30 October 2025 • Cyber security
Deepfakes entwickeln sich zunehmend zu einem erheblichen Cyber-Risiko für Unternehmen. Wir alle kennen Videos wie das untenstehende, in denen berühmte Persönlichkeiten die unglaublichsten Dinge sagen. Oft war leicht zu erkennen, dass es sich um eine Fälschung handelte, was es etwas amüsant machte. Doch mit jeder Woche und jedem Monat werden die KI-Modelle, die diese Videos erstellen, immer besser darin, uns zu täuschen.
In diesem Artikel erklären wir, was Deepfakes sind, warum sie ein so ernstes Risiko für Unternehmen darstellen und wie Sie Ihre Mitarbeiter durch Deepfake Awareness Training vorbereiten können.
Beginnen wir am Anfang.
Was sind Deepfakes und warum sind sie gefährlich?
Deepfakes sind synthetische Medien (Video oder Audio), die mithilfe künstlicher Intelligenz erzeugt oder manipuliert werden, um Personen so erscheinen zu lassen, als würden sie Dinge sagen oder tun, die sie nie tatsächlich gesagt oder getan haben. Gesichter können ausgetauscht und Stimmen geklont werden, um beunruhigend überzeugend zu klingen. Ein Deepfake kann andere davon überzeugen, dass eine Person Dinge gesagt oder getan hat, die sie nie getan hat. Zum Beispiel Spaghetti am Strand essen.
Im Laufe der Jahre haben wir alle gelernt, nicht immer dem zu vertrauen, was wir lesen. Die Menschen haben jedoch noch nicht gelernt, allem zu misstrauen, was sie sehen und hören. Dies wird derzeit von Cyberkriminellen ausgenutzt. Ob es sich um ein gefälschtes Video eines CEOs handelt, der eine kontroverse Aussage macht, oder um eine geklonte Stimme, die dringend sensible Informationen anfordert – Deepfakes können realen Schaden anrichten.
Die Hauptrisiken von Deepfakes für Unternehmen
Deepfakes schaffen vielschichtige Bedrohungen für Unternehmen. Die Hauptrisiken umfassen:
CEO Fraud und finanzielle Verluste
Eine große Bedrohung ist der Deepfake-gestützte CEO-Betrug. Kriminelle nutzen eine geklonte Stimme oder ein Video einer Führungskraft, um Mitarbeiter zur Überweisung von Geld zu verleiten. Diese Angriffe finden bereits statt. Zum Beispiel:
- Im Jahr 2019 verlor ein britisches Energieunternehmen 243.000 US-Dollar nach einem Deepfake-Sprachanruf eines „CEO“.
- Im Jahr 2020 nutzten Betrüger Deepfake-Sprachtechnologie, um 35 Millionen US-Dollar zu stehlen.
- Im Jahr 2024 verlor ein britisches Ingenieurbüro über 20 Millionen Pfund nach einem gefälschten Videoanruf, der eine Führungskraft imitierte.
Mitarbeiter neigen von Natur aus dazu, dringenden Anfragen der Führungsebene Folge zu leisten, insbesondere unter Druck. Deepfakes nutzen diesen Instinkt aus, indem sie übliche Verifizierungsverfahren umgehen.
Reputationsschaden und Desinformation
Deepfakes können auch zur Zerstörung von Reputationen eingesetzt werden. Stellen Sie sich ein gefälschtes Video Ihres CEOs vor, der rassistische Bemerkungen macht – oder gefälschte Beweise, dass Ihr Produkt unsicher ist –, das online viral geht. Selbst wenn es später widerlegt wird, kann der Schaden für Vertrauen und öffentliche Wahrnehmung irreversibel sein.
Europol warnt, dass Deepfakes genutzt werden könnten, um Falschinformationen über Unternehmen zu verbreiten, was zu Panik unter den Aktionären, Kundenboykotten oder sogar behördlichen Untersuchungen führen könnte.
Gezieltes Phishing und Social Engineering
Deepfakes heben Social Engineering auf ein völlig neues Niveau. Stellen Sie sich vor, Sie erhalten anstelle einer verdächtigen E-Mail einen überzeugenden Videoanruf von Ihrer „IT-Abteilung“, der Sie auffordert, sich auf einer Phishing-Seite anzumelden. Oder eine Sprachnachricht von Ihrem „CFO“, der dringend vertrauliche Informationen anfordert.
- Vishing (Voice Phishing) und Video Phishing sind zunehmende Bedrohungen.
- Angreifer benötigen nur einen kurzen Audio-Clip (z.B. aus sozialen Medien), um die Stimme einer Person überzeugend zu klonen.
Deepfakes erzeugen eine emotionale Authentizität, was es für Mitarbeitende schwieriger macht, Betrug allein aufgrund ihres Instinkts zu erkennen.
Im Privatleben sind viele Menschen bereits von Deepfakes ihrer Kinder oder Eltern ins Visier genommen worden. Wenn Ihnen die unverwechselbare Stimme Ihres Sohnes sagt, er sei in Gefahr und brauche jetzt Geld, sind Sie dann ruhig und aufmerksam genug, um seine Identität zu überprüfen?
Warum traditionelle Security Awareness nicht mehr ausreicht
Die meisten Unternehmen bieten jährliches Security Awareness Training an, das Phishing, Passworthygiene und grundlegende Cyberhygiene abdeckt. Doch das reicht gegen Deepfakes nicht mehr aus:
- Deepfakes stellen eine neue, sich schnell entwickelnde Bedrohung dar. Mitarbeitende müssen lernen, selbst vertrauenswürdige Quellen wie Videos und Telefonanrufe zu hinterfragen.
- Die meisten traditionellen Trainingsprogramme erwähnen Deepfakes nicht einmal.
- Forschung zeigt, dass Menschen selbst nachdem sie vor Deepfakes gewarnt wurden, schlecht darin sind, diese zu erkennen.
- Traditionelles Sicherheitstraining ist statisch, während sich Deepfake-Techniken monatlich weiterentwickeln.
- Deepfake-Vorfälle erfordern neue Vorgehensweisen, wie die Überprüfung verdächtiger Anrufe über alternative Kanäle und klare Meldeverfahren.
Ohne spezifisches Deepfake Awareness Training könnten Mitarbeiter auf Angriffe hereinfallen, da sie unterschätzen, wie überzeugend synthetische Medien sein können.
Praktische Tipps: Mitarbeiter auf Deepfake-Vorfälle vorbereiten
So können Organisationen heute mit der Vorbereitung beginnen:
- Awareness-Kampagnen mit realen Beispielen: Zeigen Sie Mitarbeitenden reale Beispiele von Deepfakes. Der Vergleich von echten und gefälschten Videos fördert eine gesunde Skepsis. Der Schlüssel hier ist Wiederholung. Ein jährliches Training ist nach wenigen Wochen vergessen.
- Erkennungsfähigkeiten vermitteln: Schulen Sie Ihre Mitarbeiter darin, subtile Inkonsistenzen zu erkennen (z. B. nicht übereinstimmende Lippenbewegungen, ungewöhnliche Beleuchtung, monotone Stimmen).
- Klare Meldeverfahren definieren: Mitarbeiter sollten wissen, wie sie ungewöhnliche Anfragen überprüfen und Verdachtsfälle ohne Angst vor Schuldzuweisungen melden können.
- Technische Tools nutzen: Erkunden Sie Software, die synthetische Medien erkennen kann, oder implementieren Sie eine Zwei-Faktor-Verifizierung für sensible Anfragen.
Effektives Deepfake Security Awareness Training anbieten
Guardey hilft Organisationen, eine dauerhafte Cyber-Resilienz aufzubauen mit benutzerfreundlichem, gamified Security Awareness Training, das Deepfake Awareness beinhaltet:
- Gamification: Mitarbeiter verdienen Punkte und Abzeichen und treten in freundlichen Ranglisten an, was das Lernen unterhaltsam und einprägsam macht.
- Kontinuierliches Lernen: Anstelle einer jährlichen Sitzung bietet Guardey wöchentliches oder monatliches Microlearning, was Mitarbeitern hilft, auf dem neuesten Stand zu bleiben, während sich Deepfake-Bedrohungen entwickeln.
- Relevante Inhalte: Guardey passt Szenarien an den jeweiligen Sektor jedes Kunden an, wodurch die Lektionen sehr nachvollziehbar werden.
Guardey's kontinuierliches, gamifiziertes Modell ermutigt Mitarbeitende, kritisch zu hinterfragen, was sie sehen und hören, und fördert so nachhaltige Skepsis.
→ Erfahren Sie mehr über Guardey in einer Demo
Fazit: Handeln Sie jetzt, um vorn zu bleiben.
Deepfakes sind keine Science-Fiction mehr. Überall versuchen Cyberkriminelle, Mitarbeitende dazu zu bringen, Handlungen vorzunehmen, die den Finanzen oder dem Ruf Ihres Unternehmens schaden können. Regelmäßige Schulungen sind die einzige Möglichkeit, Ihre Mitarbeitenden darauf vorzubereiten.