Deepfakes in Action

Betrugsmaschen haben sich immer parallel zur technologischen Entwicklung weiterentwickelt. Mit dem Aufkommen der Druckerpresse tauchten auch gefälschte Dokumente auf. Das Telefon öffnete die Tür für Betrugsmaschen per Telefon. Das Internet führte zum Aufkommen von Phishing – und wir alle kennen diese gefälschten „dringenden” E-Mails von jemandem, der sich als Ihr CEO ausgibt. Jetzt stehen wir vor etwas weitaus Ausgefeilterem: Deepfakes.

KI-generierte Stimmen und Videos verleihen Betrugsversuchen ein beunruhigendes neues Maß an Realismus. Sie lassen Menschen glauben, was sie sehen und hören – und genau das macht sie so gefährlich. Viele Organisationen unterschätzen nach wie vor, wie ernst diese Bedrohung ist.

Da gerade der Cybersecurity Awareness Month stattfindet, ist jetzt der perfekte Zeitpunkt, um über Deepfakes zu sprechen – warum sie anders sind, warum sie wichtig sind und was wir tun können, um sie zu bekämpfen.

Warum Deepfakes sich von anderen Cyber-Bedrohungen unterscheiden

Man könnte versucht sein, Deepfakes als „Phishing 2.0“ zu betrachten. Aber sie sind viel mehr als das. Herkömmliche Phishing-Betrügereien spielen mit unseren Emotionen – Dringlichkeit, Angst, Neugier.

Deepfakes gehen noch tiefer. Sie zielen auf unsere Sinne und unser instinktives Vertrauen in das, was wir sehen und hören. Nehmen wir den mittlerweile berüchtigten Fall in Hongkong aus dem letzten Jahr: Ein Finanzmitarbeiter überwies 25 Millionen US-Dollar, nachdem er an einem Videoanruf mit seinem CFO – und sechs weiteren „Kollegen“ – teilgenommen hatte. Jeder einzelne von ihnen war ein Deepfake. Und es handelte sich nicht um vorab aufgezeichnete Videos; die Angreifer agierten in Echtzeit.

Noch beunruhigender ist, dass es sich hierbei nicht um eine aufwendige Operation handelte. Jeder mit einem ordentlichen Computer oder sogar einem Smartphone hätte das tun können. Die gleiche Technologie, die lustige Filter in sozialen Medien ermöglicht, kann nun dazu missbraucht werden, echte Menschen zu imitieren. Heute braucht es nur drei Sekunden einer Stimme, um sie überzeugend zu klonen. Für Videos reicht ein einziges gutes Foto.

Mit KI-Agenten, die in die Interaktion mit Kunden und Mitarbeitern integriert werden, verschwimmt die Grenze zwischen Mensch und Maschine zunehmend. Das führt zu weiteren Missbrauchsfällen.

Das Katz-und-Maus-Spiel im Kampf gegen Deepfakes

Vor ein oder zwei Jahren waren die meisten Deepfakes noch leicht zu erkennen. Die Lippensynchronisation stimmte nicht oder die Augen blinzelten nicht ganz richtig. Diese Zeiten sind vorbei. Selbst die erfahrensten Profis lassen sich heute von einem gut gemachten Deepfake täuschen.

Das ist die Herausforderung, vor der wir stehen: das klassische Katz-und-Maus-Spiel der Cybersicherheit. Mit der Verbesserung der Abwehrmaßnahmen entwickeln sich auch die Angreifer weiter. Die Technologie zur Erkennung von Deepfakes wird besser, aber auch die Technologie zu ihrer Erstellung. Eine technologische Erkennung, die zu 100 Prozent einen Deepfake erkennt, wird es wohl nicht geben. Unternehmen können aber trotzdem eine Menge zum Schutz vor diesen Betrügereien tun.

Hier sollten Unternehmen ansetzen:

1. Die anfälligsten Prozesse aufdecken

Ermitteln Sie zunächst, welche Bereiche Ihres Unternehmens am stärksten gefährdet sind. Dazu gehören in der Regel:

• Benutzer-Onboarding
• Kontowiederherstellung
• Helpdesk-Interaktionen

Kurz gesagt: überall dort, wo Menschen aufgefordert werden, ihre Identität zu bestätigen – egal, ob es sich um Mitarbeiter, Kunden oder Partner handelt.

2. Die richtigen Technologien einsetzen

Keine einzelne Lösung kann das Risiko vollständig beseitigen, aber die richtigen Technologien können einen großen Unterschied machen. Unternehmen sollten nach Tools zur Identitätsprüfung suchen, die speziell auf Deepfakes ausgerichtet sind. Organisationen wie NIST bewerten und klassifizieren diese Tools und helfen Unternehmen so zu verstehen, welche tatsächlich die versprochenen Leistungen erbringen.

Thales selbst verwendet beispielsweise eine KI-gestützte „Lebendigkeitserkennung“, um winzige, unwillkürliche Bewegungen zu analysieren, die selbst die besten Deepfakes nicht reproduzieren können. Unternehmen schützten dadurch ihre Authentifizierungs- und Onboarding-Sessions vor diesen Bedrohungen.

3. Mitarbeiter schulen und befähigen

Menschen können Deepfakes nicht immer auf den ersten Blick erkennen, deshalb ist das Bewusstsein wichtig. Mitarbeiterinnen und Mitarbeiter müssen wissen, dass das, was sie sehen und hören, manipuliert sein könnte.

Die Förderung einer Kultur der gesunden Skepsis – insbesondere im Zusammenhang mit sensiblen finanziellen Anfragen oder Identitätsprüfungen – ist dabei sehr hilfreich. Vertrauen ist gut, Kontrolle ist besser.

Fazit: Deepfakes werden bleiben – doch Vertrauen ebenfalls

Deepfakes werden nicht mehr verschwinden. Sie werden nur schneller, billiger und realistischer werden. Deshalb ist es jetzt an der Zeit zu handeln – um Prozesse widerstandsfähiger zu machen, Abwehrmaßnahmen zu testen und eine Kultur zu schaffen, in der Vertrauen nicht vorausgesetzt, sondern verdient wird.

Vertrauen ist eines der wertvollsten Güter eines Unternehmens. Und im Zeitalter der Deepfakes ist es wichtiger denn je, dieses Vertrauen zu verteidigen.

Fraud schemes have always evolved in parallel with technological developments. With the advent of the printing press, forged documents also appeared. The telephone opened the door to telephone scams. The internet led to the rise of phishing—and we’re all familiar with those fake “urgent” emails from someone posing as your CEO. Now we’re facing something far more sophisticated: deepfakes.

AI-generated voices and videos bring a disturbing new level of realism to fraud attempts. They make people believe what they see and hear—and that’s what makes them so dangerous. Many organizations still underestimate how serious this threat is.

With Cybersecurity Awareness Month underway, now is the perfect time to talk about deepfakes—why they’re different, why they matter, and what we can do to combat them.

Why deepfakes are different from other cyber threats

It might be tempting to think of deepfakes as “phishing 2.0.” But they’re much more than that. Traditional phishing scams play on our emotions—urgency, fear, curiosity.

Deepfakes go even deeper. They target our senses and our instinctive trust in what we see and hear. Take last year’s now infamous case in Hong Kong: a finance employee transferred $25 million after participating in a video call with his CFO – and six other “colleagues.” Every single one of them was a deepfake. And these weren’t pre-recorded videos; the attackers were acting in real time.

Even more disturbing is that this was not a complex operation. Anyone with a decent computer or even a smartphone could have done it. The same technology that enables funny filters on social media can now be misused to imitate real people. Today, it takes only three seconds of a voice to clone it convincingly. For videos, a single good photo is enough.

With AI agents being integrated into interactions with customers and employees, the line between humans and machines is becoming increasingly blurred. This leads to further cases of abuse.

The cat-and-mouse game in the fight against deepfakes

A year or two ago, most deepfakes were still easy to spot. The lip-syncing was off or the eyes didn’t blink quite right. Those days are over. Even the most experienced professionals can be fooled by a well-made deepfake today.

This is the challenge we face: the classic cat-and-mouse game of cybersecurity. As defenses improve, attackers continue to evolve. The technology for detecting deepfakes is getting better, but so is the technology for creating them. There will probably never be a technological detection method that can recognize a deepfake 100 percent of the time. However, companies can still do a lot to protect themselves against these scams.

Here’s where companies should start:

1. Identify the most vulnerable processes

First, determine which areas of your business are most at risk. These typically include:

• User onboarding
• Account recovery
• Help desk interactions

In short: anywhere people are asked to confirm their identity—whether they are employees, customers, or partners.

2. Use the right technologies

No single solution can completely eliminate the risk, but the right technologies can make a big difference. Companies should look for identity verification tools that are specifically designed to combat deepfakes. Organizations such as NIST evaluate and classify these tools, helping companies understand which ones actually deliver on their promises.

Thales itself, for example, uses AI-powered “liveness detection” to analyze tiny, involuntary movements that even the best deepfakes cannot reproduce. This allows companies to protect their authentication and onboarding sessions from these threats.

3. Train and empower employees

People cannot always recognize deepfakes at first glance, which is why awareness is important. Employees need to know that what they see and hear could be manipulated.

Promoting a culture of healthy skepticism—especially in connection with sensitive financial inquiries or identity checks—is very helpful in this regard. Trust is good, control is better.

Conclusion: Deepfakes are here to stay – but so is trust

Deepfakes are not going away. They will only become faster, cheaper, and more realistic. That’s why now is the time to act – to make processes more resilient, test defenses, and create a culture where trust is not assumed but earned.

Trust is one of a company’s most valuable assets. And in the age of deepfakes, it is more important than ever to defend that trust.