Deepfake & CEO-Fraud: Bedrohung für Unternehmen abwehren

Inhalt in Kürze

• Stieg die Zahl um 1.100 Prozent: Deepfake-Betrug in Deutschland — Kriminelle imitieren die Stimme des Geschäftsführers aus drei Sekunden Audiomaterial.
• 62 Prozent der Unternehmen erlebten 2024 bereits Deepfake-Angriffe. CEO-Betrug stellt eine wachsende Bedrohung für Unternehmen dar.
• Das BSI warnt vor KI-gestütztem CEO-Fraud als eine der raffiniertesten Betrugsmaschen — Cyberkriminelle nutzen manipulierte Fotos und Videos für täuschend echte Fälschungen.
• Unternehmen müssen jetzt handeln: Vier-Augen-Prinzip, Codewort-System und Callback-Verifizierung stoppen die meisten Betrugsversuche effektiv.

Stellen Sie sich vor: Ihr CFO erhält einen Videoanruf. Auf dem Bildschirm sieht er den CEO des Unternehmens, hört seine Stimme am Telefon, erkennt seine Mimik. Die Führungskraft bittet dringend um eine Überweisung in Höhe von 490.000 Euro auf ein neues Bankkonto — vertraulich, sofort. Der CFO tätigt die Zahlung.

Das Problem: Der CEO war nicht echt. Jedes Gesicht und jede Stimme in dieser Videokonferenz war ein Deepfake — eine durch KI manipulierte Fälschung. Genau so ein Vorfall ist 2024 einem Unternehmen in Singapur passiert — 499.000 Dollar Schaden durch einen einzigen gefälschten Zoom-Call. CEO-Fraud mit Deep Fakes ist die effektivste Betrugsmasche, die Cyberkriminelle je eingesetzt haben.

CEO-Fraud und Deepfakes: Wie Kriminelle mit KI betrügen

Klassischer CEO-Fraud funktionierte per E-Mails. Ein Betrüger schrieb gezielt im Namen des Geschäftsführers: „Bitte überweisen Sie dringend 50.000 Euro auf dieses Bankkonto." Aufmerksame, misstrauische Mitarbeiter erkannten die gefälschte Absenderadresse oder den ungewöhnlichen Ton. Diese Angriffe ließen sich noch abwehren — doch mit manipulierten Deepfakes wird die Täuschung überzeugend genug, um selbst erfahrene Fachleute zu verleiten.

Deepfake-Technologie hat den Betrug revolutioniert. Die Bedrohung für Unternehmen ist real — und die Zahlen alarmierend:

Cyberkriminelle brauchen heute nur drei Sekunden Audiomaterial — etwa aus einem LinkedIn-Video, einem Podcast oder einer Telefonansage — um die Stimme des Geschäftsführers mit 85 Prozent Übereinstimmung nachzuahmen. Für einen überzeugenden Deepfake-Videoanruf reichen öffentlich verfügbare Fotos und Videos. Die Fälschungen wirken täuschend echt.

Laut Allianz Trade stiegen die Schäden durch CEO-Fraud mit Deepfakes 2025 um 81 Prozent. Bereits 2024 verdoppelten sich die Betrugsversuche per Deep Fake in Deutschland. Das BSI warnt vor einer neuen Welle KI-gestützter Social-Engineering-Angriffe und stuft die Nutzung von Deepfakes als ernsthafte Bedrohung für die Informationssicherheit ein.

Deepfake-Angriffe auf den Mittelstand: Die Schwachstellen

CEOs und hochrangige Führungskräfte im Mittelstand sind besonders attraktive Ziele für Kriminelle. Betrüger können sich dank KI als CEO oder Chief Financial Officer (CFO) ausgeben und Mitarbeiter verleiten, dringend hohe Summen auf manipulierte Bankkonten zu überweisen. Das Risiko: Die Fälschung ist so überzeugend, dass selbst geschulte Mitarbeiter die Täuschung nicht erkennen.

Die Schwachstelle beim CEO-Betrug ist nicht die Technik — es sind die Prozesse. Wo ein einzelner Mitarbeiter auf Anweisung einer vermeintlichen Führungskraft eine Transaktion über hohe Summen auslösen kann, stellt CEO-Fraud ein existenzielles Risiko für Unternehmen dar.

Laut einer Gartner-Studie vom September 2025 haben 62 Prozent der Unternehmen in den vergangenen zwölf Monaten Deepfake-Angriffe erlebt. Die Betrugsmaschen der Kriminellen werden immer raffinierter — und die manipulierten Angriffsmethoden durch KI immer schwerer zu erkennen.

So funktioniert CEO-Fraud per Deepfake: Die Angriffsmethoden

Cyberkriminelle nutzen für Deepfake-Betrug verschiedene Kanäle. Der gefälschte Videoanruf ist nur eine Variante. Der Angreifer imitiert dabei die Stimme oder das Gesicht einer hochrangigen Führungskraft. So gehen Betrüger typischerweise vor:

Die Gefahren von Deepfakes gehen über CEO-Fraud hinaus. Kriminelle nutzen die manipulierte Technologie auch, um persönliche Daten und sensible Daten zu stehlen. Dabei geben sich die Angreifer überzeugend als hochrangige Führungskräfte aus und tätigen dringend vertrauliche Anfragen.

Aus der Praxis: Deepfakes erkennen — die Warnsignale

Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern, bei dem der Geschäftsführer eine E-Mail von einem Geschäftspartner bekam. Die E-Mail kam wirklich von diesem Geschäftspartner — trotzdem war es ein Angriff. Social Engineering wird durch KI noch gefährlicher, weil die Täuschung täuschend echt ist.

Nils OehmichenDatenschutzberater bei frag.hugo

Werden Sie misstrauisch bei diesen Warnsignalen — sie deuten auf einen Deepfake-Betrugsversuch hin:

1. Dringend und vertraulich — „Das muss heute noch raus, fragen Sie niemanden." Ein Gefühl der Dringlichkeit ist das Hauptwerkzeug der Betrüger.
2. Neue Bankverbindung — Überweisung auf ein bisher unbekanntes Bankkonto. Angreifer nutzen frisch eröffnete Konten.
3. Geheimhaltungsbitte — „Sprechen Sie mit niemandem darüber." Vertraulichkeit soll die Verifizierung verhindern.
4. Untypischer Kommunikationsweg — Der CEO ruft normalerweise nie direkt an? Seien Sie misstrauisch.
5. Leichte Audio-/Video-Störungen — Minimale Verzögerungen, unnatürliche Lippenbewegungen in manipulierten Videos und Audioaufnahmen.
6. Emotionaler Druck — „Wenn Sie das nicht dringend machen, verlieren wir den Deal."
7. Außergewöhnliche Uhrzeiten — Anrufe spätabends oder am Wochenende, wenn niemand zur Gegenprüfung verfügbar ist.

5 Schutzmaßnahmen: Deepfake-Betrug effektiv abwehren

Unternehmen müssen eine Kombination aus technischen und organisatorischen Maßnahmen umsetzen. Führen Sie regelmäßige Schulungen durch und schaffen Sie klare Prozesse. So können Sie CEO-Fraud effektiv schützen:

1. Vier-Augen-Prinzip einführen: Keine Überweisung über 5.000 Euro ohne Freigabe durch eine zweite, unabhängige Person. Diese Sicherheitsmaßnahme verhindert effektiv, dass ein einzelner erfolgreicher Betrugsversuch durch Kriminelle zum Schaden führt. Keine Transaktion ohne doppelte Freigabe.
2. Geheimes Codewort vereinbaren: Für telefonische Zahlungsanweisungen ein zuvor persönlich vereinbartes Codewort nutzen. KI kann dieses Codewort nicht reproduzieren — ein einfacher, aber effektiver Schutz gegen Deepfake-Anrufe und CEO-Betrug.
3. Callback-Verifizierung zur Pflicht machen: Bei ungewöhnlichen Anfragen: Gespräch beenden, die Person unter der bekannten Nummer zurückrufen und verifizieren. Nicht die Nummer aus dem Anruf verwenden — die könnte gefälscht sein.
4. Sensibilisierung und Schulung durchführen: Regelmäßige Mitarbeiterschulungen zu Deepfakes und CEO-Fraud. Mitarbeiter für die Bedrohung sensibilisieren — sie sind die entscheidende Verteidigungslinie gegen Betrüger.
5. Compliance-Prozesse schriftlich fixieren: Klare, dokumentierte Freigabeprozesse für Zahlungen, sensible Daten und Vertragsänderungen. Kein Deepfake-Anruf — egal wie täuschend echt und überzeugend — darf diese Prozesse aushebeln.

Lesetipp: Dieses Thema wird in unserem kostenlosen E-Book „CYBER-SICHER — Der IT-Sicherheits-Guide für den deutschen Mittelstand" (47 Seiten, 2026-Edition) ausführlich behandelt. Jetzt herunterladen →

Ihr nächster Schritt

Häufige Fragen (FAQ)

Was ist CEO-Fraud mit Deepfakes?

Bei CEO-Fraud geben sich Betrüger als Geschäftsführer oder Führungskraft aus und verleiten Mitarbeiter zu Überweisungen. Mit Deepfake-Technologie können Kriminelle Stimmen imitieren und sogar Videokonferenzen täuschend echt fälschen — drei Sekunden Audiomaterial reichen für eine 85-prozentige Stimmkopie. Der Vorfall in Singapur 2024 zeigt, wie real die Bedrohung ist.

Wie erkenne ich einen Deepfake-Anruf?

Warnsignale sind dringender Zeitdruck, untypische Überweisungswege, neue Bankkonten, Bitten um Geheimhaltung und Anrufe außerhalb der üblichen Geschäftszeiten. Seien Sie misstrauisch, wenn die Stimme am Telefon zu einer vertraulichen Zahlung auffordert. Im Zweifel: Auflegen und die Person unter der bekannten Nummer zurückrufen.

Welche Schutzmaßnahmen helfen effektiv gegen CEO-Fraud?

Die effektivsten Sicherheitsmaßnahmen sind das Vier-Augen-Prinzip für Überweisungen, ein geheimes Codewort für telefonische Zahlungsanweisungen, die Callback-Verifizierung über bekannte Nummern und regelmäßige Security-Awareness-Schulungen. Die Sensibilisierung der Mitarbeiter ist das Fundament für den Schutz gegen Deepfake-Betrug.

Wie häufig sind Deepfake-Angriffe auf Unternehmen?

Laut Gartner haben 62 Prozent der Unternehmen in den vergangenen zwölf Monaten Deepfake-Angriffe erlebt. In Deutschland stieg die Zahl von Deepfake-Betrug um 1.100 Prozent. Dass Unternehmen jeder Größe betroffen sind, zeigen die Vorfälle aus 2024 und 2025.

Ist das Erstellen von Deepfakes verboten?

Das Erstellen von Deepfakes selbst ist nicht verboten. Strafbar wird es, wenn Deepfakes für Betrug, Erpressung, Identitätsdiebstahl oder Verleumdung eingesetzt werden. CEO-Fraud ist als Betrug nach § 263 StGB strafbar. Für Compliance müssen Unternehmen organisatorische Maßnahmen zum Schutz umsetzen.