Gefahr durch Datenverlust in gefälschten Videokonferenzen
Immer öfter werden Unternehmen im Internet abgehört oder ausspioniert. Dabei muss es sich nicht immer um einen klassischen Hackerangriff handeln. Auch eine fehlende Verschlüsselung der Kommunikation kann zu einem folgenschweren Vorfall führen.
Neu ist der Angriff durch Unbefugte, der durch ein durch Künstliche Intelligenz (KI) erstelltes Profil erfolgt. Sogenannte Deepfakes können sich bei Videokonferenzen einschalten und wichtige Daten abgreifen. Spätestens, wenn personenbezogene Daten betroffen sind und das passiert schon, wenn die Beteiligten erkennbar oder deren Namen lesbar sind, ist auch der Datenschutz von dieser Art von Angriff betroffen.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Gefahr für Videokonferenzen durch Deepfakes
Wenn Unternehmen Opfer durch Deepfakes werden, dann fällt das mitunter erstmal gar nicht auf. Das ist auch nicht weiter verwunderlich, denn wenn zum Beispiel ein solcher Angriff bei einer Videokonferenz stattfindet, dann sehen alle Beteiligten ein bekanntes Gesicht und hören eine bekannte Stimme, z.B. eines Kollegen, Vorgesetzen, Gesprächspartner, der an dem Gespräch aber nicht wirklich teilnimmt. Er wird durch eine KI erstellt. So erhalten Kriminelle mitunter sensible Daten oder können an internen Gesprächen teilhaben, darunter auch personenbezogene Daten.
Dann liegt neben dem Schaden für das Unternehmen auch eine Datenpanne vor, die meldepflichtig sein kann. Bei einer Nichteinhaltung des Datenschutzes droht eine empfindliche Strafe seitens der Aufsichtsbehörde und unter Umständen entstehen auch Schadensersatzansprüche gegenüber der Betroffenen, welche geschädigt wurden.
BLOG-TIPP: SCHADENSERSATZ DS-GVO UND BUSSGELDER NACH DS-GVO
Mit KI können Kriminelle Bilder, Videos und Live-Gespräche erstellen
Mit der Künstlichen Intelligenz können nicht mehr nur gefälschte Bilder und Videos entstehen, ganze Live-Videos oder Live-Gespräche können so imitiert werden. Dabei kann die Stimme oder das Aussehen eines Kriminellen und somit Unbefugten in Ton und Bild einer andren Person übertragen werden.
So können also nicht nur E-Mails in falschem Namen verschickt werden, sondern auch Telefonate und Online-Meetings können von Fremden ausspioniert werden. Dieser Identitätsdiebstahl auf Basis von KI nennt man Deepfake.
KI macht Fälschungen noch einfacher
Was vorher noch sehr aufwändig war, nämlich dynamische Medien qualitativ hochwertig zu erstellen, also zu fälschen, ist durch die Entwicklung und Zugänglichkeit von KI nun deutlich vereinfacht worden und stellt auch für den Datenschutz eine große Gefahr da. Daher muss auch diese bei der Umsetzung des Datenschutzes berücksichtigt werden und die technischen und organisatorischen Maßnahmen (TOM), sowie die Risikoanalysen angepasst werden.
BLOG-TIPP: RISIKO-BEURTEILUNG NACH DS-GVO
Woran erkennt man Deepfakes?
Deepfakes zu erkennen ist nicht immer einfach, da die Qualität deutlich zunimmt. Trotzdem kann man die Schwächen eines solchen Fakes erkennen und daran aufdecken. Dazu gibt es Empfehlungen unter anderem vom Bundesamt für Verfassungsschutz (BfV):
-
Sorgen Sie für gute (Bild-)QualitätJe höher die Auflösung beziehungsweise die Bildgröße, desto leichter lassen sich Ungereimtheiten im Bild erkennen. Videos sollten daher nicht auf dem Handy, sondern auf einem größeren Monitor geschaut werden. Gute Farbeinstellungen zeigen ebenfalls Unstimmigkeiten, zum Beispiel im Hautbild.
-
Achten Sie auf die Mimik der PersonNatürliche Reaktionen, wie Blinzeln, Stirnrunzeln oder die berühmte „Zornesader“ können von einer KI ebenfalls noch nicht gut dargestellt werden. Ein genauer Blick auf die Augen und Stirn kann einen Fälschung schnell enttarnen. Schauen Sie dafür das Bild verlangsamt, um eventuelle Verzerrungen zu erkennen.
-
Prüfen Sie die QuelleLetztlich hilft natürlich auch immer eine Quellenprüfung oder bei Unsicherheit in Videoschalten die Bitte um Rückruf, um zumindest die Gelegenheit zu bekommen, den Videoanruf oder das Video zu verifizieren.
Quelle: www.bundesregierung.de
Auch das Bundesamt für Sicherheit in der Informationstechnik (BIS) warnt vor der Gesichtsmanipulation. Darüber hinaus gibt es Tipps, was auf Deepfake hinweisen könnte. Dazu zählen zum Beispiel verwaschene Konturen bei Zähnen oder Augen. Auch eine begrenzte Mimik oder eine nicht passende Beleuchtung kann auf eine Fälschung hinweisen.
Schnelle Entwicklung erfordert neue Ansprüche an den Datenschutz
Wir wissen, dass sich die Entwicklung im Bereich der KI und damit auch bei Deepfake rasant weiterentwickelt. Jeder Schritt zur Datensicherheit, IT-Sicherheit und Datenschutz wird daher umso wichtiger. Auch die Aktualisierung und regelmäßige Prüfung der Systeme, Vorgaben und Einstellungen, stellt einen wichtigen Pfeiler bei der Umsetzung dar.
Nicht zuletzt die Awareness von Mitarbeitern ist ein wichtiges Rädchen bei der Umsetzung des Datenschutzes. Beziehen Sie immer auch einen Datenschutzbeauftragten bei der Einführung neuer Systeme oder Verdachtsfällen mit ein.
BLOG-TIPP: AWARENESS IM UNTERNEHMEN ALS WICHTIGE GRUNDLAGE FÜR DEN DATENSCHUTZ
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.