Skip to main content

Deepfakes – warum Unternehmen und Führungskräfte aufmerksam werden müssen

Grafik als Kopf für den Blog der Deepfakes symbolisiert

In den letzten Wochen habe ich mich intensiver mit dem Thema Deepfakes beschäftigt. Je mehr ich gelesen habe, desto deutlicher wurde mir: Hier geht es nicht um Zukunftsmusik, sondern um eine sehr konkrete Bedrohung, die Unternehmen schon heute betrifft.

Ich möchte meine Erkenntnisse teilen, weil ich glaube, dass viele Führungskräfte noch unterschätzen, wie gezielt und geplant solche Angriffe ablaufen – und dass man sie nicht allein mit Software abwehren kann.

Ein Beispiel, das zeigt, wie realistisch das ist

Besonders hängen geblieben ist mir der Fall des internationalen Beratungsunternehmens Arup, der Anfang 2025 bekannt wurde.

Die Vorbereitung: Die Angreifer begannen nicht mit einem schnellen Angriff, sondern mit sorgfältiger Planung. Sie sammelten öffentlich zugängliches Material: Videos von Auftritten, Interviews, Pressebeiträge und Social-Media-Inhalte des Finanzchefs. Dieses Material lieferte genug Daten, um eine KI mit seiner Stimme und seiner Mimik zu trainieren. Parallel recherchierten die Täter interne Abläufe – zum Beispiel, wer im Unternehmen Überweisungen autorisiert und welche Summen realistisch wirken würden.

Die Ausführung: Eine Mitarbeiterin aus der Finanzabteilung erhielt zunächst eine E-Mail, die wie gewohnt vom CFO wirkte. Kurz darauf wurde sie zu einem Videocall eingeladen. Auf dem Bildschirm erschien der CFO selbst: vertraute Gestik, Stimme, Betonung – alles wirkte authentisch.

In dem Gespräch forderte er die Mitarbeiterin auf, dringend eine Überweisung von rund 25 Millionen US-Dollar zu tätigen. Er argumentierte mit Zeitdruck und Vertraulichkeit – typische Faktoren, die in Stresssituationen Entscheidungsdruck erzeugen.

Für die Mitarbeiterin gab es in diesem Moment kaum einen Grund zu zweifeln: Sie sah und hörte ihren Chef, die E-Mail passte dazu, und das Szenario schien plausibel. Also autorisierte sie die Zahlung.

Die Folgen: Das Geld floss auf ein Konto im Ausland – und war binnen Stunden verschwunden. Erst später stellte sich heraus: Der CFO war in Wahrheit nie in diesem Call. Das ganze Gespräch war ein Deepfake, sorgfältig vorbereitet und umgesetzt.

Warum dieser Fall so lehrreich ist

Mich beschäftigt dieser Vorfall, weil er mehrere Dinge verdeutlicht.

  1. Es sind geplante Angriffe. Die Täter haben wochenlang Material gesammelt, Abläufe analysiert und ein glaubwürdiges Szenario entwickelt.

  2. Sie kombinieren Technik und Social Engineering. Die KI sorgt für das täuschend echte Abbild, die soziale Manipulation für den psychologischen

  3. Interne Informationen spielen eine Rolle. Ob bewusst durch Insider weitergegeben oder unbewusst offengelegt – ohne internes Wissen wäre die Täuschung weniger überzeugend gewesen.

Was wir daraus lernen können

Der Arup-Fall ist kein Einzelfall, sondern Teil einer wachsenden Serie gezielter Deepfake-Angriffe. Die wichtigste Lehre daraus ist für mich: Technik allein reicht nicht. Unternehmen brauchen Prozesse und eine Kultur, die kritisches Hinterfragen erlaubt.

Das bedeutet konkret:

  • Awareness schaffen: Führungskräfte müssen sich bewusst sein, dass sie Zielpersonen sind.

  • Mehrkanal-Prüfung: Kritische Anweisungen sollten immer über einen zweiten Kanal überprüft werden.

  • Klare Eskalationswege: Mitarbeitende müssen wissen, wie sie reagieren dürfen, wenn ihnen etwas ungewöhnlich vorkommt.

  • Übungen: Nur wer solche Szenarien durchspielt, erkennt Warnsignale in Stresssituationen.

Checkliste für Unternehmen

  • Sensibilisierung im Management durch regelmäßige Briefings und Awareness-Trainings

  • Doppelte Verifizierung: kritische Zahlungen oder Anweisungen immer über einen zweiten Kommunikationskanal bestätigen lassen

  • Red-Flag-Kultur: Mitarbeitende ermutigen, bei ungewöhnlichen Anfragen sofort Rückfragen zu stellen – ohne Angst vor Konsequenzen

  • Notfallpläne: klare Abläufe, an wen sich Mitarbeiter wenden können, wenn ein Verdacht aufkommt

  • Übungsszenarien: Deepfake-Angriffe in Sicherheitstrainings nachstellen, um Routine im Umgang zu schaffen

  • Interne Daten schützen: Informationen zu Abläufen, Kontakten und Verantwortlichkeiten nicht unnötig offenlegen

Deepfakes sind heute schon eine reale Bedrohung. Der Arup-Fall zeigt, dass es sich dabei nicht um spontane Hackeraktionen handelt, sondern um sorgfältig geplante Angriffe mit klarer Zielsetzung.

Mich hat diese Recherche überzeugt: Wir müssen Deepfakes als strategische Gefahr für Unternehmen ernst nehmen – und Führungskräfte darauf vorbereiten, dass sie selbst Teil des Ziels sein können.

Tags: