18. Dezember 2023

In diesem Jahr ist die Zahl der KI-generierten Identitätsangriffe so stark gestiegen, dass Verbraucher, Unternehmen und sogar Staatsoberhäupter über dieses Thema nachdenken. Die Biometrie wird die Art und Weise, wie Menschen mit digitalen Systemen interagieren und wie Unternehmen sensible Informationen schützen, grundlegend verändern. Das Jahr 2024 rückt immer näher, und die digitale Identitätslandschaft steht vor bedeutenden Fortschritten, mit Innovationen, die die Verifizierung neu definieren, die Sicherheitsstandards erhöhen und die Benutzererfahrung verbessern werden.

Begleiten Sie uns in die bevorstehende Zukunft der Biometrie, wo die Verschmelzung von Wissenschaft und Sicherheit einen Paradigmenwechsel in der Art und Weise verspricht, wie wir uns in der digitalen Welt authentifizieren, identifizieren und schützen.

1. Biometrische Daten werden zum Eckpfeiler der Sicherheitsinfrastruktur des US-Finanzdienstleistungsmarktes

Im vergangenen Jahr haben viele Finanzdienstleister den digitalen Fernzugriff erweitert, um der Nachfrage der Nutzer gerecht zu werden. Dies hat jedoch die digitale Angriffsfläche vergrößert und Möglichkeiten für Betrüger geschaffen. Der US-Finanzdienstleistungssektor hat digitale Identitätstechnologien langsamer eingeführt als einige andere Regionen, was auf die Herausforderungen bei der Regulierung der Interoperabilität und des Datenaustauschs zurückzuführen sein könnte. Dennoch, mit synthetischen Identitätsbetrugs bis 2030 Verluste in Höhe von mindestens 23 Milliarden Dollar zu erwarten sindsteigt der Druck von allen Seiten. Die Verbraucher erwarten, dass sie aus der Ferne schnell und einfach Konten eröffnen und Dienstleistungen in Anspruch nehmen können, während Betrüger die Sicherheit über Online-Kanäle untergraben und Geld abzweigen. Gleichzeitig besteht die ernste Gefahr, dass die Vorschriften zur Kundenidentifizierung (Know Your Customer - KYC) und zur Bekämpfung der Geldwäsche (Anti Money Laundering - AML) nicht eingehalten werden. Die Strafen hierfür umfassen hohe Geldstrafen und möglicherweise sogar Strafverfahren. Außerdem besteht ein erhöhtes Risiko der Umgehung von Sanktionen und der Finanzierung von staatlichen Gegnern. Als Reaktion darauf sehen sich viele Finanzinstitute gezwungen, Maßnahmen zu ergreifen. Dazu gehört, dass sie umständliche Onboarding-Prozesse ersetzen und veraltete Authentifizierungsmethoden wie Passwörter und Passcodes durch fortschrittliche Technologien ersetzen, um bestehende Online-Banking-Kunden aus der Ferne zu aktivieren und zu authentifizieren.

Einer der Spitzenreiter ist die biometrische Verifizierungstechnologie für das Gesicht, die den Kunden einen unübertroffenen Komfort und Zugang bietet, gleichzeitig aber für Angreifer eine unübertroffene Sicherheitsherausforderung darstellt. Immer mehr Finanzinstitute werden erkennen, wie die biometrische Verifizierung den positiven Einfluss der Technologie auf das Gleichgewicht zwischen Sicherheit und Kundenerlebnis umgestalten und neu definieren wird, und werden den Wechsel vollziehen.

2. Die Zahl der Entwicklungsländer, die digitale Identitätsprogramme auf der Grundlage dezentraler Identitäten aufbauen, wird rapide ansteigen.

Schätzungsweise 850 Millionen Menschen weltweit haben keine legale Form der IdentifizierungOhne Identität haben die Menschen Schwierigkeiten, ein Bankkonto zu eröffnen, einen Arbeitsplatz zu finden und Zugang zur Gesundheitsversorgung zu erhalten, wodurch sie finanziell ausgegrenzt werden. Programme zur digitalen Identität verbessern den Zugang zu digitalen Diensten und Möglichkeiten. Sie ermöglichen es den Menschen, sich auszuweisen, auf Online-Plattformen zuzugreifen und an digitalen Regierungsinitiativen teilzunehmen. Unterstützt durch Investitionen aus Mitteln der Weltbank können digitale Identitätsprogramme weniger fortgeschrittenen Volkswirtschaften dabei helfen, Identitätsdiebstahl und -betrug zu verhindern, und eine alternative Möglichkeit bieten, ihre Identität nachzuweisen und Zugang zu wichtigen Dienstleistungen wie Sozialleistungen, Gesundheitsversorgung und Bildung zu erhalten. Basierend auf einer dezentralen Identität ermöglichen diese Programme den Nutzern die digitale Speicherung und den Austausch von Identitätsdokumenten (z. B. Führerschein) und Zeugnissen (z. B. Diplome) sowie die Authentifizierung ohne eine zentrale Behörde. Eine dezentralisierte Identität gibt dem Benutzer die Kontrolle, indem sie ihm erlaubt, seine Identität in einem verteilten Ansatz zu verwalten. Sie bieten die Bequemlichkeit, die Endnutzer heute verlangen, und eröffnen bisher benachteiligten oder ausgegrenzten Personen wichtige Wege zum Zugang zu Finanz- und Sozialdienstleistungen.

3. Videoanrufe aus der Ferne zur Überprüfung der Identität werden verboten

Bei derVideoanrufverifizierung wird ein Videoanruf zwischen dem Nutzer und einem geschulten Mitarbeiter geführt. Der Nutzer wird gebeten, ein Ausweisdokument hochzuhalten, und der Operator gleicht es mit seinem Gesicht ab. Es hat sich jedoch gezeigt, dass die Verifizierung von Videoanrufen nur wenig Gewähr dafür bietet, dass es sich bei dem Endnutzer um eine "lebende" Person handelt und nicht um ein künstliches Bild, das von einer künstlichen Intelligenz erzeugt und dem Gesicht des Bedrohungsakteurs überzeugend überlagert wurde.

Zum Beispiel, iIm Jahr 2022 gelang es Forschern des Chaos Computer Club mit Hilfe generativer KI und einer gefälschten ID die Technologie zur Überprüfung von Videoanrufen zu umgehen. Der Fall zeigte, dass diese Technologie und die menschlichen Bediener, auf die sie angewiesen ist, sehr anfällig für Angriffe mit synthetischen Bildern sind. Das deutsche Bundesamt für Sicherheit in der Informationstechnik hat seither vor der Videoanrufverifikation gewarnt, weil sie anfällig für solche Angriffe ist.

Wenn digitale Identitätsprogramme nicht in der Lage sind, die Bedrohung durch Fälschungen beim Onboarding und bei der Authentifizierung abzuwehren, werden sie für kriminelle Zwecke wie Zahlungsbetrug, Geldwäsche und Terrorismusfinanzierung ausgenutzt werden. Daher werden die Regulierungsbehörden für Finanzdienstleistungen versuchen, Methoden zur Verifizierung von Videoanrufen zu verbieten, mit der Anweisung, zuverlässigere Methoden zu wählen, die auf einer Kombination aus automatisiertem KI-Abgleich und Liveness Detection mit menschlicher Überwachung des maschinellen Lernprozesses basieren.

4. Unternehmen werden die gegenseitige Authentifizierung zwischen Mitarbeitern für risikoreiche Kommunikation und das Remote-Onboarding neuer Mitarbeiter einführen 

Da sich Unternehmen bei der vertraulichen Kommunikation zunehmend auf digitale Mittel verlassen, ist die Notwendigkeit robuster Cybersicherheitsmaßnahmen zur Risikominderung von größter Bedeutung. Die Einführung der gegenseitigen Authentifizierung für risikoreiche Kommunikation und Transaktionen ist eine entscheidende Sicherheitsmaßnahme, die einen zusätzlichen Schutz vor unbefugtem Zugriff und potenziellen Bedrohungen bietet. Darüber hinaus ist in bestimmten Branchen die Einhaltung gesetzlicher Vorschriften die Voraussetzung für die Implementierung robuster Sicherheitsmaßnahmen. Die gegenseitige Authentifizierung hilft Unternehmen, diese Compliance-Anforderungen zu erfüllen, indem sie ihr Engagement für sichere Kommunikationskanäle und den Schutz sensibler Informationen demonstriert.

5. Datenschutzverletzungen in Unternehmen werden sich aufgrund erfolgreicher KI-generierter Angriffe verdreifachen

Seit einigen Jahren verlassen sich Unternehmen und Privatpersonen darauf, Phishing-E-Mails anhand von Rechtschreib- und Grammatikfehlern zu erkennen. Diese Zeit ist nun vorbei. Die Qualität von Chat GPT ist so gut, dass Bedrohungsakteure es jetzt nutzen können, um hochwertige Phishing-Angriffe in sehr überzeugenden Mitteilungen ohne verdächtige Hinweise zu generieren. Folglich werden 2024 sowohl die Qualität als auch der Umfang von KI-generierten Phishing-Angriffen akut ansteigen. Sicherheitsschulungen werden überflüssig, und Unternehmen werden gezwungen sein, nach alternativen und zuverlässigeren Methoden zu suchen, um sowohl interne als auch externe Nutzer ihrer Plattformen zuverlässig zu authentifizieren.

6. Crime-as-a-Service Sprach- und Video-Synthese-Kits werden die Grenze von unter 100 Dollar durchbrechen 

Crime-as-a-Service und die Verfügbarkeit von Online-Tools beschleunigen die Entwicklung der Bedrohungslandschaft und ermöglichen es Kriminellen, fortschrittliche Angriffe schneller und in größerem Umfang zu starten. Wenn Angriffe erfolgreich sind, nehmen sie rasch an Umfang und Häufigkeit zu, was das Risiko eines schweren Schadens erhöht.

Bösewichte nutzen hochentwickelte generative KI-Technologien, um Angriffe zu erstellen und zu starten, mit denen sie die Sicherheitssysteme von Unternehmen ausnutzen und Privatpersonen betrügen können. iProov hat ähnliche Anzeichen dafür beobachtet, dass auch weniger qualifizierte Kriminelle in der Lage sind, fortgeschrittene Angriffe mit synthetischen Bildern zu erstellen und zu starten. In unserem jüngsten Bericht über biometrische Bedrohungenhaben wir das Aufkommen und die rasche Zunahme neuartiger Video-Gesichtstausche beobachtet. Gesichtsvertauschungen sind eine Form synthetischer Bilder, bei der der Angreifer mehr als ein Gesicht verändert, um eine neue gefälschte 3D-Videoausgabe zu erstellen.

Die Kosten für die Ressourcen, die zur Durchführung von Angriffen benötigt werden, sinken, und wir gehen davon aus, dass Crime-as-a-Service-Kits unter 100 Dollar fallen werden.

7. Angesichts des Potenzials der KI zur Verbreitung politischer Desinformation wird die authentische Urheberschaft von Bildern und schriftlichen Inhalten zu einem gesetzlich vorgeschriebenen Instrument werden 

Im Vorfeld der Wahlen wird es eine Fülle von KI-generierten Deepfake-Videos geben, mit denen die Wähler überzeugt werden sollen. Um dem entgegenzuwirken, werden Technologieunternehmen auf breiter Front Möglichkeiten anbieten, um die Echtheit der von ihnen hochgeladenen Bilder zu überprüfen. Zum Beispiel Lösungen, die es ermöglichen, die Bilder mit Wasserzeichen zu versehen und sie zu signieren, wenn sie erstellt oder verändert werden.

Im Jahr 2024 wird es wahrscheinlich viele Versuche in diesem Bereich geben, da die Verwendung von Fälschungen so weit verbreitet ist. Es wird eine Voraussetzung dafür sein, dass jeder Inhalt, der Bilder verwendet, eine Möglichkeit bietet, ihre Echtheit zu gewährleisten, und wenn dies nicht der Fall ist, werden diese Bilder abgewertet.

8. Ein KI-generierter Zoom-Anruf wird zum ersten milliardenschweren CEO-Betrug führen 

Täglich sind mindestens 400 Unternehmen Ziel von CEO-Betrug und stellt eine erhebliche Bedrohung für Organisationen weltweit dar. Bei dieser Art von Kriminalität geben sich die Angreifer als leitende Angestellte aus und versuchen, Mitarbeiter zur Überweisung von Geldern, zur Weitergabe sensibler Informationen oder zur Einleitung anderer betrügerischer Aktivitäten zu verleiten. Oft handelt es sich um ausgeklügelte Social-Engineering-Angriffe, die schwer zu entdecken sind. Generative KI-Tools werden inzwischen von Betrügern in großem Umfang zur Erstellung von Deepfakes eingesetzt, um eine Person zu imitieren. Bösewichte können jetzt überzeugende KI-generierte Audio- und Bilddateien erstellen und diese auf Plattformen wie Zoom, Microsoft Teams und Slack einsetzen. Ohne ausgefeilte Überwachungs- und Erkennungstools ist es fast unmöglich, diese Art von synthetischem Bildmaterial zu erkennen. Wir erwarten daher, dass ein KI-generierter Zoom-Anruf im Jahr 2024 zum ersten milliardenschweren CEO-Betrug führen wird.