Sora 2 – die nächste Deepfake-Welle rollt an

Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

OpenAI hat vor Kurzem die neue Version seines KI-Videogenerators vorgestellt: Sora 2. Die überarbeitete Version kann nicht nur noch realistischere Videos erzeugen, sondern auch passende Audiotracks – inklusive täuschend echter Stimmen. Besonders brisant: Die Software kann Abbilder realer Menschen integrieren. Unternehmen sollten sich darauf einstellen, dass diese Technologie bald auch in den Händen von Cyberkriminellen auftaucht. Deepfakes werden dadurch noch glaubwürdiger – und noch gefährlicher.

Video trifft Stimme – und Persönlichkeit

Die größte Neuerung: Sora 2 generiert nicht mehr nur Bilder in Bewegung, sondern auch Ton. Das System erstellt komplette Soundtracks, synchronisiert Sprache mit Lippenbewegungen und kann sogar Dialoge in verschiedenen Sprachen erzeugen. Dadurch lassen sich ganze Videos mit realistisch klingenden Sprechern oder sogar nachgebildeten Stimmen produzieren – vollautomatisch, auf Knopfdruck.

Social App mit Cameo-Funktion

Neu ist auch die Verknüpfung mit der Social-Media-App Sora, die in Aufbau und Nutzung stark an TikTok erinnert. Eine integrierte Funktion namens Cameos erlaubt es Nutzern, ihr eigenes Abbild für KI-generierte Videos freizugeben. Dafür reicht es, den eigenen Kopf aus mehreren Perspektiven zu filmen und eine kurze Zahlenfolge einzusprechen. Nach dem Hochladen kann das eigene digitale Ich dann in beliebigen KI-Videos eingesetzt werden – auch gemeinsam mit anderen Cameo-Abbildern. Den Inhalt beschreibt man einfach per Texteingabe – der Rest erledigt die KI.

Sicherheitsfunktionen – aber reichen sie aus?

OpenAI hat durchaus Schutzmechanismen eingebaut:

• Nutzer können festlegen, wer ihr Abbild verwenden darf.
• Freigaben lassen sich jederzeit widerrufen.
• Jede Nutzung des eigenen Abbilds soll künftig vor Veröffentlichung noch einmal genehmigt werden.
• Inhalte mit Prominenten, Minderjährigen oder explizitem Material sind verboten.
• Jedes generierte Video wird mit Wasserzeichen und Metadaten als KI-Inhalt markiert.
• Zudem gibt es Kindersicherungen und Inhaltsprüfungen, um Missbrauch zu verhindern.

Trotz dieser Maßnahmen bleibt die Frage: Werden sie ausreichen? Cyberkriminelle haben in der Vergangenheit immer wieder Wege gefunden, Sicherheitsbarrieren zu umgehen. Es ist nur eine Frage der Zeit, bis Deepfakes in noch raffinierteren Angriffsszenarien auftauchen.

Deepfakes als neue Social-Engineering-Waffe

Unternehmen müssen sich darauf vorbereiten, dass Angreifer künftig nicht mehr nur mit gefälschten E-Mails oder Stimmen auftreten – sondern mit täuschend echten Video- und Audiobotschaften. Die potenzielle Wirkung solcher Deepfakes ist enorm: Wenn der vermeintliche CEO per Video eine dringende Überweisung anordnet, wirkt das überzeugender als jede E-Mail.

Hier hilft nur Vorbereitung. Regelmäßige Awareness-Trainings und Phishing-Simulationen müssen Mitarbeitende sensibilisieren, um Manipulationsversuche zu erkennen. Gleichzeitig sollten technische Schutzmaßnahmen greifen, die Phishing-, Social-Engineering-, Ransomware- oder Business-Email-Compromise-Angriffe gar nicht erst in die Posteingänge lassen.

Human Risk Management als Schlüssel

Ein modernes Human Risk Management kombiniert diese Ansätze: automatisierte, KI-gestützte Trainings, Echtzeit-Phishing-Tests und intelligente Filtermechanismen. Neue Lösungen nutzen dabei selbst KI und Crowdsourcing, um Zero-Day-Bedrohungen frühzeitig zu identifizieren und abzuwehren. So lässt sich der menschliche Faktor nicht nur absichern, sondern gezielt zur stärksten Verteidigungslinie im Unternehmen machen – gerade in Zeiten, in denen Realität und Fälschung immer schwerer zu unterscheiden sind.