Die Stimme des Chefs ist kein Beweis mehr: Deepfake-Betrug und wie sich Firmen schützen
5 July 2026 · 7 Min. Lesezeit
Stellen Sie sich vor, am Freitagnachmittag klingelt das Telefon. Die Stimme des Geschäftsführers, sein Ton, seine Sprechweise, sogar die Pause, die er macht, wenn er nervös ist. Er verlangt eine dringende Zahlung an einen Lieferanten noch vor Feierabend, sagt, er stecke in Verhandlungen und könne nicht lange sprechen. Alles klingt echt. Nur hat der Geschäftsführer nie angerufen.
Stimmenklonen erforderte früher ein Studio und einen Spezialisten. Heute genügen ein paar Sekunden Audiomaterial, aus einem Videocall, einem Social-Media-Post oder einer Sprachnachricht, und ein frei verfügbares Tool. Den Betrug, bekannt als CEO Fraud oder „falscher Chef", gab es schon vorher per E-Mail. KI hat ihm eine Stimme gegeben, und immer öfter auch ein Video.
Warum das gefährlicher ist als klassisches Phishing
Eine Phishing-Mail können Sie zweimal lesen, die Absenderadresse prüfen, innehalten. Ein Anruf setzt Sie in Echtzeit unter Druck. Der Angreifer kontrolliert das Tempo des Gesprächs, lässt Ihnen keine Zeit zum Nachdenken und zielt genau auf die Situationen, in denen Menschen Prozesse überspringen: Freitagnachmittag, Monatsende, der Chef „auf Reisen".
Das Ziel ist nicht der Geschäftsführer, sondern die Menschen um ihn herum: Finanzen, Buchhaltung, Office Management, jeder, der eine Zahlung freigeben oder Zugänge herausgeben kann. Die Angreifer wissen vorher, wer wer ist, denn die Organisationsstruktur haben sie von der Website und von LinkedIn abgelesen.
Die alten Ratschläge gelten nicht mehr
Jahrelang lautete der Rat: Wenn eine E-Mail verdächtig wirkt, ruf die Person an und prüfe es. Dieser Rat stammt aus einer Welt, in der die Stimme ein Identitätsbeweis war. Das ist sie nicht mehr. Dasselbe gilt für Videocalls: Die Technologie für Deepfake-Video in Echtzeit existiert und wird in Betrugsfällen eingesetzt.
Das heißt nicht, dass jeder Anruf verdächtig ist. Es heißt, dass Stimme und Gesicht nicht die einzige Grundlage für Entscheidungen über Geld oder Zugänge sein dürfen. Identität wird über einen Kanal bestätigt, den der Angreifer nicht kontrolliert, nicht über den, über den die Anfrage kam.
Abläufe, die wirklich schützen
Die gute Nachricht: Die Verteidigung erfordert keine teure Technologie. Sie erfordert Regeln, die auch dann gelten, wenn es klingt, als rufe der Chef persönlich an.
- Rückruf-Regel: Jede Zahlungsanforderung oder Änderung einer Lieferanten-Bankverbindung wird über die Nummer geprüft, die Sie bereits im Adressbuch haben, niemals über die Nummer aus der Nachricht oder dem eingegangenen Anruf.
- Vier-Augen-Prinzip beim Geld: Keine Zahlung über einem definierten Betrag läuft auf Basis einer einzigen Anweisung, egal von wem sie kommt und wie dringend sie ist.
- Internes Codewort für Notfälle: ein vereinbartes Wort oder eine Frage, die nur der engere Kreis kennt und die ein Angreifer nicht im Internet finden kann.
- Dringlichkeit ist ein Stoppsignal, kein Beschleuniger: Jede Anfrage, die darauf besteht, den Prozess „nur dieses eine Mal" zu umgehen, wird als Betrugsversuch behandelt, bis das Gegenteil bewiesen ist.
- Änderung der Lieferanten-Bankverbindung: immer über den bekannten Kontakt beim Lieferanten bestätigen, denn das Abfangen und Manipulieren von Zahlungsinstruktionen ist eine der häufigsten Varianten dieses Betrugs.
Was tun, wenn es schon passiert ist
Wenn die Zahlung raus ist, zählt Geschwindigkeit. Rufen Sie sofort Ihre Bank an und verlangen Sie Rückruf und Einfrieren der Transaktion, denn die Chancen auf Rückholung sind in den ersten Stunden am größten. Sichern Sie alles: die Nummer des Anrufs, Aufnahmen falls vorhanden, E-Mails, Zahlungsaufträge. Erstatten Sie Anzeige bei den zuständigen Stellen für Cyberkriminalität. Und bestrafen Sie nicht den Mitarbeiter, der den Fehler gemeldet hat, denn beim nächsten Mal ist es wichtiger, dass jemand sofort meldet, als dass er aus Angst schweigt.
Das ist eine Frage der Abläufe, nicht der Technologie
Ein Angreifer mit geklonter Stimme besiegt die Firma, die auf Basis von Vertrauen in eine Stimme entscheidet. Er verliert gegen die Firma, in der nicht einmal der Chef persönlich eine Zahlung am Prozess vorbei durchsetzen kann. Diesen Unterschied macht keine Software, sondern Regeln, die aufgeschrieben, geübt und für alle gültig sind.
Wenn Ihre Firma keinen definierten Ablauf zur Prüfung von Zahlungsaufträgen hat, oder ihn auf dem Papier hat, aber nie getestet, ist das der Punkt, an dem Sie ansetzen sollten. Wir helfen Firmen, diese Abläufe aufzusetzen und zu üben, bevor jemand anderes sie an ihrer Stelle testet.
Soll das jemand für Sie regeln, ohne Drama?
INTO MSP betreut Security, Backup und IT für kleine und mittlere Unternehmen. Schritt eins: ein kurzer, unverbindlicher Check.
IT-Security → Kontakt