Agentic AI
April 15, 2026
Julia Wolf
25 Millionen US-Dollar. Weg. In einem einzigen Videocall. Alle Teilnehmer waren KI. Willkommen in 2026, wo ein Deepfake Angriff nicht mehr nach schlechtem Horrorfilm aussieht, sondern nach Ihrem nächsten Meeting.
Deepfake Angriffe auf Unternehmen sind im Vergleich zum Vorjahr um exakt 1.100 Prozent explodiert. Nicht um zehn Prozent. Nicht um hundert. Elftausend Prozent. Wer jetzt denkt, das sei Panikmache, liegt falsch. Das ist der nüchterne Befund aus aktuellen Sicherheitsberichten – und er passt erschreckend gut zur Realität, die Security-Teams täglich erleben.
In Deutschland stiegen Deepfake Angriffe allein 2025 um 53 Prozent. Voice-Phishing, auch Vishing genannt, hat sich zum zweithäufigsten Angriffsvektor für Erstinfektionen entwickelt – mit einem Anteil von 11 Prozent. Siebzig Prozent aller Organisationen weltweit wurden bereits Opfer. Der durchschnittliche Schaden: 14 Millionen US-Dollar pro betroffenem Unternehmen, jährlich.
Spoiler: Das sind keine abstrakten Zahlen aus einer fernen Statistik-Welt.
Hongkong, 2024. Ein Finanzunternehmen. Ein Mitarbeiter im Videocall mit scheinbaren Kollegen – darunter der CFO persönlich. Alle nicken, alle reden, alle klingen vertraut. Der Mitarbeiter überweist 25 Millionen US-Dollar. Was er nicht weiß: Jeder einzelne Teilnehmer in diesem Meeting war KI-generiert.
Das ist kein Einzelfall. Das ist das neue Normal. Cybersecurity KI auf der Seite der Angreifer – und die Verteidiger kämpfen mit Werkzeug aus dem letzten Jahrzehnt.
Plot Twist: Für einen überzeugenden Stimmklon reichen mittlerweile drei Sekunden Audiomaterial. Drei Sekunden. Die holt sich die KI aus einem Podcast, einem LinkedIn-Video, einem Konferenzmitschnitt. Die Übereinstimmung liegt bei 85 Prozent – genug, um Finanzverantwortliche zu täuschen.
Die Angriffsmethoden folgen einer erschreckend klaren Systematik. Kein wildes Drauflosschlagen mehr – das hier ist organisiertes Handwerk.
Cyberkriminelle extrahieren Stimmdaten aus öffentlich verfügbaren Quellen. Podcasts. Hauptversammlungen. YouTube-Interviews. Drei Sekunden reichen, um eine synthetische Stimme zu erzeugen, die klingt wie Ihr CEO. Die KI lernt Sprachrhythmus, Betonung, typische Formulierungen. Das Ergebnis ruft dann Ihre Buchhaltung an und bittet um eine dringende Überweisung. Bitte noch heute. Es ist vertraulich.
Vishing-Angriffe stiegen um 442 Prozent. Man kann sich nicht ausdenken, was die Realität liefert.
Was 2020 noch nach stockendem B-Movie aussah, ist 2026 nahezu perfekt. Echtzeit-Video-Deepfakes erzeugen ganze Meeting-Teilnehmer, die sich natürlich bewegen, nicken, sprechen. Klassische Erkennungszeichen – Artefakte, unnatürliche Augenbewegungen, Pixelrauschen – sind veraltet. Die Technologie hat sie überholt.
KI-generierte Spear-Phishing-Mails sind nicht mehr die plumpen Nachrichten aus nigerianischen Königshäusern. Sie kennen das aktuelle Quartalsprojekt. Sie imitieren den individuellen Schreibstil der Führungskraft bis zur Grußformel. Sie referenzieren interne Begriffe, die aus öffentlichen Quellen oder vorherigen Datenlecks stammen.
ChatGPT und Gemini sind bereits an zwei Prozent aller weltweit verarbeiteten Fake-Dokumente beteiligt. Das klingt wenig. Es ist ein Anfang – mit deutlichen Wachstumsraten.
Cybersecurity KI ermöglicht die Generierung gefälschter Ausweisdokumente, Verifizierungsunterlagen und Selfies in Echtzeit. Jeder fünfte betrügerische Verifizierungsversuch in Europa enthält bereits ein KI-manipuliertes Dokument. Im Finanzbereich stieg die Zahl der Deepfake-Betrugsversuche in drei Jahren um 2.137 Prozent.
Das Pikante daran: Die Qualität ist so gut, dass manuelle Prüfsysteme schlicht überfordert sind.
Interessante Entwicklung am Rande: Anthropics KI-Modell Claude wurde in Sicherheitskreisen als „Mythos“ diskutiert – als System, das durch seinen Fokus auf Sicherheitsrichtlinien angeblich resistenter gegen Missbrauch sei als andere Modelle.
Die Realität ist komplexer. Cyberkriminelle testen systematisch, welche Modelle sich für welche Angriffszwecke instrumentalisieren lassen. Prompt-Injection-Angriffe stiegen 2025 um 40 Prozent. Das Ziel: Sicherheitslücken in KI-Systemen ausnutzen, um bösartigen Code einzuschleusen oder Modelle zu manipulieren.
Kein KI-Modell ist sakrosankt. Auch das nicht, das behauptet, besonders sicher zu sein. Das ist meine persönliche Einschätzung nach Beobachtung der Angriffslandschaft – und ich stehe dazu.
Firewalls erkennen keinen Deepfake Angriff. Spam-Filter sortieren keine perfekt formulierte Spear-Phishing-Mail aus. Antivirensoftware hilft nicht, wenn der Angriff über einen Telefonanruf stattfindet.
Das ist das strukturelle Problem. 64 Prozent der europäischen Unternehmen melden bereits finanzielle Verluste durch Deepfake-basierten Betrug – weitere 36 Prozent klagen über Reputationsschäden. Die Dunkelziffer dürfte höher liegen. Kaum ein Unternehmen kommuniziert freiwillig, dass sein CFO auf einen KI-generierten Videocall hereingefallen ist.
87 Prozent der Europäer kennen kriminelle Methoden wie Money Muling nicht einmal dem Namen nach. Wie sollen sie einen Deepfake Angriff erkennen?
Die gute Nachricht: Es gibt Gegenmittel. Die schlechte Nachricht: Keines davon ist bequem, und keines davon funktioniert allein.
Zero Trust Architecture bedeutet: Vertraue niemandem. Keiner Stimme. Keinem Video. Keiner E-Mail-Adresse. Jede Identität muss verifiziert werden, unabhängig davon, wie vertraut sie klingt. Das klingt paranoid. 2026 ist es Standardhygiene.
Konkret heißt das: Überweisungsanforderungen über bestimmten Beträgen brauchen einen zweiten, unabhängigen Bestätigungskanal. Nicht per E-Mail. Nicht per Videocall. Per verifiziertem Rückruf über eine bekannte, hinterlegte Nummer.
KI gegen KI. Behavioral-Analytics-Systeme erkennen Anomalien in Transaktionsmustern. Überweisungsanforderung außerhalb der Geschäftszeiten? Neue Bankverbindung, nie zuvor verwendet? Ungewöhnliche Kommunikationskanäle kombiniert mit Dringlichkeit? Das System schlägt Alarm, bevor ein Mensch entscheiden muss.
Wenig überraschend: Unternehmen, die solche Systeme früh eingesetzt haben, berichten von signifikant niedrigeren Erfolgsquoten bei Deepfake Angriffen auf ihre Finanzabteilungen.
MFA ist kein Allheilmittel. Aber ein wichtiger Baustein. Besonders bei sensiblen Entscheidungen – Freigabe großer Überweisungen, Änderung von Zugangsdaten, Vergabe neuer Berechtigungen – braucht es mehrere unabhängige Verifikationsschritte. Die Betonung liegt auf unabhängig. Ein zweiter Faktor per E-Mail hilft wenig, wenn die E-Mail-Adresse bereits kompromittiert ist.
Systeme, die Stimmklone von echten Stimmen unterscheiden, existieren. Sie analysieren Mikro-Artefakte im Audiomaterial, die menschliche Ohren nicht wahrnehmen. Ähnliches gilt für Liveliness-Detection in Videokonferenzen – Systeme, die prüfen, ob ein Gesprächspartner wirklich lebt und nicht ein gerendertes Video ist.
Die Technologie ist vorhanden. Die Implementierungsrate in deutschen Unternehmen ist – wenig überraschend – noch erschreckend gering. Auch das ist meine Einschätzung, nicht Kaffeesatzlesen.
Technische Maßnahmen sind wertlos, wenn der Mitarbeiter am Ende der Kette nicht weiß, was er tut. Schulungen müssen konkret sein. Nicht: „Seien Sie vorsichtig mit verdächtigen E-Mails.“ Sondern: Anhand echter Beispiele zeigen, wie ein Deepfake Angriff abläuft. Simulationen durchführen. Prozesse etablieren, die Mitarbeiter bei Unsicherheit ohne Gesichtsverlust nutzen können – ein klares Eskalationsprozedere.
Der beste technische Schutz scheitert an einem Mitarbeiter, der Angst hat, den angeblichen CEO um einen Rückruf zu bitten.
Deutsche Unternehmen, die unter die NIS2-Richtlinie fallen, müssen nachweislich angemessene Sicherheitsmaßnahmen implementieren – und Vorfälle melden. Das ist keine bürokratische Schikane. Das ist ein Mindeststandard, den die aktuelle Bedrohungslage erfordert.
Wer noch nicht mit der NIS2-Umsetzung begonnen hat: Es wird Zeit. Die Bußgelder sind unangenehm. Ein erfolgreicher Deepfake Angriff mit 14 Millionen US-Dollar Schaden ist es noch mehr.
Der Markt für Deepfake-Erkennungstools wächst schneller als jedes andere Cybersecurity-Segment. Was taugt etwas?
Das Pikante an all diesen Tools: Sie müssen kontinuierlich trainiert werden. Denn die Angreifer trainieren auch. Es ist ein technologisches Wettrüsten – und warum KI-Phishing eine neue Qualität hat, zeigt sich genau hier: Die Angriffsseite skaliert schneller als die meisten Verteidigungssysteme nachrüsten können.
Analysten prognostizieren für 2026 einen 14-fachen Anstieg KI-generierter Phishing-Angriffe gegenüber dem Vorjahr. Generative KI soll bis 2027 Betrugschäden von 40 Milliarden US-Dollar verursachen. Komplexe, mehrstufige Betrugsaktivitäten – bei denen Deepfake Angriffe nur ein Schritt in einer längeren Kette sind – nahmen weltweit um 180 Prozent zu.
Cybergefahren sind zum fünften Mal in Folge das Top-Risiko für Unternehmen weltweit. KI ist in dieser Statistik nicht der Retter. KI ist die Waffe.
Post-Quantum-Kryptographie wird parallel dazu relevanter. Nicht weil Quantencomputer schon heute Verschlüsselungen brechen – sondern weil Kriminelle heute Daten sammeln, um sie später zu entschlüsseln. „Harvest now, decrypt later“ heißt das Prinzip. Unternehmen, die heute keine Migrationsstrategie entwickeln, werden das in drei bis fünf Jahren bereuen.
Was bleibt? Die unbequeme Erkenntnis, dass ein Deepfake Angriff 2026 kein technisches Problem mehr ist, das die IT-Abteilung still löst. Es ist ein Organisationsproblem. Ein Kulturproblem. Ein Problem, das in der Chefetage beginnt und in der Buchhaltung endet – im schlimmsten Fall mit einer Überweisung, die nie zurückkommt.
Haben Sie schon einmal getestet, ob Ihre Mitarbeiter einen Voice-Clone Ihres CEOs erkennen würden? Wenn die Antwort „Nein“ oder „Weiß ich nicht“ lautet: Das ist Ihr Handlungsauftrag für diese Woche.
