Julia Wolf 
Drei Sekunden Audio. Ein LinkedIn-Profil. Eine Überweisung über 200.000 Euro. Business Email Compromise war gestern eine Frage schlecht formulierter Mails – heute ist es ein Multichannel-Angriff mit KI-geklonter Stimme, Deepfake-Video und personalisierter Kontextkette. Willkommen in der nächsten Eskalationsstufe.
Erinnern Sie sich an die goldene Zeit des Phishing-Erkennens? Grammatikfehler, seltsame Formulierungen, ein Absender aus Nigeria mit dringendem Finanzanliegen. Das war schön übersichtlich. Plot Twist: Diese Zeiten sind vorbei, und zwar endgültig.
Laut Branchenangaben, die unter anderem BornCity auf Basis aktueller Sicherheitsreports publiziert hat, enthalten inzwischen rund 82,6 % aller Phishing-Mails KI-generierte Inhalte – Stand 2025/2026. Das ist keine Nischenzahl. Das ist der Standard. Die Mails kommen in fehlerfreiem Geschäftsdeutsch, passen sich an Branche und Empfänger an und referenzieren Projekte, die tatsächlich existieren. Natural Language Processing und automatisiertes Data Mining aus LinkedIn, Unternehmenswebsites und öffentlichen Kalendern machen das möglich.
Das Pikante daran: Wer im Security-Awareness-Training noch immer mit Tippfehlern als Erkennungsmerkmal arbeitet, trainiert seine Mitarbeitenden für eine Bedrohung, die es so nicht mehr gibt. Die neue Phishing-Mail ist sprachlich oft besser als die interne Kommunikation.
In den von Hoxhunt überwachten Unternehmensumgebungen wurde zum Jahresende 2025 ein 14-facher Anstieg KI-generierter Phishing-Angriffe beobachtet, die E-Mail-Filter umgingen. Neue Angriffsvektoren wie SVG-Dateien als Anhang oder fingierte Kalender-Einladungen kommen dazu. Die Angriffsfläche wächst schneller als die Abwehr.
Business Email Compromise ist kein neues Konzept. Neu ist die Dimension. Laut FBI-Daten, die BornCity verwertet, machte BEC im Jahr 2025 rund 17 % der beim FBI gemeldeten Finanzschäden aus – über 3 Milliarden US-Dollar bei mehr als 21.000 dokumentierten Vorfällen. Damit ist BEC der teuerste Einzelangriffsvektor, den Cyberkriminelle gerade betreiben.
Warum ist das so? Weil BEC direkt auf Überweisungen zielt. Kein Malware-Deployment, kein monatelanger Daten-Exfiltrationspfad. Die Finanzabteilung überweist – und das Geld ist weg. Und KI beschleunigt genau diesen Angriff, weil sie Personalisierung im industriellen Maßstab möglich macht. Nicht eine gut recherchierte Mail pro Tag, sondern Tausende, parallel, für hunderte Branchen.
Laut ENISA-Daten, ausgewertet von Eye Security, entfallen rund 60 % aller dokumentierten Angriffe auf Phishing und BEC als primäres Einfallstor. KI macht diesen Einfallstor breiter, automatisiert und billiger zu betreiben.
Hier wird es brisant. Der klassische Anti-CEO-Fraud-Ratschlag lautet seit Jahren: Im Zweifel beim Chef anrufen, die Überweisung verifizieren lassen. Dieser Rat ist nicht falsch – er ist nur unvollständig geworden.
Deepfake-Stimmklone lassen sich inzwischen mit erschreckend wenig Material erzeugen. In Praxisberichten und Tests hat sich gezeigt, dass teilweise wenige Sekunden Audiomaterial – etwa aus einem Podcast-Auftritt, einem Konferenzmitschnitt oder einem öffentlichen Video auf LinkedIn – ausreichen können, um täuschend ähnliche Stimmklone zu erzeugen. Ein Security-Dienstleister berichtet von Tests mit ca. 85 % Stimmähnlichkeit auf Basis von 3 Sekunden Audiomaterial. Das ist kein Laborexperiment mehr.
Das Angriffsmuster ist dann folgendes: Zuerst kommt die KI-generierte Mail, die eine dringende Zahlung ankündigt und auf Vertraulichkeit pocht. Dann folgt der Anruf – mit der Stimme des CEOs. Der Mitarbeitende ruft „zurück“, aber auf der Nummer, die der Angreifer in der Mail mitgeliefert hat. Am Telefon: wieder der Deepfake. Authentizität liefert der Angreifer gleich mit.
Laut Auswertung eines Security-Dienstleisters stiegen gemeldete Deepfake-Angriffe auf Unternehmen im Vergleich zum Vorjahr um 1.100 %. Gleichzeitig nahmen Voice-Phishing-Angriffe (Vishing) um 442 % zu, und 70 % aller Organisationen weltweit waren bereits Opfer eines solchen Angriffs. Diese Zahlen basieren auf einer Anbieterauswertung und sind nicht zwingend global repräsentativ – die Tendenz ist dennoch eindeutig.
Wenn Deepfake-Audio schon reicht, was macht dann Deepfake-Video? Es beseitigt den letzten vermeintlich sicheren Verifikationskanal. Modernes BEC kombiniert inzwischen alle drei Kanäle: KI-generierte Mail zur Anbahnung, Stimmklon am Telefon für Druck und Authentizität, und in raffinierten Fällen eine gefälschte Videokonferenz, in der vermeintlich CFO oder CEO sichtbar die Überweisung autorisieren.
Das ist kein Science-Fiction-Szenario. Sicherheitsanbieter melden dokumentierte Fälle, in denen Deepfake-Videos für Videokonferenz-Täuschungen eingesetzt wurden. Die Qualität ist nicht immer perfekt – On-the-fly-Deepfakes weisen bei schlechter Leitung oder Hardware teils noch Artefakte, Latenzen oder Mikro-Aussetzer auf. Aber der Schwellenwert, ab dem ein Angriff überzeugend genug ist, senkt sich rapide.
Identitätsdiebstahl auf KI-Basis ist zugleich ein rechtlich komplexes Feld. Wer die Stimme oder das Gesicht einer Person ohne Einwilligung für betrügerische Zwecke klont, bewegt sich in einem strafrechtlich relevanten Raum – Betrug, Identitätsmissbrauch, in einigen Jurisdiktionen auch explizite Deepfake-Regelungen. Die Strafverfolgung hinkt der Technologie jedoch strukturell hinterher.
Das eigentliche Problem bei Deepfake-BEC ist nicht technischer Natur – es ist ein Vertrauensproblem. Jahrzehntelang galt: Stimme und Gesicht einer bekannten Person sind verlässliche Verifikationssignale. Das ist eine Annahme, die KI gerade zerlegt.
Cyberangriffe auf Authentifizierungssysteme zeigen ein Muster: Identitäten sind das neue primäre Angriffsziel. Nicht Systeme, nicht Netzwerke – Menschen und ihre Identitätsmerkmale. Der Deepfake-Angriff ist dabei nur die sichtbarste Form. Dahinter steckt dasselbe Prinzip: Wer die Identität kontrolliert, kontrolliert das Vertrauen.
E-Mail-Authentifizierungsstandards wie SPF, DKIM und DMARC sind wichtige Bausteine gegen Domain-Spoofing, helfen aber nicht gegen kompromittierte legitime Accounts oder gegen Angriffe, die andere Kanäle wie Telefon oder Video nutzen. DMARC schützt die Domain. Es schützt nicht die Stimme des CEOs.
Meine persönliche Einschätzung: Wer seinen Security-Stack heute ausschließlich auf technische Filter setzt, hat die Bedrohungsverschiebung der letzten zwölf Monate schlicht nicht verarbeitet. Der Angreifer hat bereits auf Social Engineering als primären Angriffsweg umgestellt – vollständig automatisiert, skalierbar, personalisiert.
Der wichtigste Schutz gegen Deepfake-CEO-Fraud ist kein Tool, sondern ein Prozess. Das Vier-Augen-Prinzip bei Zahlungsfreigaben bleibt der stabilste Schutz – egal wie überzeugend die Stimme am Telefon klingt. Ergänzend empfehlen Sicherheitsspezialisten Codewort-Systeme für telefonische Zahlungsanweisungen: ein vorab vereinbartes Wort zwischen Finanzabteilung und Führungsebene, das im Ernstfall abgefragt wird. Ein Deepfake kennt das Codewort nicht.
Rückrufpflicht auf intern hinterlegte, verifizierte Nummern ist ein weiterer Schutzmechanismus – explizit nicht auf Nummern, die in einer Mail oder von einem Anrufer selbst mitgeteilt werden. Das klingt trivial. Es wird trotzdem regelmäßig ignoriert, weil die dringende Stimme am Telefon Stress erzeugt und Stress die Prozesstreue senkt.
Security-Awareness-Trainings müssen 2026 andere Inhalte transportieren als noch vor drei Jahren. Tippfehler sind kein verlässliches Erkennungsmerkmal mehr. Relevanter sind: Abweichungen vom normalen Prozess, ungewöhnliche Dringlichkeit, Anfragen außerhalb regulärer Kanäle, neu registrierte Absender-Domains, unbekannte Anhänge (SVG-Dateien, Kalender-Invites aus fremden Systemen).
Simulierte Deepfake-Anrufe als Trainingskomponente – also kontrollierte Testsituationen, in denen Mitarbeitende mit einer geklonten Stimme konfrontiert werden – werden von Sicherheitsanbietern inzwischen als sinnvolle Ergänzung klassischer Phishing-Simulationen empfohlen. Das ist keine Übertreibung mehr, sondern eine logische Konsequenz der veränderten Bedrohungslage.
E-Mail-Sicherheit bleibt relevant. SPF, DKIM, DMARC schließen eine wichtige Angriffsfläche. Aber der Schutz muss breiter werden. KI-gestützte Mail-Filter, die auf Verhaltensanomalien und Kontext reagieren statt nur auf Signaturen, sind der nächste Schritt. Deepfake-Erkennungstools für Video-Calls kommen 2026 vermehrt auf den Markt – als sinnvolle Ergänzung im Security-Stack, aber noch nicht als zuverlässige Alleinstrategie. Das Wettrüsten zwischen Deepfake-Generierung und Deepfake-Erkennung läuft, und wer glaubt, die Erkennungsseite habe gewonnen, ist zu früh optimistisch.
Eine verbreitete Annahme lautet, dass vor allem große Konzerne im Visier von Deepfake-BEC stehen – schließlich sind dort die Überweisungsvolumina größer. Diese Annahme ist nur zum Teil richtig. Mittelständische Unternehmen zwischen 50 und 500 Mitarbeitenden sind aus Angreiferperspektive besonders attraktiv, weil sie oft ausreichend Umsatz für sechsstellige Überweisungen generieren, aber selten über spezialisierte Security-Teams oder formalisierte Zahlungsfreigabeprozesse verfügen.
Hinzu kommt ein strukturelles Problem: In vielen mittelständischen Betrieben kennt die Buchhaltung den Geschäftsführer persönlich, spricht regelmäßig mit ihm – und vertraut deshalb seiner Stimme am Telefon umso mehr. Genau diese eingelebte Vertrauenskultur ist die Angriffsfläche. Was als Stärke wahrgenommen wird, wird zur Schwachstelle, sobald der Angreifer diese Vertrautheit synthetisch nachbildet.
Auch international aufgestellte Unternehmen mit Tochtergesellschaften in verschiedenen Ländern tragen ein erhöhtes Risiko. Wenn die Buchhaltung in der deutschen Niederlassung eine Anweisung der Konzernmutter in englischer Sprache erhält – per Mail und mit nachfolgendem Anruf in akzentfreiem Englisch – sind die Warnsignale schwerer zu erkennen als in einer rein nationalen Struktur. Sprachliche und kulturelle Distanz spielt dem Angreifer in die Hände.
Ein weiterer blinder Fleck betrifft Personalwechsel. Neue Mitarbeitende in Finanz- oder HR-Abteilungen kennen die internen Prozesse noch nicht auswendig und sind weniger sicher, ob eine ungewöhnliche Anfrage legitim ist. Angreifer nutzen dieses Zeitfenster gezielt: Öffentliche LinkedIn-Ankündigungen über Stellenwechsel liefern ihnen den Hinweis, wann ein neues Ziel besonders verwundbar ist.
Um die abstrakte Bedrohung greifbarer zu machen, lohnt ein konkretes Durchspielen. Stellen Sie sich folgende Konstellation vor: Ein mittelständisches Produktionsunternehmen mit 180 Mitarbeitenden. Der CFO ist auf einer Messe in einer anderen Stadt, was aus einem öffentlichen Konferenzprogramm hervorgeht. Die neue Buchhalterin, seit drei Wochen im Unternehmen, verwaltet Zahlungsläufe.
Am Dienstagmorgen trifft eine Mail ein. Absender ist eine Domain, die der Unternehmens-Domain zum Verwechseln ähnelt – ein einzelner Buchstabe vertauscht, kaum auffällig. Der Inhalt: Der CFO benötige dringend eine Vorauszahlung an einen neuen Lieferanten für ein vertrauliches Projekt, das intern noch nicht kommuniziert werden dürfe. Betrag: 87.000 Euro. Rückfragen bitte direkt telefonisch, nicht per Mail.
Die neue Mitarbeiterin ruft die in der Mail angegebene Mobilnummer an. Sie hört die Stimme des CFOs – klar, ruhig, bestimmt. Er bestätigt die Zahlung, betont die Vertraulichkeit und bittet um rasche Umsetzung, da er gleich in ein Meeting müsse. Dreißig Minuten später ist die Überweisung raus.
Was hier versagt hat, sind gleich mehrere Schutzebenen gleichzeitig: kein Vier-Augen-Prinzip für die Freigabe, kein Rückruf auf eine intern hinterlegte Nummer, kein Codewort-System, keine Sensibilisierung der neuen Mitarbeiterin für genau dieses Szenario. Jeder dieser fehlenden Bausteine wäre für sich allein schon ausreichend gewesen, um den Angriff zu stoppen.
Das Szenario ist fiktiv, aber es spiegelt Angriffsstrukturen wider, die Sicherheitsexperten aus dokumentierten Vorfällen beschreiben. Die Elemente – Abwesenheit der Führungskraft, neues Personal, ähnliche Domain, Deepfake-Stimme – sind keine Zufälle, sondern bewusst gewählte Variablen im Angriffsdesign.
Angenommen, die Überweisung ist raus. Was dann? Hier greift ein oft unterschätzter Zeitfaktor. Bei erfolgreichen KI-Phishing- und Deepfake-BEC-Angriffen empfehlen Compliance-Experten drei parallele Sofortmaßnahmen: Bank sofort informieren, um eine mögliche Rückbuchung zu initiieren (Zeitfenster sind kurz, oft unter 24 Stunden); Strafanzeige bei der Polizei erstatten; und – bei personenbezogenen Daten im Angriff – die Datenschutzaufsichtsbehörde binnen 72 Stunden benachrichtigen, wie es die DSGVO vorschreibt.
Das ist das Schönste an diesem Thema aus Compliance-Perspektive: Selbst das Opfer hat Meldepflichten und Fristen. Der Angreifer hat sie nicht. Galgenhumor inklusive.
Strafrechtlich bewegt sich Deepfake-gestützter CEO-Fraud in einem Bereich, der klassischen Betrug (§ 263 StGB), mögliche Urkundenfälschung und je nach Ausgestaltung auch Identitätsmissbrauch berührt. Die rechtliche Aufarbeitung ist komplex, die Täter oft im Ausland, die Rückholung des Geldes in den meisten Fällen illusorisch.
Was KI-Phishing und Deepfake-BEC von klassischem CEO-Fraud unterscheidet, ist nicht primär die Sophistication. Es ist die Skalierbarkeit. Ein menschlicher Social Engineer kann zehn, vielleicht zwanzig gut recherchierte Angriffe pro Tag durchführen. KI kann dieselbe Qualität auf Tausende Ziele parallel anwenden.
Cybersecurity-Experten warnen, dass hyperpersonalisiertes KI-Phishing 2026 keine Ausnahme mehr ist, sondern zur konstanten Grundbedrohung wird – für jede Unternehmensgröße, jede Branche, jeden Kanal. Finanzabteilungen, HR und Einkauf sind dabei die statistisch häufigsten Zielabteilungen, weil sie Zahlungen autorisieren oder Zugangsdaten verwalten.
Ich beobachte seit Monaten, wie Security-Teams zwischen technischer Abwehr und menschlicher Resilienz zerrissen werden. Beide Seiten sind nötig. Aber die Priorisierung verschiebt sich: Der Mensch ist das primäre Angriffsziel, also muss der Mensch auch primär adressiert werden – mit Prozessen, Training und klaren Eskalationswegen, nicht nur mit besserer Firewall.
KI-Phishing und Deepfake-gestützter Business Email Compromise sind keine Zukunftsbedrohung mehr. Sie sind die dokumentierte Gegenwart – mit Schadenssummen im Milliardenbereich, Zuwachsraten im dreistelligen Prozentbereich und einer technologischen Entwicklungsgeschwindigkeit, die klassische Abwehrstrategien strukturell überfordert.
Die zentrale Frage für jede Finanzabteilung, jede IT-Verantwortliche und jedes Management lautet deshalb nicht mehr, ob ein Deepfake-Angriff realistisch ist. Sie lautet: Welcher Ihrer Prozesse hält stand, wenn die Stimme Ihres CEOs am Telefon kein verlässliches Erkennungsmerkmal mehr ist?
Überprüfen Sie Ihre Zahlungsfreigabeprozesse. Nicht nächstes Quartal.
