KI-generierte Bilder, Videos und Stimmen sind kaum noch von der Realität zu unterscheiden. Betrugsexperte Artem Popov erklärt, wo die größten Gefahren lauern – und wie sich jeder schützen kann. Ein kurzer Videoclip auf dem Handy, ein Anruf des vermeintlichen Chefs, eine fingierte Sprachnachricht vom Enkel in Not: Was vor wenigen Jahren noch nach Science-Fiction klang, ist heute Alltag im Internet. Mit KI lassen sich Gesichter, Stimmen und sogar Dokumente so echt fälschen, also sogenannte Deep Fakes erstellen, dass selbst Profis ins Zweifeln geraten. Artem Popov beschäftigt sich seit mehr als zehn Jahren beruflich damit, Betrug im Netz zu erkennen und abzuwehren. Im Gespräch mit t-online erklärt der Experte, warum Deutschland für Kriminelle besonders attraktiv ist, welche einfachen Regeln jeden schützen und warum die wahre Schwachstelle nicht die Technik ist. t-online: Herr Popov, h ätten Sie die technischen Mittel, mit einem Deep Fake von mir ein Bankkonto zu eröffnen? Das kommt darauf an, wie gut die Bank geschützt ist und welche Regeln in dem jeweiligen Land gelten. In vielen Fällen wären Sie wahrscheinlich sicher, weil es Sicherheitstests und Prüfungen gibt, die solche Lücken aufdecken sollen. Aber Banken sind als Branche eher traditionell und setzen Schutzmaßnahmen oft langsamer um, als Betrüger neue Technik nutzen. Wer auf der Höhe der Zeit ist, kann in Einzelfällen dann schon Wege hineinfinden. Das beruhigt jetzt nicht ganz. Ich verstehe das. Aber die Realität ist: Ein sehr kleiner Prozentsatz sehr starker Hacker kann viele Systeme umgehen. Für 99,9 Prozent aller Versuche reicht der Schutz aus. Und unser Job besteht darin, Betrug so teuer und technisch aufwendig wie möglich zu machen. Für die meisten Kriminellen lohnt sich der Aufwand aber ohnehin nicht. Sie entlarven Fälschungen beruflich. Hat das Ihren Blick aufs Internet verändert? Auf jeden Fall. Wann immer eine neue Technologie auftaucht, sind Betrüger oft die Ersten, die sie einsetzen. Weil wir seit zehn Jahren mit Identitätsprüfung und Betrugsversuchen arbeiten, sehen wir viele Trends, bevor die Öffentlichkeit überhaupt davon weiß. Im vergangenen Jahr zum Beispiel sind Deep Fakes so gut geworden, dass sie auch Texte fälschen können – etwa Quittungen oder Dokumente. Schon wenige Tage, nachdem diese Technik öffentlich verfügbar war, sahen wir einen Anstieg der Betrugsversuche damit. Wie gehen Betrüger vor, wenn sie mit einem Deep Fake eine Identitätsprüfung umgehen? Bei einer Online-Identitätsprüfung macht man ja normalerweise zwei Dinge: Sie senden ein Selfie und zeigen ein Ausweisdokument mit Ihrem Gesicht. Das System gleicht dann die Daten und die Gesichter ab. Betrüger versuchen, eines davon oder beides zu fälschen. Manchmal erfinden sie sogar eine komplette Kunstfigur, die es gar nicht gibt. Das Ziel ist Anonymität: Sie wollen keine Spur zur echten Person hinterlassen. Wie genau gehen Sie dann dagegen vor? Wir setzen an mehreren Ebenen an: Zunächst prüfen wir natürlich das Bild. Aber wir schauen auch, welches Gerät benutzt wurde. Wer heute ein Deep-Fake-Bild in eine Video-Identifikation einspeisen will, braucht eine virtuelle Webcam – also eine Software, die sich als echte Kamera ausgibt. Das hinterlässt Spuren. Dazu kommt eine Verhaltensanalyse: Wir erkennen, wenn jemand Dinge tut, die ein echter Kunde normalerweise nicht tut. Was können Menschen ohne technische Hilfsmittel tun, um sich zu schützen? Die wichtigste Regel lautet: doppelt prüfen. Wenn Sie plötzlich einen Anruf, ein Video oder eine Nachricht von einem Verwandten oder Ihrem Chef bekommen, der Geld oder sensible Informationen will, rufen Sie über einen anderen Kanal zurück. Hat jemand per Messenger angerufen? Nehmen Sie das Telefon und rufen Sie die normale Nummer an. Fragen Sie: Warst du das? Man kann Bilder natürlich auch genau anschauen. Worauf sollte ich dann achten? Verräterisch sind oft Kleinigkeiten: Verzerrungen am Rand des Gesichts, seltsame Hintergründe, unnatürliche Details. Aber seien wir ehrlich: Beim flüchtigen Scrollen am Abend hat kaum jemand diese Aufmerksamkeit. Wir müssen davon ausgehen, dass Deep Fakes ohne technische Hilfe immer schwerer zu erkennen sein werden. Wenn diese Technik immer besser wird – warum funktionieren Betrugsmaschen trotzdem? Rund 80 Prozent aller Betrugsfälle zielen auf Personen ab, nicht auf technische Systeme. Wenn Kriminelle technisch nicht weiterkommen, versuchen sie einfach, den Menschen auszutricksen. Das war schon immer so. Eine Nachricht vom angeblichen Chef – "Bitte überweisen Sie jetzt, sonst sind Sie gefeuert" – hat auch früher schon ohne Deep Fakes funktioniert. Jetzt ist es nur raffinierter und viel glaubhafter. Deshalb müssen wir als Gesellschaft vor allem in Aufklärung investieren. Der Mensch ist und bleibt die größte Schwachstelle. Müssen sich die Nutzer selbst schützen oder sind die Plattformen in der Pflicht? Alle zusammen. Einzelne müssen vorsichtig bleiben und Identitäten gegenprüfen. Plattformen haben aber Mittel, die der Einzelne nicht hat. Würden wir uns jetzt per Videokonferenz unterhalten, wäre es doch hilfreich, wenn die Software selbst erkennt und anzeigt: Achtung, hier wird eine Deep-Fake-Technik eingesetzt. Gerade Bewerbungsgespräche sind inzwischen ein häufiges Einfallstor für Betrüger, die sich als jemand anderes ausgeben. Eine solche Warnung wäre sehr wertvoll. Sie ersetzt aber nicht die persönliche Vorsicht. Elf Prozent aller Betrugsversuche arbeiten Ihrem Bericht zufolge inzwischen mit Deep Fakes. Der Trend zeigt klar nach oben. Wie steht Deutschland im internationalen Vergleich da? Europa und Deutschland waren beim Thema Regulierung immer ganz vorn. Die Menge an Betrug ist in der EU deshalb geringer als in vielen anderen Regionen der Welt, weil hier mehr Schutz greift. Aber es gibt eine Besonderheit: Gerade weil wir wirtschaftlich stark sind, ist die mögliche Beute sehr hoch. Deshalb ist Deutschland ein attraktives Ziel für besonders ausgeklügelte Betrugsmaschen. Die Menge an Betrug ist kleiner, die Belohnung für die Täter aber deutlich größer. Sollte KI-generierter Inhalt per Gesetz gekennzeichnet werden? Das ist eine schwierige Frage. Jede zusätzliche Vorschrift bedeutet Kosten für Unternehmen und am Ende zahlen das die Kunden. Die Frage ist für mich also nicht, ob wir so etwas einführen, sondern wie wir es so machen, dass es für Unternehmen, Plattformen und Nutzer funktioniert. Eine einfache Antwort habe ich darauf nicht. Vieles von dem, was Sie schildern, klingt beunruhigend. Geben Sie uns bitte drei Gründe, warum wir trotzdem optimistisch bleiben dürfen. Erstens: Europa handelt. Die EU hat den AI Act, Dänemark erlässt Gesetze zu Deep Fakes, Großbritannien hat den Online Safety Act. Das sind echte regulatorische Fortschritte. Zweitens: Es gibt technische Lösungen. Signaturen für echte Inhalte, mehr Schutzschichten der Plattformen, bessere Aufklärung. Und drittens: Die Menschheit hat schon viele technologische Revolutionen überstanden. Beim Internet war es dasselbe: erst Begeisterung, dann Missbrauch, dann Anpassung. Ja, das Risiko, Opfer einer Täuschung zu werden, ist gestiegen. Aber Menschen finden immer einen Weg, sich anzupassen. Herr Popov, vielen Dank für das Gespräch.
3 tage vor
