Durch den Einsatz von KI-basierten Systemen und Lösungen erhoffen sich Unternehmen eine höhere Wirtschaftsleistung durch Automatisierung, effizientere Prozesse sowie Einsparungen durch den gezielten Einsatz von Mitarbeitenden.
Die Europäische Union hat am 21. Mai 2024 den EU AI Act verabschiedet, der zukünftig für die Nutzung künstlicher Intelligenz gilt und einen sicheren Umgang mit der Technologie einen Rechtsrahmen setzt. Diesen müssen Unternehmen beim Einsatz von KI-Lösungen berücksichtigen.
Doch es gibt auch eine bedrohliche Kehrseite der technischen Entwicklung: Wirtschaftskriminelle machen sich künstliche Intelligenz ebenfalls zunutze.
Die Möglichkeiten von GenAI
Die Nutzungsmöglichkeiten von generativer KI haben zu einer Vielzahl von Einsatzgebieten geführt. Sie reichen von interaktiven Assistenzsystemen wie ChatGPT bis hin zum Generieren digitaler Medieninhalte beispielsweise über SORA – eine künstliche Intelligenz, die auf Basis kurzer Textbeschreibungen von Nutzenden Videoclips in fotorealistischer Qualität erstellt. Inzwischen ist es nicht nur möglich, inhaltlich und semantisch schlüssige Texte zu erstellen. Auch das Anfertigen von Bildern und Dokumenten sowie die Imitation von Audio- und Videoinhalten sind machbar. Solche Bilder und Videoinhalte können auch gezielt von Wirtschaftskriminellen eingesetzt werden. Bekannte Betrugsmuster sind dadurch in neuem Ausmaß und mit neuen Facetten festzustellen.
Durch künstliche Intelligenz erreichen wir ein neues Betrugslevel: Angriffe auf Unternehmen sind nun noch einfacher, schneller und passgenauer möglich. Diese reale Bedrohung belegt auch unsere KPMG Studie “eCrime in der Deutschen Wirtschaft 2024“. 2024 waren bereits 27 Prozent der befragten Unternehmen von KI-generierten Angriffen betroffen.
Die Ausprägungen von KI-generiertem Betrug sind vielschichtig. Sie reichen von angepassten Social-Engineering-Strategien über die betrügerische Nutzung KI-generierter, kontextbezogener Informationen bis zu Identitätsfälschungen in bisher ungekannter Qualität.
Social Engineering 2.0
Social-Engineering-Angriffe stellen bereits jetzt ein Risiko für Unternehmen dar. Mittels Phishing-E-Mails, gefakten Telefonanrufen oder manipulierten Websites versuchen Angreifer, menschliche Schwächen und Verhaltensweisen ausnutzen, um an vertrauliche Informationen zu gelangen oder unerlaubten Zugriff zu Systemen zu erhalten. Dies führt neben oftmals erheblichen finanziellen Schäden auch zu einem Verlust von Vertrauen und Reputation. Waren Social-Engineering-Angriffe in der Vergangenheit für Wirtschaftskriminelle häufig mit hohem Rechercheaufwand verbunden, bietet der Einsatz von KI nunmehr neue Möglichkeiten: Die KI kann mit E-Mails von realen Personen oder Unternehmen trainiert werden, um daraufhin Texte mit authentisch wirkenden Inhalten und im passenden Schreibstil für die relevanten Personen oder Unternehmen zu erstellen und zu versenden. Darüber hinaus ist KI inzwischen in der Lage, Dokumente und Bilder zu manipulieren, Stimmen zu imitieren und Menschen für Videokonferenzen nachzuahmen. Social-Engineering-Angriffe werden somit zu einer noch komplexeren Bedrohung, die nicht mehr nur via E-Mail erfolgt, sondern täuschend echt auch über Telefon- oder gar Videoanrufe technisch möglich ist. Erste Fälle davon sind bereits bekannt. So meldete jüngst ein britisches Unternehmen einen Schaden in Höhe von 23 Millionen Euro, nachdem ein Mitarbeiter ein Videogespräch mit dem vermeintlichen Finanzchef des Unternehmens führte. Es stellte sich heraus: Der Finanzvorstand war ein durch Deepfake erstellter Klon, der für diesen sogenannten „Fake President“-Fraudfall (CEO Fraud) genutzt wurde.
Wie kontextbezogene Informationen zur Gefahr werden
Kontextbezogene Informationen über die Performance oder die Entwicklung eines Unternehmens können relevante Auswirkungen auf den Kapitalmarkt und damit auf den Aktienkurs von börsennotierten Unternehmen haben. Wirtschaftskriminelle nutzen diese Informationen, um den Kapitalmarkt zu manipulieren. Ziel ist es, auf illegale Weise beim Kauf oder Verkauf von Aktien Gewinn zu machen.
Bislang war die Manipulation von Aktienkursen via Falschmeldungen mit einem gewissen Aufwand verbunden: Hintergründe zu dem betroffenen Unternehmen mussten recherchiert, ein vor diesem Kontext schlüssiger Text formuliert und auf einer oder mehreren Plattformen veröffentlicht werden. Heute ermöglicht KI die einfache und automatisierte Erstellung solcher kontextbezogenen Texte. Eine KI kann dabei beispielsweise eine hohe Anzahl an Falschmeldungen kreieren, die durch ihre schiere Menge dazu führen, dass die Lesenden die Informationen als glaubwürdig erachten und entsprechende Handlungen am Kapitalmarkt vornehmen. Die Schwierigkeit beim Erkennen von Falschmeldungen wird durch die Skalierbarkeit und Präzision, mit der KI diese Texte erstellt, noch verstärkt. Dadurch wird Manipulation einfacher und effizienter als je zuvor.
Geschäfte mit Fake-Kundschaft
Unternehmen sind bereits heute mit Fake-Kundinnen und -Kunden konfrontiert, die gefälschte Identitäten sowie gefälschte Nachweise oder Webseiten verwenden und - beispielsweise nach dem Bestellen von Waren - nicht mehr auffindbar sind. Bei Nachforschungen stellt sich heraus, dass dieser Kunde überhaupt nicht existiert - obwohl er sich mit glaubhaften Websites, Dokumenten, die von vermeintlich behördlichen Stellen unterschrieben waren und der Referenz auf Vorstandspersonen sowie mit Profilen auf mehreren Social-Media-Seiten legitimiert hat. Dies führt für Unternehmen zu einem erheblichen Risiko im Hinblick auf Zahlungsausfälle und Geldwäsche. Das Erkennen gefälschter Unterlagen im Rahmen des Onboarding-Prozesses von Kund:innen ist aktuell bereits oftmals schwierig und wird aller Voraussicht nach künftig durch den Einsatz künstlicher Intelligenz noch herausfordernder werden. Denn: Beim Erstellen von gefälschten Ausweiskopien, Identitätsnachweisen, Zertifizierungen (Qualifikationen oder Zulassungen), Lebensläufen, Social-Media-Profilen oder Webseiten spielt KI eine entscheidende Rolle. Moderne Technologien ermöglichen es, in kürzester Zeit täuschend echt wirkende Dokumente und Profile zu erstellen, die für das menschliche Auge eigentlich nicht mehr von echten Dokumenten und Profilen zu unterscheiden sind.
Chancen und Maßnahmen im Umgang mit KI-gestütztem Betrug
Künstliche Intelligenz hebt Betrug auf eine neue Ebene: Der geringe Aufwand an Arbeit, Zeit und Kosten macht die Nutzung von KI für Wirtschaftskriminelle attraktiv. Für Unternehmen führt dies zu einer zusätzlichen Bedrohungslage, die sich ständig weiterentwickeln wird. Dieser Situation sollte sich jedes Unternehmen bewusst sein. Es ist notwendig, passgenaue Maßnahmen abzuleiten. Hierbei sind neben klaren Vorgaben bei der (auch unternehmensinternen) Weitergabe von Informationen via Telefon, E-Mail und weiteren Kommunikationskanälen auch entsprechende Schulungen der Mitarbeitenden zu aktuellen Entwicklungen und Bedrohungsszenarien erforderlich.
Neben den genannten Risiken bietet künstliche Intelligenz aber auch neue Möglichkeiten, den Aktivitäten von Wirtschaftskriminellen entgegenzuwirken. Durch den eigenen Einsatz von KI können Unternehmen potenzielle Bedrohungen frühzeitig erkennen und darauf reagieren. Beispielsweise können KI-basierte Systeme ungewöhnliche Muster im Datenverkehr identifizieren und so auf mögliche Betrugsversuche hinweisen. Auch Softwarelösungen, die Anomalien im Kommunikationsverhalten erkennen und entsprechende Warnungen ausgeben, können unterstützend eingesetzt werden. Zudem kann KI helfen, die Authentizität von Dokumenten und Identitäten zu überprüfen, indem sie komplexe Identitätsprüfungen durchführt und die Datenintegrität sicherstellt.
Zwischen Chance und Risiko
Unternehmen sollten sich daher gezielt mit beiden Seiten auseinandersetzen und proaktiv Maßnahmen ergreifen, mit denen sie ihre Sicherheitsstrategien kontinuierlich verbessern und sich so gegen die zunehmenden Bedrohungen durch KI-gestützte Betrugsmuster wappnen können.
Unternehmen befinden sich in einem ständigen Spannungsfeld zwischen den Chancen und den Risiken beim Einsatz von künstlicher Intelligenz. Bei dem Potenzial, das künstliche Intelligenz mit sich bringt, ist es erforderlich, die damit verbundenen Betrugsmöglichkeiten nicht zu vergessen.
Für weiterführende Informationen und passgenaue Lösungen für Ihre individuellen Bedürfnisse stehen Ihnen die Expertinnen und Experten von KPMG gerne zur Verfügung.
Webcast
Weitere interessante Inhalte für Sie
Weitere Ansprechpersonen
Alexander Geschonneck
Partner, Forensic, Global Head of Forensic
KPMG AG Wirtschaftsprüfungsgesellschaft
Barbara Scheben
Partner, Audit, Regulatory Advisory, Head of Forensic, Head of Data Protection
KPMG AG Wirtschaftsprüfungsgesellschaft
Michael Sauermann
Partner, Audit, Regulatory Advisory, Forensic
KPMG AG Wirtschaftsprüfungsgesellschaft
So kontaktieren Sie uns
- KPMG-Standorte finden kpmg.findOfficeLocations
- kpmg.emailUs
- Social Media @ KPMG kpmg.socialMedia