Die Lage in Zahlen: nüchtern statt alarmiert

Wer über IT-Sicherheit entscheidet, braucht ein realistisches Lagebild – keine Schlagzeilen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte bereits im April 2024 fest, dass große Sprachmodelle „Umfang, Geschwindigkeit und Schlagkraft schadhafter Handlungen“ erhöhen – vor allem beim Social Engineering. Der BSI-Lagebericht 2025 liefert die aktuellen Kennzahlen für Deutschland: Täglich wurden im Schnitt 119 neue Schwachstellen in Softwareprodukten bekannt, ein Anstieg um 24 Prozent gegenüber dem Vorjahreszeitraum. Beim Bundeskriminalamt wurden 950 Ransomware-Angriffe angezeigt. Und rund 80 Prozent der angezeigten Angriffe richteten sich gegen kleine und mittlere Unternehmen.

International bestätigt das FBI den Trend: Das Internet Crime Complaint Center (IC3) meldete für 2024 Schäden von 16,6 Milliarden US-Dollar – ein Plus von 33 Prozent gegenüber dem Vorjahr. Für 2025 stieg die Summe auf 20,9 Milliarden US-Dollar bei erstmals über einer Million Beschwerden. Bemerkenswert: Der IC3-Bericht für 2025 führt erstmals die Kategorie „AI Used in Cybercrime“ – mit 22.364 Beschwerden und rund 893 Millionen US-Dollar gemeldetem Schaden. Diese Zahl ist eine Untergrenze, denn erfasst wird nur, was Geschädigte als KI-gestützt erkennen und angeben. Eine perfekt formulierte Phishing-Mail verrät ihre Herkunft nicht.

Dass ausgerechnet der Mittelstand die Hauptlast trägt, hat einen einfachen Grund: Professionelle Angreifer arbeiten wirtschaftlich. Sie greifen dort an, wo Ertrag und Aufwand im besten Verhältnis stehen – und KI verschiebt dieses Kalkül weiter zugunsten der Angreifer, weil Personalisierung nichts mehr kostet.

Phishing wird industrialisiert

Wie gut ist KI-generiertes Phishing wirklich? Die Arbeitsgruppe um Fred Heiding und Bruce Schneier (Harvard) hat dazu begutachtete Experimente vorgelegt. In der Folgestudie vom November 2024 traten vollautomatisierte KI-Kampagnen an, bei denen die KI auch die Zielrecherche übernahm: Die Kontrollgruppe mit generischen Mails klickte zu 12 Prozent, von menschlichen Experten erstellte Spear-Phishing-Mails erreichten 54 Prozent – und die vollautomatisierte KI-Kampagne ebenfalls 54 Prozent, exakt gleichauf mit den Experten. Mit menschlicher Nachkontrolle waren es 56 Prozent. Die automatisch erstellten Zielprofile waren in 88 Prozent der Fälle brauchbar.

Die korrekte Schlagzeile lautet also nicht „KI schlägt den Menschen“, sondern: KI liefert Experten-Spear-Phishing zu Massenkosten. Eine handrecherchierte Spear-Phishing-Mail kostete bisher Stunden pro Ziel; die automatisierte Kampagne senkt die Kosten pro Ziel auf Cent-Beträge – bei gleicher Trefferquote. Personalisierung, früher das Erkennungsmerkmal gezielter Angriffe auf Vorstände, wird zur Massenware für jeden Mitarbeiter.

Deepfake und CEO-Fraud: drei dokumentierte Fälle

CEO-Fraud – Betrüger geben sich als Geschäftsleitung aus und veranlassen Zahlungen – ist ein altes Delikt. Neu ist die Qualität der Täuschung. Drei Fälle aus dem Jahr 2024 zeigen sie – und die wirksame Gegenwehr:

  • Arup (Hongkong, Februar 2024): Ein Mitarbeiter der Finanzabteilung wurde laut CNN-Bericht in eine Videokonferenz gebeten, in der der „Finanzvorstand“ und weitere „Kollegen“ als Deepfakes auftraten. Auf Anweisung der vermeintlichen Vorgesetzten führte er 15 Überweisungen aus – Schaden rund 200 Millionen Hongkong-Dollar, etwa 25,6 Millionen US-Dollar.
  • WPP (Mai 2024): Betrüger legten ein WhatsApp-Konto mit dem Foto des CEO an und luden zu einem Teams-Meeting mit geklonter Stimme. Der Versuch scheiterte, weil die Zielperson misstrauisch wurde; der CEO warnte anschließend intern vor der Masche.
  • Ferrari (Juli 2024): Anrufe mit der täuschend echt geklonten Stimme von CEO Benedetto Vigna sollten einen Manager zu einer vertraulichen Transaktion drängen. Der Manager stellte laut Fortune und Bloomberg eine Kontrollfrage nach einem kürzlich persönlich empfohlenen Buch – der Anrufer legte auf.

Der Arup-Fall zeigt die Eskalation: Es genügte nicht mehr, eine einzelne Stimme zu fälschen – die Täter inszenierten eine komplette Videokonferenz mit mehreren vertrauten Gesichtern. Die Fälle WPP und Ferrari zeigen die Gegenmaßnahme: In beiden Fällen scheiterte modernste Fälschungstechnik an schlichter menschlicher Verifikation.

Warum das geschulte Auge nicht mehr genügt

Das BSI systematisiert Deepfake-Verfahren in zwei Gruppen: Bei Video sind es Face Swapping und Face Reenactment, bei Audio Text-to-Speech und Voice Conversion, bei der die Stimme des Sprechers in Echtzeit umgewandelt wird. Zwei Punkte aus der BSI-Einordnung sind für die Abwehr entscheidend. Erstens: Artefakte helfen nur begrenzt. Unnatürliche Übergänge, seltsame Ausleuchtung oder metallischer Klang können Fälschungen verraten – doch diese Artefakte werden mit jeder Modellgeneration seltener. Wer seine Abwehr auf das geschulte Auge baut, baut auf Sand. Zweitens: Das BSI nennt die Sensibilisierung der Beschäftigten als wichtigste Gegenmaßnahme, ergänzt um organisatorische Verfahren – nicht die technische Erkennung.

Vier Regeln, die auch perfekte Fälschungen stoppen

Der Ferrari-Fall liefert die Blaupause. Etablieren Sie vier Regeln – schriftlich, verbindlich, ausnahmslos; die Empfehlungen decken sich mit denen von BKA und Polizeiberatung:

  1. Kontrollfragen: Bei ungewöhnlichen Anweisungen per Telefon oder Video eine Frage stellen, deren Antwort nur die echte Person kennt – ein gemeinsames Erlebnis, ein interner Vorgang, nichts aus LinkedIn oder der Presse.
  2. Out-of-Band-Rückruf: Jede Zahlungs- oder Datenanweisung über einen zweiten, unabhängigen Kanal bestätigen – Rückruf über die bekannte, selbst recherchierte Nummer, nie über Kontaktdaten aus der Anfrage.
  3. Vier-Augen-Prinzip: Zahlungen ab definierter Schwelle und alle Stammdatenänderungen wie Lieferanten-IBANs erfordern eine zweite, unabhängige Freigabe – ausdrücklich auch dann, wenn der Auftrag „von ganz oben“ kommt.
  4. Codewörter: Für besonders kritische Freigaben vereinbaren Geschäftsleitung und Finanzabteilung ein regelmäßig wechselndes Codewort, das nie schriftlich über offene Kanäle geteilt wird.

Ebenso wichtig ist die Kultur: Wer nachfragt, handelt vorbildlich – auch wenn der echte Chef am anderen Ende ist. Ein CEO, der Kontrollfragen als Zumutung behandelt, schafft die Sicherheitslücke selbst.

Was das für Ihre Organisation bedeutet

Drei Konsequenzen ergeben sich unmittelbar. Erstens: Alte Erkennungsmerkmale sind wertlos. Rechtschreibfehler und generische Anreden waren nie ein Sicherheitskonzept – ab jetzt sind sie nicht einmal mehr ein Indiz; Schulungen, die primär auf schlechtes Deutsch abstellen, trainieren ein Signal, das verschwindet. Zweitens: Jeder ist ein lohnendes Ziel – wenn Personalisierung nichts kostet, erhalten auch Sachbearbeiter Mails, die auf ihre Projekte, Kollegen und Lieferanten Bezug nehmen. Drittens: Die Klickrate wird nie null. Wenn selbst Experten-Mails von rund der Hälfte der Empfänger geklickt werden, darf ein einzelner Klick nicht zum Totalschaden führen. Keine sicherheitsrelevante Handlung – Zahlung, Passwort-Reset, Datenherausgabe, Stammdatenänderung – darf allein auf Basis einer eingehenden Nachricht erfolgen, egal wie echt sie wirkt.

Dieser Artikel fasst die wichtigsten Punkte zusammen. Die vollständige Abwehrarchitektur mit allen drei Schutzschichten und dem 90-Tage-Fahrplan finden Sie im Whitepaper „KI-Sicherheit“.