Deepfake-Betrug: So schützen Sie Ihr Unternehmen

25,6 Millionen Dollar – weg. In 15 Überweisungen. Weil ein Mitarbeiter dachte, er spricht per Video mit seinem Finanzchef. War er aber nicht. Das britische Ingenieurbüro Arup wurde 2024 Opfer eines Deepfake-Betrugs, der so perfekt inszeniert war, dass niemand Verdacht schöpfte. Und solche Fälle häufen sich 2026 dramatisch.

Deepfake-Angriffe auf deutsche Unternehmen sind laut dem Sumsub Identity Fraud Report im vergangenen Jahr um über 53 Prozent gestiegen. In Frankreich waren es 96 Prozent, in Großbritannien 94 Prozent. Und die Zahl für 2026? Die dürfte noch unangenehmer ausfallen. Wir bei digital-magazin.de haben uns angeschaut, wie Deepfake-Betrug heute funktioniert – und was Unternehmen dagegen tun können, bevor es zu spät ist.

Deepfake-Betrug 2026: Warum die Gefahr gerade explodiert

Mal ehrlich: Vor drei Jahren waren Deepfakes noch eine Spielerei für Reddit-Foren und schlechte Promi-Fakes. Das hat sich geändert. Radikal. Die KI-Modelle, die hinter synthetischen Stimmen und Videogesichtern stecken, sind 2026 so leistungsfähig, dass selbst geschulte Fachleute Schwierigkeiten haben, Original von Fälschung zu unterscheiden.

Der Allianz Risk Barometer 2026 bestätigt es: Cybergefahren bleiben zum fünften Mal in Folge das Top-Risiko für Unternehmen weltweit. Der größte Aufsteiger? Künstliche Intelligenz – und nicht etwa als Helfer, sondern als Waffe in den Händen Krimineller.

Kurzer Realitätscheck: Jeder fünfte betrügerische Verifizierungsversuch in Europa enthält mittlerweile ein manipuliertes Dokument. ChatGPT und Gemini sind laut dem Sumsub-Report an zwei Prozent aller weltweit verarbeiteten Fake-Dokumente beteiligt – Tendenz steil steigend. Die Tools werden besser. Täglich.

Komplexe Betrugsaktivitäten, also mehrstufige, koordinierte Angriffe, haben weltweit um 180 Prozent zugenommen. Das sind keine Gelegenheitsbetrüger mehr. Das ist organisierte Kriminalität mit KI-Unterstützung.

So funktioniert ein Deepfake-Angriff auf Ihr Unternehmen

Stellen Sie sich folgendes Szenario vor: Freitagmittag, kurz vor dem Wochenende. In der Buchhaltung klingelt das Telefon – oder besser gesagt, es ploppt ein Videocall auf. Am anderen Ende: der Geschäftsführer. Zumindest sieht es exakt so aus. Die Stimme stimmt. Die Gestik stimmt. Selbst der leichte Dialekt passt.

„Wir müssen dringend eine Zahlung rausschicken. Vertraulich. Ich bin gerade im Ausland und kann das nicht selbst freigeben.“ Der Betrag? 150.000 Euro. Die Kontonummer? Führt zu einer Bank in Osteuropa. Das Geld? Unwiederbringlich weg, sobald es überwiesen ist.

Klingt nach Hollywood? War bis vor kurzem noch Science-Fiction. Heute brauchen Kriminelle dafür:

Ein paar Minuten Videomaterial – öffentlich verfügbar auf LinkedIn, YouTube oder der Firmenwebsite. Reicht, um Gesicht und Mimik zu klonen.

– öffentlich verfügbar auf LinkedIn, YouTube oder der Firmenwebsite. Reicht, um Gesicht und Mimik zu klonen. 30 Sekunden Audiomaterial – eine Keynote-Rede, ein Podcast-Interview, sogar eine Voicemail genügt. Moderne Voice-Cloning-Tools brauchen erschreckend wenig Input.

– eine Keynote-Rede, ein Podcast-Interview, sogar eine Voicemail genügt. Moderne Voice-Cloning-Tools brauchen erschreckend wenig Input. Hintergrundinformationen – Namen, Positionen, Abläufe. Die liefern LinkedIn und die Unternehmenswebsite frei Haus.

– Namen, Positionen, Abläufe. Die liefern LinkedIn und die Unternehmenswebsite frei Haus. Eine Echtzeit-Deepfake-Software – frei verfügbar, Open Source, teilweise sogar als App. Kein Informatikstudium nötig.

Der Knackpunkt: Menschen hinterfragen Anweisungen von Vorgesetzten nur ungern. Schon gar nicht, wenn sie diese Person sehen und hören können. Genau das macht Deepfake-Betrug so perfide – er umgeht die letzte Verteidigungslinie, die bei herkömmlichem Phishing noch funktioniert: den gesunden Menschenverstand.

Der Fall Arup – und warum er nur die Spitze des Eisbergs ist

Zurück zum eingangs erwähnten Fall des britischen Ingenieurbüros Arup. Anfang 2024 nahm ein Mitarbeiter in Hongkong an einer Videokonferenz teil. Mehrere Führungskräfte – oder was er dafür hielt – saßen im Call. Alle waren Deepfakes. Jede einzelne Person im Videocall war synthetisch erzeugt. 25,6 Millionen Dollar flossen über 15 Transaktionen an Konten, die den Betrügern gehörten.

Was diesen Fall so bemerkenswert macht: Der Mitarbeiter war zunächst misstrauisch geworden. Er hatte Zweifel. Die initiale E-Mail kam ihm merkwürdig vor. Aber das vermeintliche Videogespräch mit gleich mehreren vertrauten Gesichtern räumte diese Zweifel aus. Ein perfekt choreografiertes Täuschungsmanöver – und gleichzeitig ein Lehrstück darüber, wie Deepfakes genau die Sicherheitsmechanismen aushebeln, die bei normalem Phishing greifen.

Arup ist kein Einzelfall. Bei weitem nicht. In Deutschland gab es 2025 mehrere Fälle, bei denen Geschäftsführende per gefälschtem Videoanruf zu Überweisungen bewegt wurden. Die meisten dieser Fälle landen nie in der Presse – weil die betroffenen Firmen Angst vor dem Reputationsschaden haben. Ein Teufelskreis: Weil niemand darüber spricht, unterschätzen andere Unternehmen das Risiko.

72 Prozent der EU-Unternehmen rechnen damit, dass KI künftig noch raffiniertere Angriffe als bisher möglich macht. 64 Prozent der europäischen Firmen melden bereits finanzielle Verluste durch Betrug, 36 Prozent zusätzlich Reputationsschäden. Die Dunkelziffer? Vermutlich deutlich höher.

Das Team von digital-magazin.de beobachtet diesen Trend seit Monaten. Was uns auffällt: Die Schadensummen werden größer, während die Angriffe technisch einfacher werden. Vor zwei Jahren brauchte man für einen überzeugenden Deepfake noch stundenlanges Training des KI-Modells und teure Hardware. Heute reichen ein Laptop, eine Open-Source-Software und ein YouTube-Video der Zielperson. Eine gefährliche Demokratisierung der Kriminalität, wenn man so will.

Deepfake erkennen: 7 Warnsignale, die Sie kennen sollten

Kann man Deepfakes überhaupt noch erkennen? Ja – aber es wird schwieriger. Hier sind die Anzeichen, auf die Sie und Ihre Beschäftigten achten sollten:

Unnatürliche Lippenbewegungen: Die Synchronisation von Ton und Mundbewegung ist bei Echtzeit-Deepfakes noch nicht perfekt. Achten Sie auf minimale Verzögerungen. Seltsame Augenpartie: Blinzeln Deepfake-Gesichter zu selten? Zu regelmäßig? Die Augen sind oft der schwächste Punkt – Reflexionen fehlen oder wirken unnatürlich. Haare und Übergänge: Die Ränder zwischen Gesicht und Hintergrund zeigen manchmal Artefakte. Besonders bei Bewegung flackern die Konturen. Ungewöhnliche Tonqualität: Voice-Clones klingen bei genauem Hinhören oft leicht metallisch oder haben eine seltsame Raumakustik. Zeitdruck und Geheimhaltung: „Sofort überweisen, niemandem erzählen“ – klassische Social-Engineering-Taktik, die bei Deepfake-Angriffen fast immer dabei ist. Ungewöhnliche Kanäle: Die Chefin ruft sonst nie per WhatsApp-Video an? Der CFO nutzt plötzlich ein unbekanntes Konferenztool? Stutzig werden. Vermeidung von Rückfragen: Deepfake-Betrüger lenken geschickt von Nachfragen ab. Sie drängen auf schnelles Handeln, weil jede Verzögerung das Risiko der Enttarnung erhöht.

Kleine Faustregel: Wenn Ihnen etwas komisch vorkommt, ist es vermutlich komisch. Vertrauen Sie Ihrem Bauchgefühl – und verifizieren Sie über einen zweiten Kanal.

Was viele nicht wissen: Auch Audio-only-Deepfakes sind mittlerweile ein massives Problem. Ein Anruf vom „Chef“ lässt sich noch einfacher fälschen als ein Video. Sie brauchen dafür buchstäblich ein Smartphone und eine App. Sprachbasierter Deepfake-Betrug – auch als Vishing (Voice Phishing) mit KI-Unterstützung bekannt – hat 2025 in Deutschland laut Branchenberichten stark zugenommen. Und bei einem Telefonat fällt die visuelle Prüfung naturgemäß komplett weg.

Deepfake-Erkennung wird für die IT-Sicherheit immer wichtiger

Schutzmaßnahmen gegen Deepfake-Betrug im Unternehmen

Technische Lösungen allein reichen nicht. Wer Deepfake-Betrug verhindern will, braucht eine Kombination aus Technik, Prozessen und – das klingt altmodisch, ist aber der springende Punkt – gesundem Misstrauen.

Technische Abwehr

Mehrere Anbieter arbeiten 2026 an KI-gestützter Deepfake-Erkennung. Die Idee: Algorithmen analysieren Videos und Audiomaterial in Echtzeit auf Manipulationsspuren. Tools wie die von Sumsub oder Reality Defender scannen biometrische Merkmale und vergleichen sie mit bekannten Mustern. Das Problem: Die Erkennungstechnologie hinkt der Fälschungstechnologie hinterher. Es ist ein Katz-und-Maus-Spiel, bei dem die Maus gerade vorne liegt.

Organisatorische Maßnahmen

Hier wird es konkret – und hier können Sie sofort handeln:

Vier-Augen-Prinzip bei Zahlungen: Keine Überweisung über einem definierten Schwellenwert ohne Bestätigung einer zweiten Person. Keine Ausnahmen. Auch nicht, wenn der CEO persönlich anruft.

Keine Überweisung über einem definierten Schwellenwert ohne Bestätigung einer zweiten Person. Keine Ausnahmen. Auch nicht, wenn der CEO persönlich anruft. Rückruf-Verifikation: Bei ungewöhnlichen Anweisungen immer über einen separaten, etablierten Kanal rückfragen. Nicht die Nummer aus dem Anruf zurückrufen – die kann gefälscht sein.

Bei ungewöhnlichen Anweisungen immer über einen separaten, etablierten Kanal rückfragen. Nicht die Nummer aus dem Anruf zurückrufen – die kann gefälscht sein. Code-Wort-Systeme: Ein vereinbartes Kennwort für besonders sensible Transaktionen. Klingt nach Spionagefilm, funktioniert aber erstaunlich gut.

Ein vereinbartes Kennwort für besonders sensible Transaktionen. Klingt nach Spionagefilm, funktioniert aber erstaunlich gut. Regelmäßige Schulungen: Phishing-Awareness reicht nicht mehr. Beschäftigte müssen wissen, was Deepfakes können – und wie ein Angriff aussieht.

Der Faktor Unternehmenskultur

Und dann ist da noch die Sache mit der Hierarchie. In Unternehmen, wo niemand die Anweisungen der Führungsebene hinterfragt, haben Deepfake-Betrüger leichtes Spiel. Eine offene Fehlerkultur, in der Beschäftigte ohne Angst vor Konsequenzen nachfragen dürfen – „Chef, sind Sie das wirklich?“ – ist der beste Schutz, den kein Algorithmus ersetzen kann.

Kennen Sie das? Die Buchhaltung bekommt einen Anruf vom Vorstand, und niemand traut sich, nachzufragen. Genau dieses Muster nutzen Kriminelle aus. In Kulturen mit flachen Hierarchien – typisch für skandinavische Unternehmen zum Beispiel – fallen solche Angriffe deutlich seltener auf fruchtbaren Boden. Ein Argument mehr dafür, dass IT-Sicherheit nicht in der Serverabteilung beginnt, sondern in der Chefetage.

Spezialfall Mittelstand

Besonders gefährdet sind mittelständische Betriebe. Warum? Weil dort oft eine einzige Person die Überweisungen freigibt. Weil der Chef oder die Chefin alle persönlich kennt – was Deepfakes umso glaubwürdiger macht. Und weil das IT-Budget selten einen eigenen Posten für Deepfake-Erkennung hergibt. Die Ironie: Gerade die persönliche Atmosphäre, die den Mittelstand so erfolgreich macht, wird zum Einfallstor. Ein KI-generierter Anruf vom vermeintlichen Geschäftsführer klingt eben besonders überzeugend, wenn man dessen Stimme täglich hört.

Was sagt das Gesetz? Deepfakes und die Rechtslage 2026

Überraschung: Die Rechtslage hinkt wie so oft der Realität hinterher. In Deutschland gibt es kein spezifisches „Deepfake-Gesetz“. Wer einen Deepfake-Betrug begeht, wird nach §263 StGB (Betrug) oder §269 StGB (Fälschung beweiserheblicher Daten) verfolgt – wenn man die Täter denn findet. Die sitzen häufig im Ausland, was die Strafverfolgung zur Geduldsprobe macht.

Der EU AI Act, der seit 2025 schrittweise in Kraft tritt, enthält immerhin Kennzeichnungspflichten für KI-generierte Inhalte. Aber seien wir realistisch: Kriminelle, die Deepfakes für Betrug einsetzen, werden sich kaum an Kennzeichnungspflichten halten. Die Regulierung trifft vor allem legitime Nutzung – ein Dilemma, das die EU-Gesetzgebung noch nicht gelöst hat.

Für Unternehmen bedeutet das: Sie können sich nicht auf den Gesetzgeber verlassen. Prävention muss in der eigenen Organisation stattfinden. Datenschutz und IT-Sicherheit sind keine Aufgaben, die man an eine Behörde delegieren kann.

Interessant ist allerdings die zivilrechtliche Seite. Wer haftet, wenn eine Beschäftigte auf einen Deepfake hereinfällt und Geld überweist? Die Person selbst? Das Unternehmen? Die Bank, die die Überweisung ausgeführt hat? Die Antworten darauf sind – Stand Februar 2026 – alles andere als geklärt. Arbeitsrechtlich dürfte ein Deepfake-Betrug kaum als grobe Fahrlässigkeit gelten, wenn die Täuschung professionell genug war. Aber versuchen Sie mal, das Ihrer Versicherung zu erklären.

Apropos Versicherung: Cyber-Versicherungen decken Deepfake-Betrug in vielen Policen mittlerweile ab – allerdings nur, wenn das Unternehmen nachweisen kann, dass angemessene Schutzmaßnahmen vorhanden waren. Wer kein Vier-Augen-Prinzip hat, kein Schulungskonzept vorweisen kann und keine technischen Erkennungstools einsetzt, steht im Schadensfall womöglich mit leeren Händen da.

Deepfake-Betrug: Die Zahlen sprechen eine klare Sprache

Ein Blick auf die Statistiken macht die Dimension deutlich:

Kennzahl Wert Anstieg Deepfake-Angriffe Deutschland (2025) +53 % Anstieg komplexer Betrugsaktivitäten weltweit +180 % EU-Unternehmen mit Betrugsverlusten 64 % EU-Unternehmen mit Reputationsschäden 36 % Europäer ohne Wissen über Money Muling 87 % Anstieg Deepfakes in Frankreich +96 % Anstieg Deepfakes in Großbritannien +94 % Höchster Einzelschaden (Arup, 2024) 25,6 Mio. USD

Die Tendenz ist eindeutig. Und 87 Prozent der europäischen Bevölkerung wissen nicht einmal, was Money Muling ist – also das Weiterleiten illegal erlangter Gelder über eigene Konten. Diese Wissenslücke machen sich Kriminelle zunutze, indem sie KI-gestützte Betrugsmaschen immer weiter verfeinern.

Und jetzt? Was Ihr Unternehmen diese Woche noch tun sollte

Warten ist keine Strategie. Deepfake-Betrug trifft nicht nur Großkonzerne. Gerade der deutsche Mittelstand – wo die IT-Abteilung oft aus einer Person besteht und der Geschäftsführer jeden persönlich kennt – ist ein dankbares Ziel. Die persönliche Nähe, die Mittelständler stark macht, wird hier zur Schwachstelle.

Drei Dinge, die Sie sofort umsetzen können:

Sensibilisieren: Zeigen Sie Ihrem Team einen Deepfake. Es gibt kostenlose Demo-Tools, mit denen Sie in zehn Minuten ein erschreckendes Ergebnis produzieren. Nichts überzeugt besser als die eigene Erfahrung. Prozesse härten: Definieren Sie klare Freigabeprozesse für Zahlungen und vertrauliche Datenweitergabe. Schriftlich. Verbindlich. Ohne Abkürzung für die Chefetage. Notfallplan erstellen: Was tun, wenn es passiert ist? Wer wird informiert, welche Konten werden gesperrt, wie wird kommuniziert? Wenn Sie diesen Plan erst im Ernstfall schreiben, ist das Geld längst weg.

Nach unserer Recherche bei digital-magazin.de ist klar: Die technische Seite der Deepfake-Erkennung wird besser werden. Aber sie wird nie perfekt sein. Der beste Schutz bleibt eine Kombination aus wachen Beschäftigten, klaren Prozessen und einer Unternehmenskultur, in der Nachfragen kein Zeichen von Schwäche ist – sondern von Professionalität.

Überraschung: „123456″ ist auch 2026 noch das beliebteste Passwort. Aber wer jetzt immer noch glaubt, IT-Sicherheit sei nur eine Frage des richtigen Passworts, hat die eigentliche Bedrohung verschlafen. Die kommt per Videocall – und sieht aus wie der eigene Chef.

Deepfake-Betrug ist kein Zukunftsszenario. Er passiert jetzt. Jeden Tag. In Unternehmen, die dachten, ihnen könne das nicht passieren. Sorgen Sie dafür, dass Ihres nicht das nächste auf der Liste ist.