Die Nachricht schien direkt von Benedetto Vigna persönlich zu kommen. „Haben Sie schon von der großen Akquise gehört, die wir planen“, meldete sich der Vorstandschef von Ferrari per Kurznachricht bei einem seiner hochrangigen Mitarbeiter. „Ich könnte Ihre Hilfe brauchen“, schrieb der Absender und bat um ein – wegen der Brisanz der Materie – streng vertrauliches Telefonat. Wenig später meldete sich ein Anrufer mit dem vertraut süditalienischen Akzent des Ferrari-Chefs telefonisch bei seinem Kollegen.

„Es geht um ein Geschäft, das auf einige Probleme im Zusammenhang mit China stoßen könnte“, offenbarte der Mann am Telefon und ergänzte, „die italienische Marktaufsicht und die Mailänder Börse wurden bereits informiert.“ Um mit dem Deal voranzukommen, sei nun eine spezielle Transaktion zur Währungsabsicherung, so erläuterte Vignas Stimme am Telefon, nötig. Die möge der Angerufene kurzfristig in die Wege leiten.

Das beschriebene Szenario – der Chef ruft an und fordert einen Mitarbeiter auf, kurzfristig und hoch vertraulich eine nennenswerte Summe für ein streng geheimes Firmenprojekt an einen Dritten zu überweisen – lässt bei Sicherheitsexperten alle Alarmsirenen aufheulen. „Fake-CEO-Fraud“, zu Deutsch „Falscher-Chef-Betrug“, heißt die Masche, mit der Kriminelle seit Jahren immer wieder Millionensummen erbeuten. Im Fall von Ferrari hatte die Attacke, von der das US-Magazin „Bloomberg“ vor wenigen Tagen erstmals berichtete, eine besondere Qualität.

Offenbar setzten die Cyberkriminellen beim versuchten Ferrari-Betrug auf künstliche Intelligenz, um die Stimme des vermeintlichen Chefs und dessen charakteristischen Dialekts bei einem Telefonat nachzuahmen, nachdem sie das Gespräch zunächst per Messenger-Chat angebahnt hatten.

Exklusiv bei XING: 6 Wochen die WirtschaftsWoche kostenlos lesen

Möglich machen solche Klon-Stimmen Anwendungen wie beispielsweise Vall-E, Resemble oder TorToiSe. Das sind KI-Systeme, die menschliche Stimmen auf Basis kurzer, teils nur wenige Sekunden langer Tonschnipsel analysieren und dann künstlich nachbilden können. Was ihnen die Programmierer per Texteingabe vorgeben, sprechen die Maschinen dann vielfach so täuschend echt nach, dass nicht einmal Familienangehörige auf Anhieb erkennen, ob sie eine reale Person hören oder eine synthetisch erzeugte Stimme.

Die Simulation der Sprache ist nur die jüngste Eskalation digitaler Bedrohungen gegen Unternehmen und sie fügt den KI-basierenden Angriffstaktiken der Hacker noch ein bedrohliches, weiteres Werkzeug hinzu. Schon beim Verfassen von Textnachrichten, etwa dem Versand von Phishing-E-Mails, hatten Sicherheitsexperten wie Norbert Pohlmann von der Westfälischen Hochschule in Gelsenkirchen gewarnt, wie leicht und wirkungsvoll sich mithilfe von KI-Anwendungen wie etwa ChatGPT menschliche Kommunikation nachahmen lasse. „Auch für mich als IT-Sicherheitsexperte wird es immer schwieriger, wirklich festzustellen, was ist eine Phishing-Mail und was nicht.“ Wie viel größer sind die Chancen der Hacker dann erst, wenn sich – wie nun bei Ferrari – natürlich formulierte Inhalte mit einer vertrauten Stimme paaren?

Bei der Attacke auf den Sportwagenhersteller beließen es die Angreifer zudem nicht dabei, nur die Stimme zu synthetisieren: Zwar laufen die Untersuchungen des Falles noch, doch es scheint, dass auch das Profilbild, das die Kriminellen mit dem Messenger-Account verbunden hatten, von dem aus die erste Kontaktaufnahme erfolgt war, per KI erzeugt war. Zumindest entsprach das Profilbild, das den bebrillten CEO zeigt, der in Anzug und Krawatte mit verschränkten Armen vor dem Logo des springenden Pferdes von Ferrari posierte, nicht den offiziellen Aufnahmen, die Ferrari von seinem Vorstandschef verbreitet. Doch auch da war die Täuschung, zumindest zu Beginn der Konversation, so gut, dass sich Vignas Mitarbeiter aufs Gespräch einließ.

Ferrari ist nicht der erste Fall eines derart elaborierten KI-Angriffs. Mitte Mai erst hatte Mark Read, Chef des globalen Werbenetzwerks WPP in einer E-Mail an seine Beschäftigten beschrieben, wie Hacker ihn selbst bei einer versuchten Cyberattacke aufs Unternehmen digital zu klonen versucht hatten. Basierend auf YouTube-Videos hatten die Kriminellen einen Stimmenklon erzeugt, um – ähnlich wie nun beim Fake-Telefonat bei Ferrari – täuschend echt wirkende Sprachdialoge via Teams führen zu können.

Ziel der Kriminellen war, Führungskräfte von WPP in einer Teams-Konferenz mithilfe des gefälschten Chefs dazu zu bewegen, „ein neues Unternehmen zu gründen, persönliche Daten und Geld dorthin zu übertragen“, so Read in der E-Mail. „Glücklicherweise waren die Angreifer dank der Wachsamkeit unserer Leute nicht erfolgreich.“ Warum genau der Betrug bei WPP aufflog, dazu äußerte sich Read nicht. Er mahnte aber zu steter Skepsis: „Nur weil das Konto, das zu einem Chat einlädt, mein Foto hat, heißt das noch lange nicht, dass ich es bin.“

Diese gesunde Skepsis war es wohl auch, die den Ferrari-Manager im Laufe des Telefonats mit seinem vermeintlichen CEO irgendwann stutzig werden ließ. War es tatsächlich plausibel, dass sein Chef, einen großen Deal an den üblichen Entscheidungsstrukturen des Unternehmens vorbei einzufädeln plante?

Er habe, schreibt „Bloomberg“, daraufhin bei dem Gespräch besonders scharf hingehört und kleinste atypische, „mechanisch klingende“ Töne in der Sprache wahrgenommen und die eine entscheidende Frage gestellt, die den Konzern möglicherweise vor einem Millionen-Euro-Schaden bewahrte: „Scusi, Benedetto, ma ho bisogno di identificarla“, unterbrach der Manager sein Gegenüber am Telefon, „Entschuldigen Sie, Benedetto, aber ich muss Sie identifizieren.“ Dann schob er eine Frage nach, von der er wusste, dass nur der echte CEO die Antwort kannte: „Wie lautete der Titel des Buches, das Sie mir ein paar Tage zuvor empfohlen hatten?“ Statt einer Antwort brach das Gespräch ab.

Nicht immer gibt es zwischen Gesprächspartnern so naheliegende Sachverhalte, die nur beide Seiten wissen, wie im Ferrari-Fall. Aber im Grundsatz ist die Strategie so vergleichsweise einfach wie wirksam, dass Experten wie Mikko Hyppönen sie als Sicherheitsmechanismus gegen Deep-Fake-Angriffe grundsätzlich empfehlen.

Statt sich auf die Intuition der Beteiligten zu verlassen: „Vereinbaren Sie ‚Safewords‘, Sicherheitsbegriffe, beispielsweise für alle Vorgänge, die mit Finanztransaktionen zu tun haben“, rät der Cybersicherheitsspezialist des finnischen IT-Security-Unternehmens Withsecure. Das möge sich etwas albern anhören, so Hyppönen, sei aber ein wirksamer Schutz gegen Betrugsversuche. Falle der Begriff im Gespräch nicht, dürfe kein Geld fließen. „Sicher ist sicher!“

Exklusiv bei XING: 6 Wochen die WirtschaftsWoche kostenlos lesen

Exklusiv bei XING: 6 Wochen die WirtschaftsWoche kostenlos lesen