Swiss Infosec AG - Premiere für Phishing-Simulationen per Deepfakes um Mitarbeiter für Angriffe zu sensibilisieren

Im Bereich Sicherheit bedeutet Social Engineering das Planen und Durchführen von Angriffen auf Informationen und Systeme unter Ausnutzung der «Schwachstelle Mensch». Das Ziel von Social Engineering ist, Mitarbeitende dazu zu bringen, Sicherheitsfehler zu begehen oder sensible Informationen offenzulegen. Sogenannte Phishing-Angriffe, meist via E-Mail und Telefon, sind die wohl bekannteste Form des Social Engineerings und gehören zu den grössten Bedrohungen für Unternehmen.

Deepfakes: Digitale Fälschungen für den CEO Fraud

Deepfakes nutzen unter anderem digitale Fälschungen von Gesichtern, die mit Künstlicher Intelligenz (KI) erstellt werden. Sie sind mittlerweile so realistisch, dass sie von der echten Person kaum zu unterscheiden sind. Angreifer bedienen sich immer öfter dieser Methode, um an vertrauliche Informationen zu gelangen oder gewünschte Aktionen zu provozieren. Der per digitale Plattform (Teams, Zoom etc.) zugeschaltete Geschäftsführer (CEO), der Überweisungen anordnet, kann, muss also nicht der echte CEO sein (CEO Fraud).

Phishing-Simulation per Deepfakes

Mit der neuen Dienstleistung «Phishing-Simulation per Deepfakes» der Swiss Infosec AG wird untersucht, ob Angriffe per Deepfakes im Unternehmen erfolgreich wären. «Wir erstellen für die Videoanrufe ein Deepfake einer bekannten Person des Unternehmens, z.B. des CEO oder der Finanzchefin, her, und bestimmen gemeinsam mit dem Unternehmen den Ablauf der Simulation», erklärt Ken Vogel, Head of Management Services bei der Swiss Infosec AG. Die Resultate dieser Simulation dienen dann als Grundlage, um die Mitarbeitenden spezifisch für solche und ähnliche Phishing-Angriffe zu sensibilisieren.

Was zu erstaunen vermag und die Anwendung dieser Angriffsmethode noch wahrscheinlicher macht: Der Aufwand für einen Deepfake-Angriff ist nur unwesentlich grösser als für einen Phishing-Angriff per E-Mail.

Wenn der Lernende zum Spezialisten wird

Im Rahmen seiner Ausbildung zum Mediamatiker wählte Kai Yu für seine Individuelle Projektarbeit (IPA) das Thema «Deepfakes». Bei seiner Begabung und Begeisterung für alles rund um Film, Video und neue Technologien eine naheliegende Wahl. Er konnte für sein Projekt zwei Unternehmen gewinnen, die an einer Phishing-Simulation mit Deepfakes teilgenommen haben und vom Erfolg dieser Methode überrascht waren. Die gewonnenen Erkenntnisse aus diesen und weiteren Phishing-Simulationen mit Deepfakes fliessen nun in die Dienstleistung «Phishing-Simulation per Deepfakes» der Swiss Infosec AG ein. Dies zeigt eindrücklich, dass hauseigene Potenziale bei der Swiss Infosec AG erkannt und gezielt gefördert werden.

Awareness – wichtiger denn je

«Das Bewusstsein für Sicherheit ist dank Awareness zweifellos grösser geworden», ist Ken Vogel überzeugt und fügt an: «Der Begriff «Phishing» ist in der Öffentlichkeit und in Unternehmen angekommen. E-Mail-Absender und Links werden vermehrt kritisch hinterfragt». Dennoch sei es unumgänglich, Mitarbeitende regelmässig für Sicherheit zu sensibilisieren. Erst recht, wenn neue Technologien und Angriffsmethoden – wie eben Deepfakes – zum Einsatz kommen.

Die Swiss Infosec AG mit Sitz in Sursee gehört in der Schweiz zu den führenden, unabhängigen Beratungs- und Ausbildungsunternehmen in den Bereichen Informationssicherheit, Datenschutz und IT-Sicherheit. Das Unternehmen wurde 1989 gegründet und beschäftigt zusammen mit dem Schwesterunternehmen Swiss GRC AG über 75 Mitarbeitende, die im Bereich der Integralen Sicherheit bisher über 2500 Projekte von kleinen und grossen Kunden aus allen Branchen begleiteten.