KI-Stimmenklonen erfordert Überdenken der Risikobewertung

Die neue Grenze des Social Engineering: Warum KI-Stimmklonen ein Umdenken im Underwriting erfordert

Anfang März 2025 veröffentlichte der Sicherheitsforscher Michal Koczwara einen Bedrohungsbericht, der eine ausgeklügelte Phishing-Kampagne detailliert beschreibt, bei der KI-generierte Stimmklone eingesetzt wurden, um die Multi-Faktor-Authentifizierung (MFA) bei drei Fortune-500-Unternehmen zu umgehen. Die Angreifer verwendeten öffentlich zugängliche Audio-Clips aus Telefonkonferenzen von Führungskräften, um überzeugende Stimm-Deepfakes zu erstellen. Anschließend riefen sie die IT-Helpdesks an, um Passwortzurücksetzungen und die erneute Registrierung von MFA-Geräten zu beantragen. Innerhalb von 72 Stunden hatte die Kampagne über 1.200 Konten kompromittiert und sensible Finanzdaten exfiltriert. Für die Versicherungsbranche ist dies nicht nur ein weiterer Angriffsvektor – es ist ein Signal, dass die Grenze zwischen Social Engineering und technischem Betrug so weit verschwommen ist, dass traditionelle Policensprache und Risikomodelle sofort nachjustiert werden müssen.

Was geschah: Die Anatomie eines Stimm-Deepfake-Angriffs

Koczwaras Bericht, veröffentlicht am 8. März 2025, dokumentiert eine gezielte Kampagne, die mit Aufklärung begann. Die Angreifer durchsuchten LinkedIn, YouTube und Aufzeichnungen von Unternehmens-Telefonkonferenzen, um Stimmprofile von Führungskräften zu erstellen. Mit handelsüblichen generativen KI-Tools synthetisierten sie Sätze wie „Ich brauche einen neuen Token – mein Telefon wurde gestohlen“ und „Setzen Sie meine VPN-Anmeldedaten zurück, ich bin bei einem Kunden vor Ort.“ Die Anrufe erfolgten außerhalb der Hauptgeschäftszeiten an die Helpdesks, wobei Zeitzonenunterschiede ausgenutzt wurden, um die Wahrscheinlichkeit einer Rückfrage zu verringern.

Die Angreifer waren erfolgreich, weil die Stimmklone für menschliche Zuhörer nicht von den echten Führungskräften zu unterscheiden waren. In zwei der drei Vorfälle befolgten die Helpdesk-Mitarbeiter die üblichen MFA-Reset-Verfahren, aber die Angreifer hatten die Einmalpasswörter bereits durch SIM-Swapping auf den Telefonnummern der Führungskräfte abgefangen. Der dritte Vorfall betraf einen rein sprachgesteuerten Reset-Prozess, der keinen sekundären Kanal erforderte. Insgesamt führte die Kampagne zu unbefugtem Zugriff auf 1.247 Konten, darunter 89 privilegierte Konten mit Zugang zu Cloud-Infrastrukturen und Zahlungssystemen.

Die finanziellen Auswirkungen beliefen sich laut Angaben der betroffenen Unternehmen auf 4,2 Millionen US-Dollar durch direkte betrügerische Überweisungen, 1,8 Millionen US-Dollar für forensische und Sanierungskosten sowie geschätzte 6,5 Millionen US-Dollar Betriebsunterbrechungsverluste aufgrund von Systemsperrungen. Diese Zahlen decken sich mit der Cyber Claims Study 2024 eines großen Versicherers, die ergab, dass Social-Engineering-Betrug mittlerweile 38 % aller Cyberversicherungs-Schadenfälle nach Häufigkeit ausmacht, mit einer durchschnittlichen Schadenhöhe von über 500.000 US-Dollar pro Vorfall.

Warum dies für die Versicherungswirtschaft relevant ist: Deckungslücken und Schadenhäufigkeit

Der Stimm-Deepfake-Angriff offenbart eine kritische Deckungslücke in vielen gewerblichen Cyberversicherungspolicen. Die meisten Policen unterscheiden zwischen „Computerbetrug“ (unbefugter Zugriff auf ein Computersystem) und „Social-Engineering-Betrug“ (Täuschung einer Person, um eine Überweisung zu autorisieren). Der von Koczwara beschriebene Angriff liegt in einer Grauzone: Der Erstzugriff erfolgte durch Social Engineering (der Sprachanruf), aber die anschließenden Überweisungen wurden über kompromittierte Anmeldedaten autorisiert, mit denen sich die Angreifer in Bankportale einloggten. Je nach Policensprache könnte ein Versicherer die Deckung für die Überweisung unter einer Social-Engineering-Sublimit ablehnen oder ganz ausschließen, wenn die Police einen direkten Computereingriff voraussetzt.

Im Jahr 2024 entschied ein US-Bezirksgericht im Fall Medidata Solutions gegen Zurich American Insurance, dass ein ähnlicher Hybridangriff – Phishing gefolgt von Missbrauch von Anmeldedaten – unter Computerbetrug fällt, da der Angreifer letztlich ein Computersystem nutzte, um die Überweisung durchzuführen. Das Urteil war jedoch eng gefasst und sachverhaltsspezifisch. Underwriter stehen nun vor der Herausforderung, Policen zu bewerten, die verfasst wurden, bevor KI-Stimmklonen eine praktische Bedrohung darstellte. Der Koczwara-Bericht unterstreicht, dass die Häufigkeit solcher Hybridangriffe zunehmen wird – und damit auch die Zahl der strittigen Schadenfälle.

Für Rückversicherer und Versicherer ist die Datenlage ernüchternd: Die durchschnittliche Erkennungszeit für einen Stimm-Deepfake-Social-Engineering-Angriff beträgt 19 Tage, verglichen mit 3 Tagen bei traditionellem Phishing, so eine Branchenstudie aus dem Jahr 2025. Diese Verzögerung erhöht das Potenzial für Kaskadenverluste – mehr kompromittierte Konten, mehr exfiltrierte Daten und mehr betrügerische Transaktionen. Die Schadenhöhe ist in diesen Fällen 2,7-mal höher als bei herkömmlichen Social-Engineering-Schadenfällen, was auf die Fähigkeit der Angreifer zurückzuführen ist, dauerhaften Zugriff aufrechtzuerhalten.

Technische Details in verständlicher Sprache: Wie der Angriff funktioniert

Aus technischer Sicht ist die Angriffskette täuschend einfach. Die von den Angreifern verwendeten KI-Stimmklonmodelle benötigten nur 30–60 Sekunden sauberes Audio, um einen überzeugenden Klon zu erzeugen. Tools wie ElevenLabs und Resemble AI haben diese Fähigkeit für unter 50 US-Dollar pro Monat zugänglich gemacht. Die Angreifer mussten MFA nicht im herkömmlichen Sinne umgehen – sie nutzten das menschliche Element des MFA-Reset-Prozesses aus.

Sobald der Helpdesk den MFA-Token zurückgesetzt hatte, konnte der Angreifer sein eigenes Gerät registrieren. Von dort aus nutzten sie das kompromittierte Konto, um über standardmäßige IT-Ticketingsysteme privilegierten Zugriff zu beantragen – wiederum mit Stimmklonen, um die Anfragen zu genehmigen. Der Bericht stellt fest, dass keines der betroffenen Unternehmen über Sprachverifikationsprotokolle hinausgehende Sicherheitsfragen verwendete, die die Angreifer ebenfalls durch frühere Datenlecks erlangt hatten (z. B. „Wie hieß Ihr erstes Haustier?“ aus einem LinkedIn-Datenleck von 2023).

Die geschäftliche Implikation ist klar: MFA reicht nicht mehr aus, wenn der Reset-Prozess durch Social Engineering manipuliert werden kann. Underwriter und Risikoingenieure müssen nicht nur bewerten, ob ein Kunde MFA einsetzt, sondern auch, ob das MFA-Lebenszyklusmanagement eine bandexterne Verifikation umfasst – beispielsweise einen Rückruf auf eine vorregistrierte Nummer oder einen physischen Token, der nicht remote zurückgesetzt werden kann.

Auswirkungen auf Deckung und Underwriting

Der Koczwara-Bericht sollte Underwriter veranlassen, mehrere Policenbestimmungen zu überprüfen:

• Social-Engineering-Betrug-Sublimits: Viele Policen deckeln Social-Engineering-Schadenfälle auf 250.000 oder 500.000 US-Dollar. Angesichts der Tatsache, dass der durchschnittliche Verlust in den gemeldeten Vorfällen 12 Millionen US-Dollar überstieg, könnten Kunden mit hohem Umsatz oder großen Barreserven erheblich unterversichert sein. Underwriter sollten erwägen, höhere Sublimits oder eigenständige Social-Engineering-Deckungen für Kunden mit starken Sprachverifikationskontrollen anzubieten.

• Definition von „berechtigtem Benutzer“: Einige Policen schließen Verluste aus, die durch einen „berechtigten Benutzer“ unter Zwang verursacht werden. Ein Stimmklon, der einen berechtigten Benutzer imitiert, könnte unter diesen Ausschluss fallen, wenn die Police „berechtigten Benutzer“ nicht explizit als Menschen definiert. Versicherer sollten die Formulierung klarstellen, um Deepfake-Identitätsdiebstahl abzudecken.

• MFA-Anforderungen: Standardmäßige Underwriting-Fragebögen fragen nach der MFA-Einführung, aber selten nach MFA-Reset-Verfahren. Der Bericht deutet darauf hin, dass Organisationen mit automatisierten Self-Service-MFA-Resets 4,6-mal häufiger von einem Stimm-Deepfake-Kompromittierungsfall betroffen sind als solche, die eine Manager-Genehmigung und Rückrufverifikation erfordern. Underwriter sollten spezifische Fragen zu Reset-Workflows hinzufügen.

• Schadenbearbeitung: Wenn ein Kunde einen Social-Engineering-Schadenfall mit Sprachbeteiligung meldet, sollten Schadensregulierer sofort die Anrufaufzeichnungen anfordern und mit bekannten Sprachproben des angeblichen Anrufers vergleichen. Digitale Forensikunternehmen bieten mittlerweile Stimm-Deepfake-Erkennungsdienste an, die synthetisches Audio mit 92-prozentiger Genauigkeit identifizieren können. Eine frühzeitige Erkennung kann die Auszahlung reduzieren, indem der Umfang des Angriffs begrenzt wird.

Handlungsempfehlungen für Makler, CISOs und Risikoingenieure

Für Makler, die Kunden bei der Deckungsplatzierung beraten, besteht die wichtigste Empfehlung darin, eine Policen-Lückenanalyse durchzuführen, die sich auf hybride Social-Engineering-technische Angriffe konzentriert. Verwenden Sie ein Framework wie das FAIR-Modell, um das potenzielle Verlustrisiko aus Stimm-Deepfake-Szenarien zu quantifizieren. Das FAIR-Risikobericht-Tool von Resiliently kann helfen, technische Bedrohungsdaten in finanzielle Risikoschätzungen zu übersetzen, die Underwriter direkt bewerten können.

CISOs sollten die Härtung von MFA-Reset-Prozessen priorisieren. Implementieren Sie eine bandexterne Verifikation für alle MFA-Resets, z. B. die Genehmigung durch einen Vorgesetzten über einen separaten Kommunikationskanal oder die Verwendung eines Hardware-Tokens, der nicht remote ersetzt werden kann. Führen Sie regelmäßige Red-Team-Übungen durch, die Stimm-Deepfake-Szenarien einschließen, um Helpdesk-Verfahren zu testen. Integrieren Sie Sprachauthentifizierungslösungen, die Stimmbiomarker und Verhaltensmuster analysieren, nicht nur statische Stimmabdrücke.

Risikoingenieure sollten ihre Bewertungschecklisten um Stimmklon-Angriffsvektoren ergänzen. Bewerten Sie, ob Kunden Richtlinien haben, die Rückrufe auf vorregistrierte Nummern für sensible Anfragen vorschreiben. Überprüfen Sie Incident-Response-Pläne, um sicherzustellen, dass sie Schritte zur Isolierung kompromittierter Konten und zur Sicherung von Audio-Beweisen für forensische Analysen enthalten. Erwägen Sie die Empfehlung von Cyberversicherungs-Endorsements, die Verluste aus Deepfake-Identitätsdiebstahl explizit abdecken.

Die Versicherungsbranche hat ein Zeitfenster, um sich anzupassen, bevor Stimm-Deepfake-Angriffe zur Routine werden. Durch die Aktualisierung der Policensprache, die Verfeinerung von Underwriting-Fragebögen und Investitionen in Erkennungsfähigkeiten können Versicherer Deckungsstreitigkeiten reduzieren und eine genaue Preisgestaltung aufrechterhalten. Der Koczwara-Bericht ist eine deutliche Warnung: Die Werkzeuge zum Stimmklonen sind billig, effektiv und bereits im Einsatz. Underwriter, die dieses Signal ignorieren, werden mit steigenden Schadenfällen und unzufriedenen Kunden konfrontiert. Diejenigen, die jetzt handeln, werden ihre Portfolios und ihren Ruf stärken.