Der Umgang mit Deepfakes als eine neuartige Bedrohung stellt immer noch eine Art gesetzloser „Wilder Westen“ dar, deshalb ist jede Norm, die sich immanent aus der Branche konstituiert, besonders wertvoll. Eine tatsächliche Gesetzgebung wäre jedoch zielführender. Aber bis die Nationalstaaten adäquate und gemeinsame Gesetze für die Problematik der Deepfakes erlassen, ist es noch ein langer Weg. Momentan unterscheiden sich die Regelungen noch sehr stark von Land zu Land, ihre Anzahl ist zu gering und sie treten zu spät in Kraft. Aber diese Normen können nur dann ihre volle Wirkung entfalten, wenn sie von der gesamten Branche angenommen und umgesetzt werden.
Aufgrund der großen Attraktivität der kriminellen Anwendung dieser Art von Technologien, neigen Bedrohungsakteure stets dazu, Normen völlig zu ignorieren. Daher sind zuverlässige Standards, wie C2PA (Coalition for Content Provenance and Authenticity), an dem IT- und Medien-Unternehmen wie Adobe, BBC, Microsoft, Intel und Twitter partizipieren, sehr sinnvoll, wenn sie eine gemeinsame Anwendung für (in diesem Fall) die Erkennung von Fälschungen beschreiben. Es handelt sich hierbei um eine Art Leitfaden für die Nutzung von Technologien zur Rückverfolgbarkeit von Deepfakes.
Unterstützung von Initiativen und Standards durch die Sicherheitsbranche
Es darf bezweifelt werden, dass diese speziellen Standards für eine breite Implementierung in der gesamten Branche sinnvoll sind. Ein Großteil der Cyber-Fälschungen wird nach wie vor von Personen außerhalb der kommerziellen Unternehmen entwickelt. Akademiker, eigene Labors und Autoren von Inhalten haben in der Regel nicht viel übrig für Standards, wenn sie ihnen mehr Kopfzerbrechen bereiten als sie ihre Arbeit vereinfachen. Die großen Befürworter dieses Standards (wie Adobe und die BBC) werden es umsetzen, aber sie stellen nicht die Massenproduzenten von Fälschungen dar.
Mit dieser Initiative sollen Standards geschaffen werden, die mit dem Dokument „mitreisen“. Dies funktioniert ähnlich wie bei den Metadaten, wobei auch diese Informationen recht leicht zu fälschen sind. Es gibt derzeit keine praktikable Möglichkeit, die Metadaten der Fälschungen zu zertifizieren. Es ist also eine zusätzliche Technologie (z. B. die verteilten Ledger der Blockchain) notwendig, die eine Garantie gegen Manipulationen bietet.
Deepfakes stellen eine sehr kleine Nische für die Bedrohungslandschaft der gesamten Sicherheitsindustrie dar, die sich hauptsächlich auf größere Unternehmen und deren Netzwerksicherheit konzentriert. Alle bekannten Cybersicherheitsunternehmen, die versuchen, Technologien zur Bekämpfung von Deepfakes zu entwickeln, sind kleinere Startups. Microsoft und auch IBM beschäftigen sich zwar damit, aber sie betrachten dies als eine Funktion, die sie zu ihren bestehenden Schutzmaßnahmen hinzufügen können, und nicht als ein primäres Produkt (wer würde schon Hunderttausende von Dollar für einen „reinen“ Deepfake-Detektor ausgeben?). Es wird einige Zeit dauern, bis die breite Sicherheitsbranche Deepfakes als echte Bedrohung auf dem gleichen Niveau wie beispielsweise Ransomware oder andere Malware ansieht.
Schutzwirkung der Standards bei Cyberbedrohungen
Initiativen dieser Art schützen nur vor solchen Fälschungen, die von Leuten erstellt wurden, die sich tatsächlich an diesen Standard halten. Nur wenn eine Kombination aus rechtlicher Kontrolle und technologischen Kontrollmechanismen die Hersteller dazu zwingt, sich an den Standard zu halten, wird er funktionieren. Und selbst dann wird es kriminelle Organisationen geben, die erfolgreiche Versuche wagen, die Sicherheitsstandards zu umgehen.
Vorteile der Etablierung eines Standards
Die Teilnahme an einem Standard wie diesem bedeutet für viele Unternehmen einen enormen Reputationsvorteil. Einige Unternehmen werden, anstatt sich dieser Initiative anzuschließen, versuchen, ihre eigene zu starten. Immer mit der Prämisse, der eigene Weg sei effektiver, sicherer und populärer. Es ist allgemein bekannt, dass solche Aktionen einen ebenso großen PR-Wert haben, wie ihr tatsächlicher Wert für den Schutz von Netzwerken.
Für diejenigen, die die Technologie zur Erstellung von Deepfakes verwenden, sind die Vorteile eklatant. Für all diejenigen, die zum Beispiel Open-Source-Bibliotheken verwenden, die den Standard nicht nutzen, ergibt sich kein Mehrwert. Es handelt sich um einen Standard, den man aus freien Stücken verwenden kann. Dies ist auch der Grund, weshalb Standards allein keine umfangreiche Schutzwirkung liefern können.
Stärkung des Sicherheitsbewusstseins als Eckpfeiler einer ganzheitlichen Sicherheitsstrategie
Die umfassende Sicherheitsausbildung der Nutzer und Mitarbeiter wird immer unerlässlich bleiben. Da man keine vollkommene Sicherheit garantieren kann, wird es immer Schlupflöcher geben. Vor allem bei raffinierten Technologien wie Deepfakes, die darauf abzielen, den menschlichen Verstand so zu täuschen, dass er eine Fälschung als Original akzeptiert. Selbst bei der Erstellung eines Deepfakes nach einem anerkannten Technologiestandard kann der Betrachter des Filmmaterials nicht zwingend erkennen, ob es sich um eine Fälschung handelt. Es sei denn, es folgt eine schriftliche oder akustische Warnung, während man sich das manipulierte Material ansieht.
Die Fälschung ist vielleicht bis zu ihrem (vermeintlichen) Urheber rückverfolgbar, aber dennoch kann sie im großen Maßstab zum Betrug, zur Täuschung oder zur Fehlinformation verwendet werden.
Die Aufklärung der Menschen über die Existenz, die Anwendung den Schutz vor dieser Bedrohungstechnik ist von sehr großer Bedeutung für die Gegenwart und Zukunft. Es ist entscheidend, die geeigneten Mittel und das Wissen zu besitzen, um zu erkennen, ob das, was man sieht, echt ist oder nicht. Und auch wenn neue Technologien theoretisch in der Lage sein könnten, eine Fälschung hundertprozentig zu erkennen, müssen die Menschen dennoch wissen, wie sie sich verhalten sollen, wenn sie auf eine Fälschung stoßen. Was sollen sie in diesem Moment tun, wen sollen sie kontaktieren, wie sollen sie vorgehen?
Die Schulung des Sicherheitsbewusstseins wird also immer eine wichtige Rolle spielen, sei es in einem Unternehmen, einer Organisation oder einer Nation.
Ausblick und Empfehlungen
Beim derzeitigen Stand und der Verfügbarkeit von Deepfake-Erkennungs- und Überwachungstechnologien ist es schwer, eindeutige Empfehlungen auszusprechen. Im Moment ist der beste Ratschlag, ein Bewusstsein für die Technologie, ihre Anwendung und die möglichen Gefahren zu schaffen. Es gibt eine Technologie, die die Inhalte scannen und auf mögliche Fälschungen überprüfen kann. Aber diese Technologie ist meist nur für die großen Tech-Unternehmen zugänglich, da sie nicht billig ist. Außerdem wird sie meist offline eingesetzt (also ist noch kein Online-Scannen in Echtzeit möglich) und die Genauigkeit und die Verlässlichkeit sind noch begrenzt.
Der Rat an die Unternehmen aus der Perspektive eines Sicherheitsexperten lautet deshalb, die Mitarbeiter umfangreich zu schulen und ihnen somit die notwendigen Mittel an die Hand zu geben, damit sie verstehen, was Deepfakes bedeuten. Sie müssen lernen, wie sie sich verhalten sollen, wenn sie damit konfrontiert werden und an wen sie sich wenden können, um eine gründliche Überprüfung und effiziente Hilfe zu gewährleisten.
Von Jelle Wieringa, Security Awareness Advocate bei KnowBe4
#KnowBe4