Phishing war gestern und vorgestern schon ein aktuelles Thema. Und wird es auch heute, morgen und übermorgen noch sein. Jedoch „anders“: Heute täuschen Angreifer per Video-Deepfake ganze Videokonferenzen und klonen Stimmen für Vishing*-Anrufe. Das verändert die Lage fundamental: Wo früher Tippfehler oder schlechte Übersetzungen verrieten, dass etwas nicht stimmt, wirken Angriffe inzwischen professionell, mehrsprachig und erstaunlich glaubwürdig. Europol und FBI warnen explizit vor dieser Entwicklung; KI senkt die Einstiegshürde und erhöht die Trefferquote organisierter Kriminalität dramatisch.
Was ist wirklich neu – und warum jetzt?
- Täuschung in „Echtzeit“: Stimmen werden live geklont, Gesichter und Mimik in Videocalls synthetisch erzeugt. Selbst mehrköpfige „Team-Calls“ lassen sich problemlos manipulieren. Der bekannt gewordene Fall einer multinationalen Firma (rund 25 Mio. US-$ Schaden) zeigt die Wucht dieser Methode. (Links in der Quellenangabe am Ende des Beitrages)
- Skalierbarkeit & Qualität: Angreifer nutzen dieselben KI-Werkzeuge wie seriöse Unternehmen – nur für Betrug. Klassische Filter und Bauchgefühl reichen nicht mehr. ENISA und das BSI zählen Social Engineering mit KI/Deepfakes zu den zentralen Bedrohungen.
- Detektion bleibt schwierig: Automatische Erkennung funktioniert (noch) nicht zuverlässig. Prozesse schlagen Technik – wer ohne unabhängige Rückbestätigung freigibt, bleibt verwundbar.
Typische Angriffsvarianten 2024/25
- CEO-Fraud 2.0 (Video-Call): CFO/Vorgesetzte erscheinen im Video, geben „dringende“ Zahlungsanweisungen. Keine Tippfehler, keine exotische Domain, alles wirkt sauber.
- Vishing mit Voice-Clone: „Der Chef am Telefon“ bittet um schnelle Freigabe oder Code-Weitergabe (MFA). FBI: Vishing und Smishing folgen denselben Mustern wie Spear-Phishing jedoch direkter und emotionaler.
- Hybridangriffe: Erst E-Mail/Chat, dann Übergang in Video- oder Sprachanruf, um Restzweifel auszuräumen. ENISA dokumentiert solche mehrstufigen Social-Engineering-Ketten.
Was bedeutet das für Behörden, Unternehmen und Admins?
Kurz: Neue Regeln für Vertrauen. Nicht der Absender entscheidet, sondern der Prozess, mit dem Sie sensible Aktionen freigeben. Europol sieht KI als Beschleuniger organisierter Kriminalität – Social-Engineering-Angriffe werden häufiger und raffinierter.
Autor: Aleksander Weber, Senior IT Architect
unique projects GmbH & Co. KG
www.unique-projects.com
Sofortmaßnahmen für Admins – praxisnah und wirksam
1) Prozesshärtung
- Out-of-Band-Verifikation: Zahlungsanweisung im Call? Immer per zweitem, unabhängigem Kanal rückbestätigen (z. B. bekannte Mobilnummer, nicht die Nummer aus der Mail/Call-Einladung).
- Vier-Augen-Prinzip by Design: Beträge/IBAN-Änderungen/Nutzer:innen-Rechte nie durch eine Person freigeben.
- „Codewort“-/Challenge-Response-Policy: Definierte Rückfragen, die nur echte Kolleg:innen beantworten können (kein „Wissens-Quiz“ aus LinkedIn-Profilen).
- Videokonferenzen absichern: Screen-Sharing für Zahlungsdaten sperren, keine Freigaben aus spontanen Calls.
2) Identitäts- und Zugriffsmanagement
- MFA ohne Weitergabe-Risiko: Wo möglich Phishing-resistente Verfahren (FIDO2/Passkeys, PIV/Smartcard).
- RBAC & Least Privilege: Finanz- und Admin-Rechte eng zuschneiden; Notfall-Konten separat und offline dokumentieren.
- High-Risk-Workflow: Neue Zahlungsempfänger oder geänderte IBANs lösen zusätzliche Prüfungen aus (regelbasiert im ERP/Buchhaltungstool).
3) Kommunikations-Hygiene
- „Kein Druck, keine Zahlung“-Policy: Jede Aufforderung unter Zeitdruck wird automatisch eskaliert und verifiziert.
- Awareness mit Realismus: Trainings mit Deepfake-Beispielen (Audio/Video), nicht nur E-Mail-Phishing.
- Meldewege, die genutzt werden: Ein Klick/Hotline/Chat-Shortcut „Verdächtigen Kontakt melden“ – mit Feedback an den Melder.
4) Technik (wirksam, aber zweitrangig ohne gute Prozesse)
- DMARC/SPF/DKIM konsequent (ein- und ausgehend).
- Mail-Gateway + EDR/XDR mit ML-Erkennung; Anomalie-Detektion für ungewöhnliche Logins/Transfers.
- Call-/Meeting-Hygiene: Einladungen nur aus bekannten Tenants zulassen; externe Teilnehmer klar kennzeichnen; Aufnahme/Live-Filter einschränken.
Wichtig: Deepfake-Erkennung ist nützlich und unterstützt – aber Ihre Freigabeprozesse entscheiden über Sicherheit und Schadenshöhe.
„30-/60-/90-Tage“-Plan für Admin-Teams
30 Tage (sofort):
- Richtlinie „Out-of-Band-Check“ + Vier-Augen-Prinzip veröffentlichen, kommunizieren, durchsetzen.
- Hotline/Channel für Verdachtsfälle live schalten; Kurztraining „Vishing/Video-Deepfake erkennen“.
- DMARC Policy auf quarantine/reject hochziehen (Monitoring vorher!).
60 Tage:
- ERP/Buchhaltung: Regeln für neue Empfänger/IBAN-Wechsel mit Zusatzfreigabe.
- Pilot für Phishing-/Vishing-Simulationen (inkl. Audio/Video-Szenarien).
- Rollout FIDO2/Passkeys für exponierte Rollen (Finanzen, Admins, Leitung).
90 Tage:
- Incident-Playbook „CEO-Fraud (Video/Voice)“: Probealarm (Table-Top), Zeit-/Rollenplan, Kommunikationsbausteine.
- Rezertifizierung kritischer Rechte; Notfall-Konten auditieren.
- Lessons Learned aus Simulationen → Awareness-Kampagne „Warnung der Woche“.
- Checkliste für Nutzer (ausdrucken & neben den Monitor hängen).
- Überraschung + Zeitdruck = Stopp. Unabhängig rückfragen.
- Kanal wechseln. Zurückrufen – aber nicht die Nummer aus der Mail/Einladung nutzen.
- Keine Codes weitergeben. MFA-Codes/Passkeys sind nie für Vorgesetzte.
- Gefühl trügt? Melden! Lieber einmal zu oft.
Nicht die beste KI verteidigt Sie, sondern klare, gelebte Prozesse. Wer heute Zahlungsfreigaben, Nutzerrechte, Internas oder Geheimnisse ohne unabhängige Rückbestätigung vergibt, öffnet Deepfakes Tür und Tor.
Quellenangaben, Weiterführende Infos und aktuelle Lage:
BSI Lagebericht 2024: KI-gestützte Deepfakes verstärken Social-Engineering und Erpressung:
ENISA Threat Landscape: Social Engineering bleibt Top-Bedrohung; mehrstufige Kampagnen nehmen zu:
https://www.enisa.europa.eu/topics/cyber-threats/threat-landscape?utm_#contentList
FBI-Hinweise 2024/2025: Kriminelle nutzen Gen-KI für täuschend echte Voice/Video-Betrugsmaschen; Vishing/Smishing als Spear-Phishing-Varianten:
https://www.ic3.gov/PSA/2025/PSA250515?
Financial Times: Fallbeispiel 2024 (Hongkong/Arup): Tiefgefälschte Video-Konferenz führt zu Transfers in Millionenhöhe:
https://www.ft.com/content/b977e8d4-664c-4ae4-8a8e-eb93bdf785ea?
Hong Kong Free Press HKFP:
Wired Erkennungslage: Deepfake-Detection bleibt fehleranfällig – Priorität auf Prozess-Kontrollen.
https://www.wired.com/story/youre-not-ready-for-ai-powered-scams/
*Begriffserklärung „Vishing“: https://de.wikipedia.org/wiki/Vishing

