werden Deepfakes zur natürlichen nächsten Herausforderung.

KI-generierte Bedrohungen kommen nicht. Sie sind bereits da. Es ist an der Zeit, dass die Chefetage bereit ist, zuzuhören und die Führung zu übernehmen. Dank des Einsatzes von KI haben das Ausmaß und die Häufigkeit von Deepfakes und identitätsbasierten Angriffen die Bedrohungslandschaft unvorhersehbar und ständig weiterentwickelt gemacht.

Doch Vorstände brauchen keine Einführung in Deepfakes oder Voice-Cloning. Sie benötigen einen klaren Geschäftskontext und ein tieferes Verständnis der Bedrohungen, die diese für ihre Organisationen darstellen. CISOs sollten ihre Gespräche auf Risiken, Kosten und Betriebskontinuität stützen. Wer seine Deepfake-Erzählung an bekannten Paradigmen – Phishing, Social Engineering, Resilienz – ausrichtet, gibt seinem Vorstand einen Rahmen und Kontext, in dem er agieren und nicht nur reagieren kann.

Verwandte Themen:tiefe Fälschungen DeepFakes GetReal

Als nächstes

KI macht den Auswahlprozess für Lebensversicherungen jetzt wie Einkaufen bei Amazon

Verpassen Sie nicht

Das KI-Rennen: Vorstellungskraft vs. Infrastruktur

Jim Brennan, Chief Product and Technology Officer bei GetReal

Jim ist Chief Product and Technology Officer für GetReal, wo er alle Aspekte der Produktstrategie, -entwicklung und -bereitstellung leitet. Er verfügt über mehr als zwei Jahrzehnte Erfahrung in der Entwicklung, dem Management und der Vermarktung von Cybersicherheitsprodukten und -dienstleistungen bei Unternehmen wie BetterCloud, IBM, Dell Secureworks und RedHat. Er hat einen Bachelor of Mechanical Engineering vom Georgia Institute of Technology und einen Master of Business Administration von der Goizueta Business School der Emory University.