Deepfake-Betrug im Unternehmen: Wenn der CEO am Telefon nicht der CEO ist

1 Min. Lesezeit

Im Februar 2024 überwies ein Finanzverantwortlicher in Hongkong 25 Millionen Dollar – nach einem Videocall mit dem vermeintlichen CFO. Alle Teilnehmer des Calls waren Deepfakes. Der Fall markiert eine Zeitenwende: Social Engineering ist nicht mehr auf E-Mail und Telefon beschränkt. KI macht Identitätsbetrug in Echtzeit möglich.

Das Wichtigste in Kürze

25-Millionen-Dollar-Deepfake-Betrug in Hongkong (Februar 2024)
Voice Cloning braucht nur 3 Sekunden Audio-Material (Microsoft VALL-E)
Deepfake-Erkennung durch Menschen: unter 50 Prozent Trefferquote
CEO-Fraud-Schäden 2023: 2,7 Milliarden USD weltweit (FBI IC3)

Vom Phishing-Mail zum Deepfake-Videocall

Klassischer CEO-Fraud funktioniert per E-Mail: „Überweisen Sie sofort 200.000 EUR an dieses Konto, vertraulich.“ Die Erfolgsquote sank mit steigender Awareness. Deepfakes heben das Spiel auf ein neues Level: Wenn der CEO persönlich – per Video oder Telefon – anruft, sinkt das Misstrauen drastisch. Mehr dazu im Beitrag zu Deepfake-Betrug.

Die Technologie ist erschreckend zugänglich. Voice Cloning mit Tools wie ElevenLabs oder Resemble AI produziert überzeugende Stimmkopien aus wenigen Sekunden Audio. Video-Deepfakes in Echtzeit sind aufwändiger, aber für hochwertige Ziele lohnt sich der Einsatz.

Die Anatomie eines Deepfake-Angriffs

Der Hongkong-Fall folgte einem Muster: Zuerst eine Phishing-Mail als Vorbereitung, dann die Einladung zu einem dringenden Videocall. Im Call waren mehrere Personen – alle KI-generiert. Die vertraute Umgebung (Teams/Zoom), bekannte Gesichter und die Gruppendynamik eliminierten das Misstrauen.

Die Vorbereitung nutzt öffentlich verfügbare Daten: LinkedIn-Profile, YouTube-Interviews, Podcast-Auftritte und Unternehmenswebseiten liefern das Trainingsmaterial für Stimme und Erscheinung.

Warum technische Erkennung (noch) nicht reicht

Deepfake-Detektion ist ein Wettrüsten. Aktuelle Detektoren analysieren Artefakte: unnatürliches Blinzeln, inkonsistente Beleuchtung, Audio-Video-Desynchronisation. Doch jede neue Modellgeneration reduziert diese Artefakte. Die Erkennungsrate liegt bei Menschen unter 50 Prozent – kaum besser als Münzwurf.

Technische Lösungen (Content Provenance, C2PA-Standard, digitale Wasserzeichen) sind in Entwicklung, aber noch nicht flächendeckend verfügbar. Kurzfristig bleibt der menschliche Prozess die wichtigste Verteidigung.

Gegenmaßnahmen: Prozesse statt Technologie

Die wirksamste Verteidigung: Vier-Augen-Prinzip bei allen Finanztransaktionen über einem Schwellenwert, Rückruf über einen unabhängigen Kanal („Ich rufe Sie auf Ihrer Büronummer zurück“), vorab vereinbarte Code-Wörter für sensible Anweisungen und die klare Regel: Kein Videocall oder Telefonat allein autorisiert eine Zahlung.

Diese Prozesse kosten nichts und sind sofort implementierbar. Sie sind die einzige Verteidigung, die auch gegen zukünftige, perfektere Deepfakes funktioniert – weil sie die Identität über einen zweiten, unabhängigen Kanal verifizieren.

Key Facts

Hongkong-Fall: 25 Mio. USD Schaden durch Deepfake-Videocall (Februar 2024)

CEO-Fraud gesamt: 2,7 Mrd. USD Schaden in 2023 (FBI IC3 Report)

Voice Cloning: 3 Sekunden Audio reichen für überzeugende Stimmkopie (VALL-E)

Häufige Fragen

Kann ich Deepfakes erkennen?

Schwer. Achten Sie auf: unnatürliche Lippenbewegungen, seltsame Beleuchtungswechsel, fehlende Mikrobewegungen im Gesicht, leichte Audio-Verzögerung. Aber: Verlassen Sie sich nie darauf – nutzen Sie immer einen zweiten Verifizierungskanal.

Sind wir als Mittelständler betroffen?

Ja. Der Aufwand für Voice Cloning ist minimal. Auch ohne Video-Deepfake reicht ein überzeugender Anruf „vom Geschäftsführer“ an die Buchhaltung. Die Hürde sinkt mit jedem Tag. Prozessuale Schutzmaßnahmen sind für jede Unternehmensgröße relevant.

Hilft eine Cyber-Versicherung bei Deepfake-Betrug?

Abhängig von der Police. Viele Cyber-Versicherungen decken Social-Engineering-Schäden, aber mit Sublimits (oft 250.000-500.000 EUR). CEO-Fraud wird teilweise unter Crime/Fidelity-Policen abgedeckt. Prüfen Sie Ihren Vertrag auf explizite Nennung von „Identitätsbetrug“ oder „Social Engineering“.