Da Bewerbungsprozesse vermehrt online stattfinden, kommt es unter Verwendung von intelligenten Tools zunehmend zu Betrugsversuchen. Künstliche Intelligenz (KI) hat viel Potenzial. Mit der Technologie lassen sich Prozesse effektiver, effizienter und einfacher gestalten.
HR-Abteilungen nutzen sie, um unter anderem Stellenausschreibungen zu erstellen, Bewerbungsunterlagen zu analysieren oder die besten Kandidaten zu identifizieren. Aber die Schattenseiten zeigen sich hauptsächlich bei Remote-Jobs, die ins Visier von Betrügern geraten sind.
Betrügern in den USA ist es gelungen, große Mengen gefälschter Bewerbungen abzusenden. Soweit nicht verwunderlich oder strafbar. Doch hinter dieser perfiden Methode steckt ein System. Die eingesetzte KI verhindert über alle Phasen des Bewerbungsprozesses hinweg, dass die wahre Identität des Bewerbers aufgedeckt wird. Die täuschend echten Lebensläufe sind perfekt und enthalten professionelle Bewerbungsfotos, Webseiten oder Links zu Profilen in sozialen Medien oder zu Bewerbungs-Webseiten wie LinkedIn.
So funktioniert die Betrugsmasche
Um die Chancen auf den begehrten Job zu erhöhen, greifen immer häufiger Bewerber zu KI-Tools. Bei der betrügerischen Anwendung geht es jedoch weniger um den Job. Vielmehr stehen die sensiblen Unternehmensdaten im Zentrum. Oft wollen die Betrüger auch einfach Schadsoftware einschleusen. Das Beratungsunternehmen Gartner schätzt, dass bis 2030 voraussichtlich jede vierte Bewerbung eine Fälschung ist.
Deepfakes, so wird KI-Betrug auch genannt, verwenden dank intelligenter Algorithmen täuschend echte Videos, Stimmen und Profile. Dies führt zu massiven Sicherheitslücken. Im Juni 2022 veröffentlichte das FBI eine öffentliche Bekanntmachung. Darin warnt die Behörde vor der Verwendung von gefälschten und gestohlenen personenbezogenen Daten durch Cyberkriminelle, um sich für eine Vielzahl von Remote- oder Home-Office-Jobs zu bewerben.
Identitätsdiebstahl der Bewerber
Das sogenannte Job-Scamming, eine andere Methode von Deepfakes im Recruiting, zielt darauf ab, mit falschen Stellenanzeigen die Daten der Bewerber zu erhalten und diese für betrügerische Zwecke zu nutzen. Persönlich identifizierbare Informationen (PII) spielen beim Identitätsdiebstahl eine zentrale Rolle. Hacker können mit diesen Daten erhebliche Schäden anrichten. Wie die Polizei NRW berichtet, täuschen die Betrüger ein Bewerbungsverfahren vor und versuchen, an die sensiblen Daten wie Ausweispapiere zu kommen.
Oftmals wollen die Täter ein Konto auf den Namen der Betroffenen eröffnen und bitten sie, sich über Video-Ident-Verfahren bei einer Bank zu legitimieren. Häufig ist das Konto schon im Vorfeld eigens für den Betrug angelegt worden. Wird die Identifizierung gemäß den Vorgaben durchgeführt, nutzen die Betrüger die Konten für kriminelle Aktivitäten, von denen die Betroffenen häufig nichts erfahren. Im schlimmsten Fall kommt es jedoch zu polizeilichen Ermittlungen, denn die Opfer sind legal gesehen die Eigentümer dieser Konten und müssen den Betrug nachweisen.
Wie kann man die Betrüger enttarnen?
Ein sehr schönes Beispiel für einen Deepfake zeigt dieser Post bei X:
https://x.com/Pragmatic_Eng/status/1899522096029401292
Laut der Webseite t3n hatte Dawid Moczadlo, Mitgründer des Cybersicherheitsunternehmens Vidoc Security Labs, während eines virtuellen Bewerbungsgesprächs bemerkt, dass der Kandidat offenbar einen KI-Filter nutzt, um sein echtes Gesicht zu verbergen. Als Moczadlo ihn aufforderte, die Hand vor das Gesicht zu halten, um einen potenziellen Deepfake zu entlarven, weigerte sich der Bewerber.
Es gibt zahlreiche Berichte über ähnliche Vorfälle, bei denen sich falsche Bewerber auf offene Stellen beworben hatten. Erste Firmen in den USA reagieren darauf, indem sie Bewerber persönlich ins Büro einladen, um das Bewerbungsgespräch zu führen und einen Probetag zu absolvieren.
Das Zentrum für Management- und Personalberatung Bonn weist darauf hin, dass grundsätzlich in Video-Interviews die Analyse von zwischenmenschlichen Aspekten sowie der sogenannte Cultural Fit nicht immer wahrgenommen werden kann. Das führt dazu, dass potenziell passende Bewerber auf Basis der KI-Analyse als ungeeignet klassifiziert werden. Video-Interviews, die Personen führen, um mit KI unter anderem ihr echtes Gesicht zu ersetzen, stellen weiterhin eine Gefahr dar. Hier hilft nur Aufklärung, ein hohes Maß an Cybersecurity-Awareness und verschiedene Sicherheitsprotokolle.
Mit KI den Bewerbungsprozess manipulieren
Dass die KI-Technologie von weniger qualifizierten Bewerbern genutzt wird, um beim Einstellungsprozess zu betrügen, kommt ebenfalls immer häufiger vor. Eine Variante davon ist, wenn eine qualifizierte Person zum Vorstellungsgespräch erscheint und im Namen einer weniger geeigneten Person versucht, den Job zu bekommen. Fake-Bewerber kosten Unternehmen viel Zeit und Geld. Ein erstes Anzeichen kann sein, wenn sich Bewerber weigern, die Kamera beim Video-Interview anzustellen.
Eine weitere Methode, die immer mehr zum Einsatz kommt, ist die Unterstützung von Bewerbern im virtuellen Vorstellungsgespräch. Dabei senden Dienstleister den Bewerbern richtige oder passende Antworten auf den Bildschirm, während diese sich im Bewerbungsgespräch befinden. Damit lässt sich etwa eine entsprechende Qualifikation vorgaukeln.
Die Computerwoche berichtete schon 2022 über Bewerber, die eigentlich ein Deepfake sind und rät Unternehmen dazu, auf asynchrone Tonspuren und andere Anomalien während des Videogesprächs zu achten. Vielfach ist die Technologie noch nicht reif, um in Live-Bewegtbildern vollständig zu überzeugen. Das könnte sich aber in naher Zukunft ändern und dann wird es wesentlich schwerer, KI-gestützte Deepfakes zu erkennen.
Trotz aller Gefahren – KI ist im Recruiting angekommen
Natürlich könnten in Zukunft Unternehmen vermehrt dazu übergehen, die Bewerber persönlich einzuladen, um sicherzustellen, dass sie real sind und sich ohne betrügerische Absichten auf eine Stelle bewerben. Das ist jedoch nicht bei allen Einstellungsprozessen möglich und auch nicht sinnvoll. Mit entsprechenden Vorsichtsmaßnahmen und der Sensibilisierung von Mitarbeitern in den HR-Abteilungen kann es gelingen, den Betrügern rechtzeitig auf die Schliche zu kommen.
Unternehmen müssen aber auch grundsätzlich ihre Mitarbeiter sensibilisieren und über die Gefahren und Auswirkungen von Hacks sowie Identitätsdiebstahl aufklären. KI sollte im Recruiting als wertvolles Tool gesehen werden, das unter anderem Transparenz in Bewerbungsprozesse bringt oder Kandidaten schneller als der Mensch antwortet.
Auf Indeed gibt es einen Leitfaden für die sichere Jobsuche, mit dem sich Bewerber informieren können. Unternehmen müssen die Identität und die Lebensläufe von Bewerbern notgedrungen trotz intelligenter Technologien aktiv und sehr genau prüfen, um das Betrugsrisiko zu minimieren.
