Deepfakes
Der vermeintlich bekannte Gesprächspartner
Fortsetzung des Artikels von Teil 1
Deepfakes im gesetzlichen Kontext
In China wurde eine Regelung getroffen, die durch KI gefälschte Nachrichten und irreführende Videos verhindern soll. Sie sieht vor, dass bei Veröffentlichung im Internet, gekennzeichnet werden muss, dass der betreffende Beitrag mit Künstlicher-Intelligenz- oder Virtual-Reality-Technologie erstellt wurde. Geschieht dies nicht, wird ein Strafverfahren eröffnet. Die chinesische Regierung folgt damit Gesetzen, die ähnlich bereits in den USA existieren. Kalifornien war der erste US-Bundesstaat, der die Verwendung von Deepfakes in der Werbung für politische Kampagnen unter Strafe stellte. Das Gesetz AB 730 macht es zum Verbrechen, Audio-, Bild- oder Videodaten zu veröffentlichen, die einen falschen beziehungsweise schädlichen Eindruck von den Worten oder Handlungen eines Politikers vermitteln.
In Deutschland gibt es noch kein eigenes grundlegendes Gesetz, das Deepfakes reguliert. Jedoch verletzt zum einen die Verwendung von Gesichtern das Recht am eigenen Bild, das im Kunsturheberrechtsgesetz geregelt ist. Zum anderen regelt das Grundgesetz das Persönlichkeitsrecht, da die öffentliche Bloßstellung dem Ruf der Betroffenen schaden könnte.
Von Seiten der Europäischen Union wurden vor Kurzem erste Schritte in Richtung „vertrauenswürdige Künstliche Intelligenz“ eingeleitet: So legte die EU-Kommission am 21. April 2021 den weltweit ersten Rechtsrahmen für KI mit dem Ziel vor, Europa als das globale Zentrum für vertrauenswürdige Künstliche Intelligenz zu etablieren. KI-Systeme, die die Sicherheit, die Lebensgrundlagen und die Rechte der Menschen bedrohen, würden verboten werden. Für KI-Systeme mit hohem Risiko sollen strenge Vorgaben vor Markteintritt gelten. Mit Blick auf Deepfakes gilt voraussichtlich eine Transparenzverpflichtung. Nun müssen im nächsten Schritt die Vorschläge der Kommission noch vom Europäischen Parlament und von den Mitgliedstaaten angenommen werden. Sobald die Verordnungen verabschiedet sind, werden sie aller Voraussicht nach unmittelbar in der gesamten EU gelten.
Gefährliche Folgen mit großem Ausmaß
Die Deepfake-Technologie wird sich jedoch weiterentwickeln und trotz der Regulierungen mit zahlreichen Risiken einhergehen. Es ist zu erwarten, dass große Schäden aus entsprechenden Angriffen entstehen. Hohe Kosten ergeben sich unter anderem durch wirtschaftliche Verluste in Unternehmen beziehungsweise durch die Überprüfung des jeweils vor Gericht eingereichten Videomaterials. Ein weiteres Beispiel sind die zahlreichen Revisionen, die von verurteilten Menschen beantragt werden. Sie könnten behaupten, das belastende Material sei manipuliert worden. Aber nicht nur potenzielle Kosten fallen ins Gewicht auch das öffentliche Meinungsbild könnte durch Fakes manipuliert werden. Sollte eine Person wie beispielsweise der Papst zu Hetze gegen andere Religionen aufrufen, könnte das im schlimmsten Fall gar Konflikte nach sich ziehen. Die Folgen entsprechender Deepfakes sind also nicht zu unterschätzen.
Keine Fälschung ist perfekt
Jedes Mal, wenn Videos oder Audiospuren manipuliert werden, gibt es Hinweise auf die Fälschung. Oft lässt sich dies mit bloßem Auge aber nicht erkennen. Dann sind Programme notwendig, die beispielsweise Pixelmuster um die geänderten Teile der Bilder herum betrachten sowie Modifizierungen der ursprünglichen Sequenz ausfindig machen und markieren. Auch die durch die Künstliche Intelligenz produzierte Sprachspur verursacht häufig minimale Fehler, die jedoch durch das menschliche Gehirn nicht verarbeitet und übersehen werden. Sie zu erkennen ist der Schlüssel, um Audio-Fakes im Vergleich zu echten Sprachmustern aufzudecken.
Aber auch Mitarbeiter sind gefragt. Immerhin sind sie das größte Risiko, dem sicherheitsbewussten Verhalten jedes Einzelnen kommt eine entscheidende Bedeutung zu. Unternehmen sollten daher ein Bewusstsein dafür schaffen, dass Deepfake-Manipulationen jederzeit möglich sind. Die alleinige Implementierung von Sicherheitstechnologien wie Firewall, IDS oder Endpoint Protection reicht nicht mehr aus. Zusätzlich sind „menschliche Firewalls“ gefragt. Sensibilisierung kann beispielsweise durch firmenspezifische Veranstaltungen geschult werden. Dabei kann auf Social-Engineering- und Deepfake-Angriffe auf das jeweilige Unternehmen eingegangen werden. Bei Security-Awareness-Trainings sollte es nicht einfach darum gehen, Wissen zu vermitteln, sondern darum, das Verhalten zu verändern. Und das gelingt am besten mit Emotionen.
Jelle Wieringa, Senior Security Advocate bei KnowBe4
- Der vermeintlich bekannte Gesprächspartner
- Deepfakes im gesetzlichen Kontext
- Corporate Doxing: Identitätsdiebstahl gegen Unternehmen gerichtet
Lesen Sie mehr zum Thema
