25,6 Millionen Dollar – weg. In 15 Überweisungen. Weil ein Mitarbeiter dachte, er spricht per Video mit seinem Finanzchef. War er aber nicht. Das britische Ingenieurbüro Arup wurde 2024 Opfer eines Deepfake-Betrugs, der so perfekt inszeniert war, dass niemand Verdacht schöpfte. Und solche Fälle häufen sich 2026 dramatisch.
Deepfake-Angriffe auf deutsche Unternehmen sind laut dem Sumsub Identity Fraud Report im vergangenen Jahr um über 53 Prozent gestiegen. In Frankreich waren es 96 Prozent, in Großbritannien 94 Prozent. Und die Zahl für 2026? Die dürfte noch unangenehmer ausfallen. Wir bei digital-magazin.de haben uns angeschaut, wie Deepfake-Betrug heute funktioniert – und was Unternehmen dagegen tun können, bevor es zu spät ist.
Mal ehrlich: Vor drei Jahren waren Deepfakes noch eine Spielerei für Reddit-Foren und schlechte Promi-Fakes. Das hat sich geändert. Radikal. Die KI-Modelle, die hinter synthetischen Stimmen und Videogesichtern stecken, sind 2026 so leistungsfähig, dass selbst geschulte Fachleute Schwierigkeiten haben, Original von Fälschung zu unterscheiden.
Der Allianz Risk Barometer 2026 bestätigt es: Cybergefahren bleiben zum fünften Mal in Folge das Top-Risiko für Unternehmen weltweit. Der größte Aufsteiger? Künstliche Intelligenz – und nicht etwa als Helfer, sondern als Waffe in den Händen Krimineller.
Kurzer Realitätscheck: Jeder fünfte betrügerische Verifizierungsversuch in Europa enthält mittlerweile ein manipuliertes Dokument. ChatGPT und Gemini sind laut dem Sumsub-Report an zwei Prozent aller weltweit verarbeiteten Fake-Dokumente beteiligt – Tendenz steil steigend. Die Tools werden besser. Täglich.
Komplexe Betrugsaktivitäten, also mehrstufige, koordinierte Angriffe, haben weltweit um 180 Prozent zugenommen. Das sind keine Gelegenheitsbetrüger mehr. Das ist organisierte Kriminalität mit KI-Unterstützung.
Stellen Sie sich folgendes Szenario vor: Freitagmittag, kurz vor dem Wochenende. In der Buchhaltung klingelt das Telefon – oder besser gesagt, es ploppt ein Videocall auf. Am anderen Ende: der Geschäftsführer. Zumindest sieht es exakt so aus. Die Stimme stimmt. Die Gestik stimmt. Selbst der leichte Dialekt passt.
„Wir müssen dringend eine Zahlung rausschicken. Vertraulich. Ich bin gerade im Ausland und kann das nicht selbst freigeben.“ Der Betrag? 150.000 Euro. Die Kontonummer? Führt zu einer Bank in Osteuropa. Das Geld? Unwiederbringlich weg, sobald es überwiesen ist.
Klingt nach Hollywood? War bis vor kurzem noch Science-Fiction. Heute brauchen Kriminelle dafür:
Der Knackpunkt: Menschen hinterfragen Anweisungen von Vorgesetzten nur ungern. Schon gar nicht, wenn sie diese Person sehen und hören können. Genau das macht Deepfake-Betrug so perfide – er umgeht die letzte Verteidigungslinie, die bei herkömmlichem Phishing noch funktioniert: den gesunden Menschenverstand.
Zurück zum eingangs erwähnten Fall des britischen Ingenieurbüros Arup. Anfang 2024 nahm ein Mitarbeiter in Hongkong an einer Videokonferenz teil. Mehrere Führungskräfte – oder was er dafür hielt – saßen im Call. Alle waren Deepfakes. Jede einzelne Person im Videocall war synthetisch erzeugt. 25,6 Millionen Dollar flossen über 15 Transaktionen an Konten, die den Betrügern gehörten.
Was diesen Fall so bemerkenswert macht: Der Mitarbeiter war zunächst misstrauisch geworden. Er hatte Zweifel. Die initiale E-Mail kam ihm merkwürdig vor. Aber das vermeintliche Videogespräch mit gleich mehreren vertrauten Gesichtern räumte diese Zweifel aus. Ein perfekt choreografiertes Täuschungsmanöver – und gleichzeitig ein Lehrstück darüber, wie Deepfakes genau die Sicherheitsmechanismen aushebeln, die bei normalem Phishing greifen.
Arup ist kein Einzelfall. Bei weitem nicht. In Deutschland gab es 2025 mehrere Fälle, bei denen Geschäftsführende per gefälschtem Videoanruf zu Überweisungen bewegt wurden. Die meisten dieser Fälle landen nie in der Presse – weil die betroffenen Firmen Angst vor dem Reputationsschaden haben. Ein Teufelskreis: Weil niemand darüber spricht, unterschätzen andere Unternehmen das Risiko.
72 Prozent der EU-Unternehmen rechnen damit, dass KI künftig noch raffiniertere Angriffe als bisher möglich macht. 64 Prozent der europäischen Firmen melden bereits finanzielle Verluste durch Betrug, 36 Prozent zusätzlich Reputationsschäden. Die Dunkelziffer? Vermutlich deutlich höher.
Das Team von digital-magazin.de beobachtet diesen Trend seit Monaten. Was uns auffällt: Die Schadensummen werden größer, während die Angriffe technisch einfacher werden. Vor zwei Jahren brauchte man für einen überzeugenden Deepfake noch stundenlanges Training des KI-Modells und teure Hardware. Heute reichen ein Laptop, eine Open-Source-Software und ein YouTube-Video der Zielperson. Eine gefährliche Demokratisierung der Kriminalität, wenn man so will.
Kann man Deepfakes überhaupt noch erkennen? Ja – aber es wird schwieriger. Hier sind die Anzeichen, auf die Sie und Ihre Beschäftigten achten sollten:
Kleine Faustregel: Wenn Ihnen etwas komisch vorkommt, ist es vermutlich komisch. Vertrauen Sie Ihrem Bauchgefühl – und verifizieren Sie über einen zweiten Kanal.
Was viele nicht wissen: Auch Audio-only-Deepfakes sind mittlerweile ein massives Problem. Ein Anruf vom „Chef“ lässt sich noch einfacher fälschen als ein Video. Sie brauchen dafür buchstäblich ein Smartphone und eine App. Sprachbasierter Deepfake-Betrug – auch als Vishing (Voice Phishing) mit KI-Unterstützung bekannt – hat 2025 in Deutschland laut Branchenberichten stark zugenommen. Und bei einem Telefonat fällt die visuelle Prüfung naturgemäß komplett weg.
Technische Lösungen allein reichen nicht. Wer Deepfake-Betrug verhindern will, braucht eine Kombination aus Technik, Prozessen und – das klingt altmodisch, ist aber der springende Punkt – gesundem Misstrauen.
Mehrere Anbieter arbeiten 2026 an KI-gestützter Deepfake-Erkennung. Die Idee: Algorithmen analysieren Videos und Audiomaterial in Echtzeit auf Manipulationsspuren. Tools wie die von Sumsub oder Reality Defender scannen biometrische Merkmale und vergleichen sie mit bekannten Mustern. Das Problem: Die Erkennungstechnologie hinkt der Fälschungstechnologie hinterher. Es ist ein Katz-und-Maus-Spiel, bei dem die Maus gerade vorne liegt.
Hier wird es konkret – und hier können Sie sofort handeln:
Und dann ist da noch die Sache mit der Hierarchie. In Unternehmen, wo niemand die Anweisungen der Führungsebene hinterfragt, haben Deepfake-Betrüger leichtes Spiel. Eine offene Fehlerkultur, in der Beschäftigte ohne Angst vor Konsequenzen nachfragen dürfen – „Chef, sind Sie das wirklich?“ – ist der beste Schutz, den kein Algorithmus ersetzen kann.
Kennen Sie das? Die Buchhaltung bekommt einen Anruf vom Vorstand, und niemand traut sich, nachzufragen. Genau dieses Muster nutzen Kriminelle aus. In Kulturen mit flachen Hierarchien – typisch für skandinavische Unternehmen zum Beispiel – fallen solche Angriffe deutlich seltener auf fruchtbaren Boden. Ein Argument mehr dafür, dass IT-Sicherheit nicht in der Serverabteilung beginnt, sondern in der Chefetage.
Besonders gefährdet sind mittelständische Betriebe. Warum? Weil dort oft eine einzige Person die Überweisungen freigibt. Weil der Chef oder die Chefin alle persönlich kennt – was Deepfakes umso glaubwürdiger macht. Und weil das IT-Budget selten einen eigenen Posten für Deepfake-Erkennung hergibt. Die Ironie: Gerade die persönliche Atmosphäre, die den Mittelstand so erfolgreich macht, wird zum Einfallstor. Ein KI-generierter Anruf vom vermeintlichen Geschäftsführer klingt eben besonders überzeugend, wenn man dessen Stimme täglich hört.
Überraschung: Die Rechtslage hinkt wie so oft der Realität hinterher. In Deutschland gibt es kein spezifisches „Deepfake-Gesetz“. Wer einen Deepfake-Betrug begeht, wird nach §263 StGB (Betrug) oder §269 StGB (Fälschung beweiserheblicher Daten) verfolgt – wenn man die Täter denn findet. Die sitzen häufig im Ausland, was die Strafverfolgung zur Geduldsprobe macht.
Der EU AI Act, der seit 2025 schrittweise in Kraft tritt, enthält immerhin Kennzeichnungspflichten für KI-generierte Inhalte. Aber seien wir realistisch: Kriminelle, die Deepfakes für Betrug einsetzen, werden sich kaum an Kennzeichnungspflichten halten. Die Regulierung trifft vor allem legitime Nutzung – ein Dilemma, das die EU-Gesetzgebung noch nicht gelöst hat.
Für Unternehmen bedeutet das: Sie können sich nicht auf den Gesetzgeber verlassen. Prävention muss in der eigenen Organisation stattfinden. Datenschutz und IT-Sicherheit sind keine Aufgaben, die man an eine Behörde delegieren kann.
Interessant ist allerdings die zivilrechtliche Seite. Wer haftet, wenn eine Beschäftigte auf einen Deepfake hereinfällt und Geld überweist? Die Person selbst? Das Unternehmen? Die Bank, die die Überweisung ausgeführt hat? Die Antworten darauf sind – Stand Februar 2026 – alles andere als geklärt. Arbeitsrechtlich dürfte ein Deepfake-Betrug kaum als grobe Fahrlässigkeit gelten, wenn die Täuschung professionell genug war. Aber versuchen Sie mal, das Ihrer Versicherung zu erklären.
Apropos Versicherung: Cyber-Versicherungen decken Deepfake-Betrug in vielen Policen mittlerweile ab – allerdings nur, wenn das Unternehmen nachweisen kann, dass angemessene Schutzmaßnahmen vorhanden waren. Wer kein Vier-Augen-Prinzip hat, kein Schulungskonzept vorweisen kann und keine technischen Erkennungstools einsetzt, steht im Schadensfall womöglich mit leeren Händen da.
Ein Blick auf die Statistiken macht die Dimension deutlich:
| Kennzahl | Wert |
| Anstieg Deepfake-Angriffe Deutschland (2025) | +53 % |
| Anstieg komplexer Betrugsaktivitäten weltweit | +180 % |
| EU-Unternehmen mit Betrugsverlusten | 64 % |
| EU-Unternehmen mit Reputationsschäden | 36 % |
| Europäer ohne Wissen über Money Muling | 87 % |
| Anstieg Deepfakes in Frankreich | +96 % |
| Anstieg Deepfakes in Großbritannien | +94 % |
| Höchster Einzelschaden (Arup, 2024) | 25,6 Mio. USD |
Die Tendenz ist eindeutig. Und 87 Prozent der europäischen Bevölkerung wissen nicht einmal, was Money Muling ist – also das Weiterleiten illegal erlangter Gelder über eigene Konten. Diese Wissenslücke machen sich Kriminelle zunutze, indem sie KI-gestützte Betrugsmaschen immer weiter verfeinern.
Warten ist keine Strategie. Deepfake-Betrug trifft nicht nur Großkonzerne. Gerade der deutsche Mittelstand – wo die IT-Abteilung oft aus einer Person besteht und der Geschäftsführer jeden persönlich kennt – ist ein dankbares Ziel. Die persönliche Nähe, die Mittelständler stark macht, wird hier zur Schwachstelle.
Drei Dinge, die Sie sofort umsetzen können:
Nach unserer Recherche bei digital-magazin.de ist klar: Die technische Seite der Deepfake-Erkennung wird besser werden. Aber sie wird nie perfekt sein. Der beste Schutz bleibt eine Kombination aus wachen Beschäftigten, klaren Prozessen und einer Unternehmenskultur, in der Nachfragen kein Zeichen von Schwäche ist – sondern von Professionalität.
Überraschung: „123456″ ist auch 2026 noch das beliebteste Passwort. Aber wer jetzt immer noch glaubt, IT-Sicherheit sei nur eine Frage des richtigen Passworts, hat die eigentliche Bedrohung verschlafen. Die kommt per Videocall – und sieht aus wie der eigene Chef.
Deepfake-Betrug ist kein Zukunftsszenario. Er passiert jetzt. Jeden Tag. In Unternehmen, die dachten, ihnen könne das nicht passieren. Sorgen Sie dafür, dass Ihres nicht das nächste auf der Liste ist.
