Laut Gartner, Inc. werden Angriffe mit KI-generierten Deepfakes auf Gesichtsbiometrie bis 2026 dazu führen, dass 30 % der Unternehmen solche Identitätsprüfungs- und Authentifizierungslösungen isoliert nicht mehr als zuverlässig betrachten.
„Im letzten Jahrzehnt gab es in den Bereichen der KI mehrere Wendepunkte, die die Erstellung synthetischer Bilder ermöglichten. Diese künstlich erzeugten Bilder von Gesichtern echter Menschen, sogenannte Deepfakes, können von böswilligen Akteuren verwendet werden, um die biometrische Authentifizierung zu untergraben oder sie ineffizient zu machen“, sagte Akif Khan , VP Analyst bei Gartner. „Infolgedessen beginnen Unternehmen möglicherweise, die Zuverlässigkeit von Lösungen zur Identitätsprüfung und -authentifizierung in Frage zu stellen, da sie nicht erkennen können, ob es sich bei dem Gesicht der zu verifizierenden Person um eine lebende Person oder um eine Fälschung handelt.“
Identitätsüberprüfungs- und Authentifizierungsprozesse mithilfe von Gesichtsbiometrie basieren heute auf der Erkennung von Präsentationsangriffen (PAD), um die Lebendigkeit des Benutzers zu beurteilen. „Aktuelle Standards und Testprozesse zur Definition und Bewertung von PAD-Mechanismen decken keine Digital-Injection-Angriffe unter Verwendung der KI-generierten Deepfakes ab, die heute erstellt werden können“, sagte Khan.
Untersuchungen von Gartner ergaben, dass Präsentationsangriffe der häufigste Angriffsvektor sind, aber Injektionsangriffe haben im Jahr 2023 um 200 % zugenommen. Um solche Angriffe zu verhindern, ist eine Kombination aus PAD, Erkennung von Injektionsangriffen (Injection Attack Detection, IAD) und Bildinspektion erforderlich.
Kombinieren Sie IAD- und Bildinspektionstools, um Deepfake-Bedrohungen abzuwehren
Um Unternehmen dabei zu unterstützen, sich über die Gesichtsbiometrie hinaus vor KI-generierten Deepfakes zu schützen, müssen Chief Information Security Officers (CISOs) und Risikomanagementleiter Anbieter auswählen, die nachweisen können, dass sie über die Fähigkeiten und einen Plan verfügen, der über die aktuellen Standards hinausgeht.
„Organisationen sollten damit beginnen, eine Mindestbasis an Kontrollen zu definieren, indem sie mit Anbietern zusammenarbeiten, die speziell in die Abwehr der neuesten Deepfake-basierten Bedrohungen mithilfe von IAD in Verbindung mit Bildinspektion investiert haben“, sagte Khan.
Sobald die Strategie definiert und die Grundlinie festgelegt ist, müssen CISOs und Risikomanagementleiter zusätzliche Risiko- und Erkennungssignale wie Geräteidentifikation und Verhaltensanalysen einbeziehen, um die Chancen der Erkennung von Angriffen auf ihre Identitätsüberprüfungsprozesse zu erhöhen.
Vor allem Sicherheits- und Risikomanagementverantwortliche, die für das Identitäts- und Zugriffsmanagement verantwortlich sind, sollten Maßnahmen ergreifen, um die Risiken von KI-gesteuerten Deepfake-Angriffen zu mindern, indem sie Technologien auswählen, die echte menschliche Präsenz nachweisen können, und indem sie zusätzliche Maßnahmen implementieren, um eine Kontoübernahme zu verhindern.
www.gartner.com