Connect with us

Die Lücke im Vorstand: Warum CISOs Schwierigkeiten haben, über Deepfakes zu sprechen — und wie man es formuliert

Vordenker

Die Lücke im Vorstand: Warum CISOs Schwierigkeiten haben, über Deepfakes zu sprechen — und wie man es formuliert

mm
Published
Updated

Die Cybersicherheit steht an einem Wendepunkt, der durch die weitverbreitete Einführung von KI durch Unternehmen, Regierungen und Einzelpersonen vorangetrieben wird. Mit 82% der Unternehmen in den USA, die entweder AI in ihrem Geschäft verwenden oder dessen Verwendung erkunden, schaffen Organisationen neue Effizienzen, aber auch Angreifer. Die gleichen Werkzeuge, die die Innovation vorantreiben, ermöglichen es auch Bedrohungsakteuren, synthetische Inhalte mit alarmierender Leichtigkeit und Realität zu generieren. Diese neue Realität hat erhebliche Herausforderungen mit sich gebracht, darunter die Fähigkeit, synthetische Inhalte (Bilder, Audio und Video) und bösartige Deepfakes (manipuliertes Audio, Video oder Bild, das verwendet wird, um eine reale Person nachzuahmen) mit unvergleichlicher Geschwindigkeit und Raffinesse zu erstellen. Mit nur wenigen Klicks kann jeder mit Zugang zu einem Computer und dem Internet Bilder, Audio und Videos manipulieren und so Misstrauen und Zweifel in die Informationsästhetik einführen.

In einer Zeit, in der Unternehmen, Regierungen und Medienorganisationen auf digitale Kommunikation für ihren Lebensunterhalt angewiesen sind, gibt es keinen Raum für Fehler bei der Unterschätzung der Risiken, die Deepfakes, synthetische Identitätsbetrug und Impersonierungsangriffe mit sich bringen. Diese Bedrohungen sind nicht länger hypothetisch – finanzielle Verluste durch Deepfake-ermöglichten Unternehmensbetrug überstiegen 200 Millionen Dollar im ersten Quartal 2025 allein, was die Größe und Dringlichkeit des Problems unterstreicht. Ein neues Bedrohungslandschaft erfordert einen neuen Ansatz für die Cybersicherheit, und CISOs müssen schnell handeln, um sicherzustellen, dass ihr Unternehmen sicher bleibt. Allerdings kann es schwierig sein, neue Mittel zu beantragen und die Bedrohungslage des Unternehmens gegenüber einem Vorstand mit unterschiedlichem Wissen über die Schwere der Bedrohung durch Deepfakes klar zu kommunizieren. Da Deepfake-Angriffe weiterhin evolvieren und Gestalt annehmen, muss jeder CISO an der Spitze stehen, um dieses Gespräch in den Vorstand zu bringen.

Im Folgenden finden Sie einen Rahmen für CISOs und Führungskräfte, um Gespräche mit Stakeholdern auf Vorstands-, Organisations- und Gemeinschaftsebene zu erleichtern.

Verwenden Sie vertraute Rahmenbedingungen: Deepfakes als fortschrittliche soziale Manipulation

Vorstände sind darauf konditioniert, über Cybersicherheit in vertrauten Begriffen nachzudenken: Phishing-E-Mails, Ransomware-Angriffe und die Frage, ob ihr Unternehmen gehackt wird. Diese Denkweise prägt, wie sie Bedrohungen priorisieren und wo sie Sicherheitsbudgets zuweisen. Wenn es jedoch um KI-generierte Inhalte, insbesondere Deepfakes, geht, gibt es keinen eingebauten Bezugspunkt. Die Darstellung von Deepfakes als eigenständige, neuartige Bedrohung führt oft zu Verwirrung, Skepsis oder Untätigkeit.

Um dies zu bekämpfen, sollten CISOs das Gespräch in etwas verankern, was Vorstände bereits verstehen: soziale Manipulation. Im Kern ist die Deepfake-Bedrohung nicht völlig neu; es ist eine evolvierte, gefährlichere Form von Phishing, die seit Jahren in der Branche existiert und weiterhin der wichtigste Angriffsweg der sozialen Manipulation. Vorstände erkennen Phishing bereits als glaubwürdiges Risiko an und sind bereit, Ressourcen zur Verteidigung dagegen zu genehmigen. In vielen Aspekten stellen Deepfakes eine überzeugendere, skalierbarere und leistungsfähigere Form der sozialen Manipulation dar, die Organisationen und Einzelpersonen mit verheerender Präzision angreift.

Die Darstellung von Deepfakes auf diese Weise ermöglicht es CISOs, auf bestehende Bildung, Budgetlinien und institutionelles Muskelgedächtnis zuzugreifen. Anstatt neue Ressourcen zu beantragen, können sie die Anfrage als Evolution bereits genehmigter Sicherheitsinvestitionen umformulieren. Je mehr CISOs sich auf diese Erzählung einlassen, desto wahrscheinlicher werden sie die Ressourcen erhalten, um dieses größere, dringendere Problem anzugehen.

Verankern Sie das Risiko in Realismus, nicht in Sensationalismus

Das Hinweisen auf reale Beispiele ist eine gute Möglichkeit, das Verständnis des Vorstands für die Auswirkungen von Deepfake-Bedrohungen auf Organisationen zu vertiefen. Es ist jedoch wichtig, zu berücksichtigen, welche Beispiele CISOs dem Vorstand vorlegen, da sie den gegenteiligen Effekt haben können. Berühmte Geschichten wie der 25-Millionen-Dollar-Betrugsfall in Hongkong machen großartige Schlagzeilen, können aber im Vorstand zurückfeuern. Diese extremen Beispiele fühlen sich oft fern oder unrealistisch an und erzeugen das Gefühl, dass “etwas so Katastrophales uns nie passieren kann”. Der Bias tritt sofort ein und entfernt das Gefühl der Dringlichkeit, in Schutzmaßnahmen zu investieren.

Stattdessen sollten CISOs mehr nachvollziehbare Szenarien verwenden, um zu zeigen, wie sich dieses Risiko intern abspielen könnte, wie z.B. die Nachahmung von Führungskräften oder Bewerbungsbetrug.

In einem Fall erstellten nordkoreanische Bedrohungsakteure einen gefälschten Zoom-Anruf mit KI-generierten Führungskräften, um einen Kryptomitarbeiter dazu zu bringen, Schadsoftware herunterzuladen, um an sensible Unternehmensinformationen zu gelangen, mit dem Ziel, Kryptowährung zu stehlen. Letztendlich konnten die Hacker keinen Zugriff erhalten, aber die Bedrohung, die diese Angriffe für die Integrität einer Marke darstellen, sollte ein Weckruf für Vorstände in Unternehmen sein.

Eine weitere wachsende Taktik umfasst falsche Bewerber, die KI-generierte Identitäten und Deepfake-Bewerbungen verwenden, um in Unternehmen einzudringen. Diese Personen handeln oft im Auftrag von US-Gegnern wie Russland, Nordkorea oder China und suchen nach Zugang zu sensiblen Systemen und Daten. Diese Tendenz entzieht interne Ressourcen und setzt Organisationen nationalen Sicherheitsrisiken und finanzieller Ausbeutung aus.

Oftmals fliegen diese Bedrohungen unter dem Radar. Für jedes Beispiel in den Nachrichten gibt es Dutzende, die ungemeldet bleiben, was es schwierig macht, das Ausmaß dieser Bedrohung umfassend zu verstehen. Je alltäglicher der Angriff, desto beunruhigender und nachvollziehbarer wird er. Indem CISOs Beispiele wie diese teilen – realistisch, nachvollziehbar und näher an der Heimat – können sie das Deepfake-Gespräch in den alltäglichen Geschäftsabläufen verankern und betonen, warum diese sich entwickelnde Bedrohung ernsthafte Aufmerksamkeit auf Vorstandsebene erfordert.

Binden Sie die Deepfake-Verteidigung an bestehende Resilienzmetriken

CISOs werden ständig von ihren Vorständen gefragt: Wie hoch ist die Wahrscheinlichkeit, dass wir gehackt werden? Wo sind wir am verwundbarsten? Wie können wir das Risiko reduzieren? Während Phishing, Ransomware und Datenlecks weiterhin existieren, ist es wichtig, die grundlegende Veränderung zu zeigen, die innerhalb dieser Verwundbarkeiten stattgefunden hat und wie sie nun weit über traditionelle Angriffsoberflächen hinausgehen.

HR-, Finanz- und Beschaffungsteams – Rollen, die traditionell nicht als Frontline-Verteidiger angesehen werden – sind nun häufige Ziele synthetischer Nachahmung, und die durchschnittliche Fähigkeit des Menschen, diese Bedrohungen zu erkennen, ist extrem niedrig. Tatsächlich nur 1 von 1.000 Personen kann KI-generierte Inhalte genau erkennen. CISOs sind nun damit beauftragt, den Bedarf an fortgeschrittener sozialer Manipulationsbildung und größerer Cyber-Resilienz in der gesamten Organisation anzugehen, da jeder in der Organisation ausgebildet, getestet und informiert werden muss, um zur Minderung beizutragen.

Die Deepfake-Verteidigung muss zu einer Erweiterung der unternehmensweiten Resilienz werden und erfordert kontinuierliche Bildung, genauso wie Teams durch Phishing-Simulationen, Bewusstseinsbildung und Red-Team-Übungen ausgebildet werden. CISOs sollten Metriken aus Schulungen und Simulationen nutzen, um das Problem in Metriken zu formulieren, die ihr Vorstand versteht. Wenn ein Vorstand bereits in Resilienz als strategische Priorität für die Organisation investiert hat, werden Deepfakes zu einer natürlichen nächsten Grenze.

KI-generierte Bedrohungen kommen nicht. Sie sind bereits hier. Es ist Zeit, sicherzustellen, dass der Vorstand bereit ist, zuzuhören und zu führen. Dank der Einführung von KI haben die Größe und Häufigkeit von Deepfake- und Identitätsangriffen die Bedrohungslandschaft in eine unvorhersehbare und sich ständig verändernde verwandelt.

Aber Vorstände benötigen keine Einführung in Deepfakes oder Stimmenklonung. Sie benötigen einen klaren Geschäftskontext und ein besseres Verständnis der Bedrohungen, die sie für ihre Organisationen darstellen. CISOs sollten ihr Gespräch in Risiko, Kosten und betriebliche Kontinuität verankern. Diejenigen, die ihre Deepfake-Erzählung an vertraute Paradigmen – Phishing, soziale Manipulation, Resilienz – ausrichten, geben ihrem Vorstand einen Rahmen und einen Kontext, in dem sie handeln und nicht nur reagieren können.

Related Topics:
mm

Jim ist der Chief Product und Technology Officer für GetReal, wo er alle Aspekte der Produktstrategie, Entwicklung und Lieferung leitet. Er bringt mehr als zwei Jahrzehnte Erfahrung in der Entwicklung, dem Management und dem Marketing von Cyber-Sicherheitsprodukten und -dienstleistungen bei Unternehmen wie BetterCloud, IBM, Dell Secureworks und RedHat. Er hält einen Bachelor-Abschluss in Maschinenbau von der Georgia Institute of Technology und einen Master of Business Administration von der Goizueta Business School an der Emory University.