Künstliche Intelligenz eröffnet Unternehmen neue Möglichkeiten – gleichzeitig macht sie Betrug professioneller und schwerer erkennbar. Stimmen lassen sich imitieren, Videokonferenzen manipulieren und große Mengen glaubwürdig wirkender Bewertungen automatisiert erzeugen.
Nach dem Cybersicherheitsmonitor 2026 überprüfen lediglich 19 Prozent der Befragten die Quelle KI-generierter Inhalte. Für Unternehmen ist das besonders relevant: Betrüger können sich als Geschäftsführer, Lieferanten, Mitarbeiter oder Kunden ausgeben und dadurch Zahlungen, Zugangsdaten oder vertrauliche Informationen erlangen.
Wie können Unternehmen reagieren, wenn selbst Stimmen, Bilder und Videos keine verlässlichen Identitätsmerkmale mehr sind?
Darüber sprechen wir mit Max Maurischat, Geschäftsführer der SCOREDEX GmbH. Im Interview erklärt er, warum sichere Prozesse wichtiger sind als die perfekte Deepfake-Erkennung und welche Schutzmaßnahmen Unternehmen jetzt einführen sollten.
Das Wichtigste in Kürze
- Deepfakes können Stimmen, Videos und digitale Identitäten täuschend echt nachbilden.
- Besonders gefährdet sind Zahlungsfreigaben, Änderungen von Bankdaten und vertrauliche Datenübermittlungen.
- Fake-Bewertungen können Unternehmen wirtschaftlich schädigen und Verbraucher täuschen.
- Mitarbeiter benötigen klare Kontrollwege und regelmäßige Schulungen zu Social Engineering.
- Bei kritischen Vorgängen sollte niemals allein auf E-Mails, Anrufe, Stimmen oder Videobilder vertraut werden.
Interview mit Max Maurischat, Geschäftsführer der SCOREDEX GmbH
SCOREDEX Redaktion: Herr Maurischat, sind Deepfakes für Unternehmen bereits ein reales Risiko oder wird die Gefahr derzeit übertrieben?
Max Maurischat: Die Gefahr ist real. Wir sollten allerdings nicht den Fehler machen, nur auf spektakuläre gefälschte Videos zu schauen. Für einen erfolgreichen Betrug reicht häufig bereits eine manipulierte Stimme, eine glaubwürdige E-Mail oder eine gefälschte Nachricht über einen Messenger.
Die Qualität dieser Inhalte steigt. Gleichzeitig sinken die technischen Hürden. Angreifer benötigen heute nicht mehr zwangsläufig große Teams oder besondere Spezialkenntnisse, um eine Person digital nachzuahmen.
Entscheidend ist aber ein anderer Punkt: Der Betrug funktioniert selten allein wegen der Technologie. Er funktioniert, weil er mit Zeitdruck, Autorität, Angst oder Vertraulichkeit verbunden wird. Die KI liefert die glaubwürdige Fassade. Die eigentliche Schwachstelle bleibt häufig der menschliche Entscheidungsprozess.
SCOREDEX Redaktion: Wie sieht ein typischer Deepfake-Angriff auf ein Unternehmen aus?
Max Maurischat: Häufig beginnt der Angriff lange vor dem eigentlichen Kontakt. Täter sammeln öffentlich verfügbare Informationen über das Unternehmen, seine Geschäftsführung, Mitarbeiter, Lieferanten und interne Abläufe.
Unternehmenswebseiten, soziale Netzwerke, Interviews, Podcasts und Videos liefern dafür sehr viel Material. Daraus lassen sich Schreibstil, Stimme, Aussehen und typische Kommunikationsmuster ableiten.
Anschließend erhält beispielsweise ein Mitarbeiter aus der Buchhaltung einen vermeintlichen Anruf des Geschäftsführers. Die Stimme klingt vertraut. Der angebliche Geschäftsführer erklärt, dass eine Zahlung dringend ausgeführt werden müsse und der Vorgang streng vertraulich sei.
In einer anderen Variante wird ein Lieferant imitiert. Das Unternehmen erhält die Mitteilung, dass sich die Bankverbindung geändert habe. Werden die Angaben ungeprüft im System übernommen, landen spätere Zahlungen auf dem Konto der Betrüger.
Europol zählt unter anderem CEO-Betrug, Identitätsmissbrauch und die Manipulation von Beweismaterial zu den möglichen kriminellen Einsatzbereichen von Deepfakes.
SCOREDEX Redaktion: Kann man eine gefälschte Stimme oder ein manipuliertes Video zuverlässig erkennen?
Max Maurischat: Nicht immer. Genau darin liegt das Problem. Früher konnte man häufig auf unnatürliche Bewegungen, fehlerhafte Lippenbewegungen, eine merkwürdige Aussprache oder sichtbare Bildstörungen achten. Diese Hinweise gibt es teilweise noch, aber sie werden zunehmend unzuverlässig.
Unternehmen dürfen ihre Sicherheitsstrategie deshalb nicht darauf aufbauen, dass Mitarbeiter einen Deepfake optisch oder akustisch erkennen.
Die bessere Frage lautet nicht: „Ist diese Stimme echt?“ Die bessere Frage lautet: „Ist der geforderte Vorgang über einen unabhängigen zweiten Weg bestätigt worden?“
Bei einer ungewöhnlichen Zahlungsanweisung sollte der zuständige Mitarbeiter beispielsweise eine bekannte Telefonnummer verwenden und selbst zurückrufen. Er darf nicht einfach die Kontaktdaten nutzen, die in der verdächtigen Nachricht angegeben wurden.
Nicht die perfekte Deepfake-Erkennung schützt ein Unternehmen, sondern ein Prozess, der auch bei einer perfekten Fälschung sicher bleibt.
SCOREDEX Redaktion: Welche Unternehmensbereiche sind besonders gefährdet?
Max Maurischat: Besonders gefährdet sind alle Bereiche, in denen Geld, Zugriffsrechte oder vertrauliche Informationen bewegt werden.
Dazu gehören vor allem:
- Finanzbuchhaltung und Zahlungsverkehr
- Geschäftsführung und Assistenz
- Personalabteilungen
- Einkauf und Lieferantenmanagement
- IT-Support und Passwortverwaltung
- Kundenservice
- Presse- und Öffentlichkeitsarbeit
In der Personalabteilung können Betrüger beispielsweise versuchen, Bankdaten für Gehaltszahlungen zu ändern. Beim IT-Support geben sie sich möglicherweise als Mitarbeiter oder Führungskraft aus und verlangen eine Rücksetzung von Zugangsdaten.
Auch die Geschäftsleitung ist ein Ziel. Ein gefälschter Geschäftspartner könnte in einer Videokonferenz vertrauliche Dokumente, Vertragsinformationen oder interne Zugangsdaten anfordern.
SCOREDEX Redaktion: Welche Schutzmaßnahmen sollten Unternehmen bei Zahlungsanweisungen einführen?
Max Maurischat: Für sensible Zahlungen braucht es verbindliche Regeln, die unabhängig von der Hierarchie gelten. Ein Geschäftsführer darf nicht erwarten, dass eine Buchhalterin jede angeblich dringende Anweisung sofort umsetzt.
Ich empfehle mindestens fünf Maßnahmen:
Erstens sollte für ungewöhnliche oder größere Zahlungen konsequent das Vier-Augen-Prinzip gelten.
Zweitens müssen Änderungen von Bankverbindungen über einen bereits bekannten und unabhängigen Kommunikationsweg bestätigt werden.
Drittens sollten Unternehmen Schwellenwerte festlegen, ab denen zusätzliche Freigaben erforderlich sind.
Viertens dürfen Zahlungen nicht allein auf Grundlage einer E-Mail, Sprachnachricht oder Videokonferenz ausgelöst werden.
Und fünftens braucht es eine Unternehmenskultur, in der Rückfragen ausdrücklich erwünscht sind.
Ein Mitarbeiter muss eine verdächtige Anweisung stoppen dürfen, auch wenn sie angeblich vom Vorstand oder Geschäftsführer stammt.
SCOREDEX Redaktion: Warum spielt die Unternehmenskultur bei diesem Thema eine so große Rolle?
Max Maurischat: Weil Betrüger gezielt mit Autorität und Zeitdruck arbeiten. Sie hoffen darauf, dass ein Mitarbeiter nicht widerspricht, keine Rückfragen stellt und eine Entscheidung schnell ausführt.
Wenn im Unternehmen die Haltung herrscht, dass Anweisungen von oben niemals hinterfragt werden dürfen, entsteht eine ideale Angriffsfläche.
Sicherheit bedeutet deshalb auch, Mitarbeitern Rückendeckung zu geben. Niemand sollte Nachteile befürchten müssen, weil er eine Zahlung verzögert oder einen ungewöhnlichen Vorgang überprüft.
Ein guter Kontrollprozess schützt nicht nur das Unternehmen. Er schützt auch den einzelnen Mitarbeiter davor, unter Druck eine folgenschwere Entscheidung treffen zu müssen.
SCOREDEX Redaktion: Neben Deepfakes werden Fake-Bewertungen zu einem immer größeren Problem. Was beobachten Sie dort?
Max Maurischat: Durch generative KI lassen sich heute in sehr kurzer Zeit hunderte unterschiedlich formulierte Bewertungen erstellen. Sie können positiv sein, um ein eigenes Angebot künstlich aufzuwerten, oder negativ, um einem Wettbewerber zu schaden.
Die Texte wirken häufig glaubwürdig, weil sie konkrete Details, unterschiedliche Schreibstile und scheinbar persönliche Erfahrungen enthalten. Trotzdem kann der gesamte Inhalt erfunden sein.
Das Problem betrifft nicht nur Hotels, Restaurants oder Onlinehändler. Auch Finanzdienstleister, Beratungsunternehmen, Arbeitgeber, Ärzte, Handwerker und Technologieanbieter können durch manipulierte Bewertungen geschädigt werden.
Eine Untersuchung europäischer Verbraucherschutzbehörden hatte bereits bei mehr als der Hälfte der kontrollierten Webseiten mögliche Verstöße im Zusammenhang mit der Darstellung und Prüfung von Bewertungen festgestellt.
Die US-Handelsbehörde FTC hat ihre Regeln gegen gefälschte Bewertungen ausdrücklich auch auf KI-generierte Bewertungen ausgedehnt. Seit Oktober 2024 gelten dort verschärfte Vorgaben gegen den Kauf, Verkauf und die bewusste Nutzung falscher Rezensionen.
SCOREDEX Redaktion: Woran können Unternehmen erkennen, dass sie Ziel einer koordinierten Fake-Bewertungskampagne geworden sind?
Max Maurischat: Ein einzelnes Indiz reicht meistens nicht aus. Unternehmen sollten auf Muster achten.
Verdächtig sind beispielsweise viele Bewertungen innerhalb eines sehr kurzen Zeitraums, ähnliche Formulierungen, identische Argumentationsstrukturen oder Nutzerkonten ohne erkennbare Bewertungshistorie.
Auch Bewertungen zu Produkten, Mitarbeitern oder Filialen, die es gar nicht gibt, sind ein deutliches Warnsignal. Gleiches gilt, wenn mehrere Rezensionen denselben angeblichen Vorfall beschreiben, aber bei wichtigen Einzelheiten voneinander abweichen.
Unternehmen sollten solche Auffälligkeiten dokumentieren. Dazu gehören Screenshots, Veröffentlichungszeitpunkte, Nutzernamen, Links und mögliche inhaltliche Zusammenhänge.
Wichtig ist, nicht emotional oder aggressiv öffentlich zu reagieren. Eine sachliche Antwort wirkt professioneller und kann potenziellen Kunden zeigen, dass die Vorwürfe geprüft werden.
SCOREDEX Redaktion: Sollten Unternehmen negative Bewertungen grundsätzlich löschen lassen?
Max Maurischat: Nein. Echte Kritik ist wertvoll und muss ausgehalten werden. Unternehmen verlieren Glaubwürdigkeit, wenn sie versuchen, jede negative Erfahrung aus dem Internet zu entfernen.
Entscheidend ist die Unterscheidung zwischen zulässiger Kritik, falschen Tatsachenbehauptungen, Beleidigungen und vollständig erfundenen Bewertungen.
Bei einer sachlichen negativen Bewertung sollte das Unternehmen auf den Inhalt eingehen und eine Lösung anbieten. Bei offensichtlich fingierten Rezensionen sollte es den Plattformbetreiber kontaktieren und die Auffälligkeiten möglichst konkret belegen.
Unternehmen sollten außerdem transparent erklären, wie sie mit Bewertungen umgehen. Manipulierte positive Rezensionen sind keine sinnvolle Gegenstrategie. Sie erhöhen das rechtliche Risiko und können das Vertrauen dauerhaft beschädigen.
Unternehmen, die Verbraucherbewertungen veröffentlichen oder mit deren Echtheit werben, müssen darüber informieren, ob und wie sie sicherstellen, dass die Bewertungen tatsächlich von Verbrauchern stammen, die das Produkt erworben oder genutzt haben. Das Einstellen oder Beauftragen gefälschter Verbraucherbewertungen ist unzulässig.
SCOREDEX Redaktion: Welche weiteren Formen von KI-Betrug sind für Unternehmen relevant?
Max Maurischat: Das Spektrum ist sehr breit. Dazu gehören professionell formulierte Phishing-E-Mails, gefälschte Rechnungen, manipulierte Bewerbungsunterlagen, erfundene Identitäten und automatisierte Betrugsdialoge.
Auch sogenannte Romance-, Anlage- und Kryptowährungsbetrugsmodelle werden durch KI effizienter. Täter können personalisierte Nachrichten erzeugen, Übersetzungen automatisieren und sehr viele Opfer parallel ansprechen.
Für Unternehmen kommen gefälschte Kundenanfragen, manipulierte Verträge und Identitätsprüfungen hinzu. Selbst vermeintliche Videonachweise sind kein absoluter Beweis mehr dafür, dass die gezeigte Person tatsächlich anwesend ist.
Europol beschreibt generative KI, Deepfakes und gestohlene Zugangsdaten als Teile eines zunehmend professionellen Betrugsökosystems. Kriminelle kaufen und verkaufen Daten, Kontozugänge sowie technische Dienstleistungen über spezialisierte Marktplätze.
SCOREDEX Redaktion: Reicht eine klassische IT-Sicherheitssoftware gegen diese Angriffe aus?
Max Maurischat: Nein. Technische Systeme bleiben wichtig, aber viele dieser Angriffe nutzen keine klassische Sicherheitslücke. Sie manipulieren Menschen und betriebliche Prozesse.
Eine E-Mail kann technisch sauber sein und trotzdem einen betrügerischen Inhalt haben. Eine Stimme kann authentisch klingen und dennoch künstlich erzeugt worden sein. Ein Dokument kann professionell aussehen, obwohl die darin enthaltenen Angaben falsch sind.
Unternehmen benötigen deshalb eine Kombination aus IT-Sicherheit, klaren Prozessen, Datenprüfung und Mitarbeiterschulung.
Die Verantwortung darf nicht allein bei der IT-Abteilung liegen. Geschäftsführung, Buchhaltung, Personal, Einkauf, Kommunikation und Compliance müssen gemeinsam eingebunden werden.
SCOREDEX Redaktion: Welche Rolle spielen Mitarbeiterschulungen?
Max Maurischat: Eine sehr große. Schulungen sollten allerdings nicht nur einmal pro Jahr stattfinden und aus allgemeinen Warnungen bestehen.
Mitarbeiter benötigen konkrete Beispiele aus ihrem Arbeitsbereich. Die Buchhaltung muss andere Angriffsszenarien kennen als der Kundenservice oder die Personalabteilung.
Sinnvoll sind kurze, regelmäßige Übungen. Dazu können simulierte Phishing-Angriffe, Testanrufe, Fallbeispiele und interne Workshops gehören.
Die Mitarbeiter sollten lernen, auf typische Warnzeichen zu achten:
- ungewöhnlicher Zeitdruck
- Forderung nach Geheimhaltung
- abweichende Bankverbindungen
- Umgehung etablierter Freigabewege
- unerwartete Passwort- oder Datenanfragen
- ungewöhnliche Kommunikationskanäle
- Drohungen oder emotionale Manipulation
Entscheidend ist, dass jeder weiß, an wen er sich bei einem Verdacht wenden kann.
SCOREDEX Redaktion: Sollten Unternehmen selbst KI einsetzen, um KI-Betrug zu erkennen?
Max Maurischat: Ja, aber mit realistischen Erwartungen. KI kann ungewöhnliche Transaktionen, auffällige Kommunikationsmuster oder verdächtige Bewertungskampagnen schneller identifizieren.
Sie kann beispielsweise feststellen, dass sich das Schreibverhalten eines vermeintlichen Geschäftspartners plötzlich verändert oder dass sich ungewöhnlich viele Nutzerkonten ähnlich verhalten.
Aber auch Erkennungssysteme produzieren Fehlalarme und können neue Manipulationen übersehen. Deshalb dürfen Unternehmen nicht glauben, dass der Einsatz eines Deepfake-Detektors das Problem vollständig löst.
KI kann Hinweise liefern. Die Bewertung des Kontexts und die endgültige Entscheidung müssen bei kritischen Vorgängen weiterhin durch qualifizierte Menschen erfolgen.
SCOREDEX Redaktion: Was sollte ein Unternehmen tun, wenn ein KI-Betrug bereits stattgefunden hat?
Max Maurischat: Zunächst muss das Unternehmen schnell handeln und gleichzeitig Beweise sichern.
Bei einer betrügerischen Zahlung sollten Bank und Zahlungsdienstleister unverzüglich kontaktiert werden. Möglicherweise kann eine Transaktion noch gestoppt oder zurückgerufen werden.
Betroffene Konten und Zugangsdaten müssen gesperrt oder geändert werden. E-Mails, Anruflisten, Chatverläufe, Zahlungsdaten, Dateien und Screenshots sollten gesichert werden, bevor Systeme bereinigt werden.
Anschließend sind IT-Sicherheitsverantwortliche, Geschäftsführung, Datenschutzbeauftragte und gegebenenfalls Rechtsberater einzubeziehen. Je nach Vorfall können Meldepflichten gegenüber Behörden, Versicherern, Geschäftspartnern oder betroffenen Personen bestehen. Sind personenbezogene Daten betroffen, muss zusätzlich geprüft werden, ob eine meldepflichtige Datenschutzverletzung vorliegt. Nach der DSGVO kann eine Meldung an die zuständige Datenschutzaufsichtsbehörde grundsätzlich innerhalb von 72 Stunden erforderlich sein.
Unternehmen sollten außerdem Strafanzeige erstatten. Europol verweist für Cybercrime-Fälle auf die jeweiligen nationalen Meldestellen beziehungsweise die örtlichen Polizeibehörden.
Der Vorfall muss danach systematisch ausgewertet werden. Die entscheidende Frage lautet nicht nur: „Wer hat einen Fehler gemacht?“ Wichtiger ist: „Welcher Prozess hat diesen Fehler ermöglicht?“
SCOREDEX Redaktion: Welche drei Sofortmaßnahmen empfehlen Sie einem mittelständischen Unternehmen?
Max Maurischat: Erstens sollten alle Prozesse überprüft werden, bei denen Geld, Bankdaten, Passwörter oder vertrauliche Informationen übertragen werden.
Zweitens braucht jedes Unternehmen einen verbindlichen Rückruf- und Bestätigungsprozess. Kritische Anweisungen müssen über einen zweiten, bereits bekannten Kommunikationsweg bestätigt werden.
Drittens sollten Mitarbeiter anhand realistischer Beispiele geschult werden. Eine abstrakte Warnung vor Deepfakes reicht nicht aus.
Zusätzlich empfehle ich, öffentlich verfügbare Informationen über Führungskräfte und interne Abläufe zu prüfen. Unternehmen sollten wissen, welches Bild-, Sprach- und Videomaterial potenziellen Angreifern zur Verfügung steht.
SCOREDEX Redaktion: Was ist aus Ihrer Sicht der größte Fehler, den Unternehmen beim Schutz vor KI-Betrug machen?
Max Maurischat: Der größte Fehler ist die Annahme, dass man nur die richtige Software kaufen müsse.
Unternehmen können nicht jede Fälschung zuverlässig erkennen. Sie können aber Prozesse schaffen, in denen eine Fälschung allein nicht ausreicht, um Geld, Daten oder Zugänge zu erhalten.
Die wichtigste Schutzmaßnahme lautet deshalb: Vertrauen und Freigabe voneinander trennen.
Ich kann eine Stimme erkennen und trotzdem eine Zahlung überprüfen. Ich kann einen Geschäftspartner seit Jahren kennen und trotzdem eine neue Bankverbindung bestätigen lassen.
Professionelle Sicherheit bedeutet nicht Misstrauen gegenüber Menschen. Sie bedeutet, kritische Entscheidungen nicht von einem einzigen Signal abhängig zu machen.
Wie funktionieren Deepfake- und KI-Betrugsangriffe?
KI-gestützte Betrugsangriffe verbinden häufig technische Manipulation mit klassischem Social Engineering. Die Täter versuchen nicht zwingend, ein vollständiges Sicherheitssystem zu überwinden. Stattdessen erzeugen sie eine glaubwürdige Situation, in der ein Mitarbeiter selbst eine Zahlung freigibt, Daten herausgibt oder einen Zugang öffnet.
Dabei kommen unterschiedliche Methoden zum Einsatz:
Voice Cloning
Aus kurzen Sprachaufnahmen kann eine Stimme künstlich nachgebildet werden. Als Ausgangsmaterial können Interviews, Videos, Podcasts, Präsentationen oder Beiträge in sozialen Netzwerken dienen.
Video-Deepfakes
Gesichter und Bewegungen werden digital verändert oder vollständig erzeugt. Solche Inhalte können in Videokonferenzen, aufgezeichneten Botschaften oder sozialen Netzwerken eingesetzt werden.
KI-Phishing
Sprachmodelle erzeugen grammatikalisch korrekte und auf das Zielunternehmen zugeschnittene Nachrichten. Dadurch fallen frühere Warnzeichen wie schlechte Übersetzungen oder auffällige Formulierungen teilweise weg.
Gefälschte Bewertungen
Automatisierte Systeme erstellen große Mengen unterschiedlich formulierter Rezensionen. Diese können zur künstlichen Aufwertung eines Unternehmens oder zur gezielten Schädigung eines Wettbewerbers eingesetzt werden.
Identitäts- und Dokumentenbetrug
KI kann dabei helfen, Ausweisdokumente, Rechnungen, Bewerbungsunterlagen, Vertragsdokumente oder Bilder zu manipulieren. Eine rein visuelle Prüfung reicht deshalb bei sensiblen Vorgängen immer seltener aus.
Max Maurischat: Unternehmer und Experte für Datenqualität und KI-Risiken
Max Maurischat ist Geschäftsführer der SCOREDEX GmbH und beschäftigt sich mit Unternehmensanalysen, Datenqualität, Risikobewertungen und dem verantwortungsvollen Einsatz künstlicher Intelligenz.
Im Mittelpunkt seiner Arbeit steht die Frage, wie wirtschaftliche Informationen überprüft, eingeordnet und für nachvollziehbare Entscheidungen genutzt werden können. Dabei verbindet SCOREDEX automatisierte Datenanalysen mit Quellenkontrollen, Plausibilitätsprüfungen und menschlicher Bewertung.
Maurischat warnt insbesondere davor, KI-Systeme als unfehlbare Instanzen zu betrachten. Nach seiner Einschätzung entstehen die größten Risiken nicht allein durch die Technologie, sondern durch ungeprüfte Daten, unklare Verantwortlichkeiten und fehlende Kontrollprozesse.
Sein Grundsatz lautet: Je größer die wirtschaftlichen Folgen einer Entscheidung sind, desto wichtiger bleiben unabhängige Prüfungen und menschliche Verantwortung.
Welche Rolle SCOREDEX bei der Prüfung von Unternehmensinformationen spielt
SCOREDEX beschäftigt sich mit Unternehmensbewertungen, Transparenzanalysen und datenbasierten Risikoeinschätzungen. Ziel ist es, wirtschaftliche Informationen strukturiert aufzubereiten und mögliche Unstimmigkeiten sichtbar zu machen.
Im Zusammenhang mit Deepfakes, Fake-Bewertungen und KI-Betrug gewinnt die Überprüfung von Quellen, Unternehmensangaben und digitalen Reputationssignalen zusätzlich an Bedeutung.
Einzelne Bewertungen, professionell gestaltete Webseiten oder überzeugende Selbstdarstellungen reichen nicht aus, um die Seriosität eines Unternehmens abschließend zu beurteilen. Entscheidend ist das Gesamtbild aus nachvollziehbaren Unternehmensdaten, verantwortlichen Personen, wirtschaftlichen Verbindungen, öffentlichen Informationen und plausiblen Geschäftstätigkeiten.
Nach Angaben von SCOREDEX werden algorithmische Auswertungen deshalb mit Quellenkontrollen, Plausibilitätsprüfungen und menschlicher Bewertung verbunden.
Checkliste: So schützen sich Unternehmen vor KI-Betrug
Unternehmen sollten folgende Maßnahmen verbindlich festlegen:
- Vier-Augen-Prinzip für sensible Zahlungen
- Rückruf über bereits bekannte Telefonnummern
- zusätzliche Bestätigung bei geänderten Bankdaten
- klare finanzielle Freigabegrenzen
- Multi-Faktor-Authentifizierung für wichtige Konten
- getrennte Administrator- und Benutzerkonten
- regelmäßige Sicherung kritischer Daten
- Schulungen zu Deepfakes und Social Engineering
- definierter Meldeweg für Verdachtsfälle
- Notfallplan für Zahlungs- und Identitätsbetrug
- kontinuierliche Beobachtung von Bewertungen und Firmenprofilen
- Dokumentation verdächtiger Inhalte und Kommunikationsvorgänge
FAQ: Deepfakes, Fake-Bewertungen und KI-Betrug
Können Deepfakes auch mit wenigen Bildern oder kurzen Sprachaufnahmen erstellt werden?
Ja. Moderne KI-Systeme benötigen teilweise nur wenige Bilder oder kurze Sprachaufnahmen, um Gesicht, Stimme oder typische Ausdrucksweisen einer Person nachzuahmen. Öffentlich zugängliche Videos, Podcasts, Interviews oder Beiträge in sozialen Netzwerken können Betrügern bereits ausreichend Ausgangsmaterial liefern.
Unternehmen sollten deshalb prüfen, welche persönlichen Informationen über Führungskräfte und Mitarbeiter öffentlich verfügbar sind. Eine vollständige Vermeidung öffentlicher Inhalte ist kaum möglich. Sensible interne Abläufe, Freigabeverfahren und direkte Kontaktdaten sollten jedoch nicht unnötig veröffentlicht werden.
Welche Unternehmen sind besonders häufig von KI-Betrug betroffen?
Grundsätzlich kann jedes Unternehmen betroffen sein. Besonders attraktiv für Betrüger sind jedoch Organisationen mit hohen Zahlungsvolumen, vielen Lieferanten, internationaler Kommunikation oder komplexen Freigabeprozessen.
Auch kleinere Unternehmen sind gefährdet, weil dort Zuständigkeiten häufig auf wenige Personen verteilt sind. Fehlt eine zweite Kontrollinstanz, kann bereits eine überzeugend formulierte E-Mail oder ein gefälschter Anruf ausreichen, um eine Zahlung auszulösen.
Wie sollten Unternehmen auf eine mutmaßlich gefälschte Bewertung reagieren?
Zunächst sollte die Bewertung dokumentiert werden. Dazu gehören Screenshots, Datum, Plattform, Nutzername, Link und der vollständige Inhalt.
Anschließend sollte geprüft werden, ob der geschilderte Vorgang einem tatsächlichen Kundenkontakt zugeordnet werden kann. Ist dies nicht möglich oder enthält die Bewertung nachweislich falsche Tatsachenbehauptungen, kann sie beim Plattformbetreiber gemeldet werden.
Öffentliche Antworten sollten sachlich bleiben. Unternehmen können darauf hinweisen, dass der beschriebene Vorgang intern nicht nachvollzogen werden konnte, und dem Verfasser eine direkte Kontaktaufnahme anbieten. Persönliche Angriffe oder Drohungen verschärfen die Situation meist nur.
Sind Deepfake-Erkennungsprogramme ein zuverlässiger Schutz?
Erkennungsprogramme können verdächtige Merkmale aufspüren und die Prüfung unterstützen. Eine hundertprozentige Sicherheit bieten sie jedoch nicht.
Während Erkennungssysteme verbessert werden, entwickeln sich gleichzeitig auch die Methoden zur Erstellung manipulierter Inhalte weiter. Unternehmen sollten daher nicht ausschließlich auf technische Detektoren vertrauen.
Der wirksamere Schutz besteht aus mehreren Ebenen: technische Prüfung, Rückrufverfahren, Vier-Augen-Prinzip, sichere Zugänge, klare Zuständigkeiten und geschulte Mitarbeiter.
Welche Versicherung kann Schäden durch KI-Betrug abdecken?
Je nach Versicherungsvertrag können Cyberversicherungen, Vertrauensschadenversicherungen oder spezielle Betrugsbausteine relevant sein. Der tatsächliche Versicherungsschutz hängt jedoch stark von den Bedingungen, Ausschlüssen und vereinbarten Sicherheitsanforderungen ab.
Unternehmen sollten insbesondere prüfen, ob Manipulation durch Social Engineering, CEO-Fraud, gefälschte Zahlungsanweisungen und Identitätsmissbrauch ausdrücklich eingeschlossen sind.
Versicherer können Leistungen einschränken, wenn vorgeschriebene Kontroll- oder Freigabeprozesse nicht eingehalten wurden. Deshalb sollten Unternehmen ihre internen Sicherheitsmaßnahmen mit dem Versicherer abstimmen und regelmäßig dokumentieren.
Fazit: Sichere Prozesse sind der beste Schutz vor KI-Betrug
Deepfakes, Fake-Bewertungen und KI-gestützte Betrugsmodelle verändern die Sicherheitslage für Unternehmen grundlegend. Stimmen, Bilder, Videos, E-Mails und Dokumente können professionell wirken, ohne echt oder inhaltlich korrekt zu sein.
Technische Erkennungssysteme bleiben hilfreich, bieten aber keinen vollständigen Schutz. Entscheidend sind verbindliche Freigaberegeln, unabhängige Rückrufverfahren, das Vier-Augen-Prinzip, sichere Zugänge und regelmäßig geschulte Mitarbeiter.
Unternehmen sollten ihre Abläufe so gestalten, dass weder eine gefälschte Stimme noch eine überzeugende E-Mail oder Videokonferenz allein ausreicht, um Zahlungen auszulösen, Bankdaten zu verändern oder vertrauliche Informationen freizugeben.
Die zentrale Botschaft von Max Maurischat lautet:
Unternehmen müssen nicht jede Fälschung sofort erkennen. Ihre Prozesse müssen jedoch verhindern, dass eine einzelne Fälschung für einen erfolgreichen Betrug ausreicht.
Quellenverzeichnis
Bundesamt für Sicherheit in der Informationstechnik: KI-Betrug im Netz – Nur ein Fünftel überprüft die Quelle
Aktuelle BSI-Pressemitteilung vom 13. April 2026 zum Umgang mit KI-generierten Betrugsinhalten. Laut Cybersicherheitsmonitor überprüfen nur 19 Prozent der Befragten die Quelle entsprechender Inhalte.
Bundesamt für Sicherheit in der Informationstechnik: Die Lage der IT-Sicherheit in Deutschland 2025
Aktueller BSI-Lagebericht zur Cybersicherheitslage, zu wachsenden digitalen Angriffsflächen und zur Bedeutung technischer und organisatorischer Schutzmaßnahmen.
Europol: Facing Reality? Law Enforcement and the Challenge of Deepfakes
Europol-Bericht über den kriminellen Einsatz von Deepfakes, darunter CEO-Betrug, Identitätsmissbrauch, Desinformation und manipulierte Beweismittel.
Europol: IOCTA 2025 – Steal, Deal and Repeat
Europols Internet Organised Crime Threat Assessment 2025 über Datendiebstahl, Social Engineering, gestohlene Zugänge, kriminelle Plattformen und den Missbrauch künstlicher Intelligenz.
Europäische Kommission: Verbraucherschutz vor irreführenden Onlinebewertungen
Ergebnisse einer EU-weiten Untersuchung zu Onlinebewertungen. Bei 55 Prozent der geprüften Webseiten stellten die Behörden mögliche Verstöße gegen EU-Verbraucherschutzrecht fest.
Europäische Union: Unlautere Geschäftspraktiken und gefälschte Verbraucherbewertungen
Verbraucherinformationen der Europäischen Union zu irreführenden Geschäftspraktiken, falschen Angaben und gefälschten Verbraucherbewertungen.

