Deepfakes im Businessalltag: Wie KMU sich gegen KI-gestützte Täuschungen schützen

Mit frei verfügbaren Tools lassen sich Stimmen imitieren, Videos fälschen oder täuschend echte Identitäten für Telefonate und Videocalls erzeugen. Gerade für KMU entsteht daraus ein reales Risiko, weil sie oft über weniger personelle und technische Ressourcen für Prävention, Kontrolle und Reaktion verfügen.

Was sind Deepfakes - und warum sind KMU besonders betroffen?

Deepfakes entstehen mithilfe von KI-Modellen, die auf Basis echten Bild- und Tonmaterials synthetische Inhalte erzeugen. Das kann ein Video sein, in dem eine Führungskraft Aussagen trifft, die nie gemacht wurden, oder ein Anruf in der Stimme des CFOs mit der Aufforderung, vertrauliche Daten freizugeben oder eine Zahlung zu veranlassen.

KMU sind besonders anfällig, weil ihre Stärken im Alltag zur Schwachstelle werden können: kurze Entscheidungswege, hohe Vertrauensbasis und weniger formalisierte Kontrollmechanismen. Wenn eine Anfrage scheinbar von einer bekannten Person kommt, steigt das Risiko, dass Mitarbeitende rasch handeln, ohne zusätzliche Prüfung einzufordern.

Typische Angriffsmuster erkennen

Ein häufiges Szenario ist CEO Fraud per Audio-Deepfake. Dabei ahmen Kriminelle die Stimme einer Führungskraft nach und setzen Mitarbeitende unter Zeitdruck, um Zahlungen auszulösen oder Informationen zu erhalten. Zunehmend werden auch Videokonferenzen manipuliert: Betrüger treten in Echtzeit als bekannte Personen auf, um Vertrauen zu gewinnen und sensible Inhalte zu erfragen.

Weitere Einsatzfelder reichen vom Recruiting-Prozess bis zur gezielten Verbreitung von Falschinformationen. Gefälschte Identitäten können genutzt werden, um Zugang zu internen Systemen zu erhalten. Ebenso können manipulierte Inhalte dem Ruf eines Unternehmens schaden, wenn sie über Führungspersonen, Produkte oder geschäftliche Entscheidungen verbreitet werden.

Technische und organisatorische Schutzmassnahmen

Technologie allein bietet keinen vollständigen Schutz, bleibt aber ein wichtiger Baustein. Für KMU sind vor allem pragmatische Massnahmen sinnvoll: klare Freigabeprozesse, einfache Erkennungstools und verbindliche Regeln für sensible Anfragen. Kundendaten, interne Dokumente, Zugangsdaten oder Zahlungsfreigaben sollten nie allein auf Basis eines Telefonats oder Videocalls weitergegeben werden. Entscheidend ist immer eine Bestätigung über einen zweiten, verifizierten Kanal.

Ergänzend sollten Unternehmen festlegen, wie bei ungewöhnlichen Anfragen vorzugehen ist. Dazu gehören definierte Eskalationswege, dokumentierte Zuständigkeiten und das Vier-Augen-Prinzip bei finanziell oder datenschutzrechtlich kritischen Vorgängen.

Sensibilisierung als wichtigste Schutzebene

Trotz technischer Hilfsmittel bleibt der Mensch die wichtigste Verteidigungslinie. Mitarbeitende in Bereichen wie Finanzen, HR, Kundenservice oder IT sollten gezielt für Deepfake-Risiken sensibilisiert werden. Besonders wirksam sind praxisnahe Schulungen mit konkreten Beispielen und simulierten Angriffsszenarien.

Ebenso wichtig ist eine Unternehmenskultur, in der Rückfragen ausdrücklich erwünscht sind. Wer Zweifel an einem Anruf, Video oder einer Datenanfrage hat, sollte dies ohne Hürde melden können. Klare Meldewege helfen dabei, verdächtige Situationen früh zu erkennen und Schäden zu begrenzen.

Konkrete Schutzmassnahmen für KMU

Schon wenige konsequent umgesetzte Schritte schaffen einen soliden Grundschutz:

• Vier-Augen-Prinzip für Zahlungen, Datenfreigaben und sensible Systemzugriffe
• Rückruf oder Gegenprüfung über eine bekannte Kontaktmöglichkeit
• interne Verifikationswörter für besonders sensible Situationen
• Schulung zur kritischen Prüfung von Bild-, Audio- und Videomaterial

Typische Warnsignale sind unnatürliche Gesichtsbewegungen, fehlerhafte Lippensynchronisation, auffällige Beleuchtung oder ein ungewöhnlicher Gesprächsverlauf. Solche Hinweise sind nicht immer eindeutig, sollten aber Anlass für eine zusätzliche Prüfung sein.

Rechtliche und versicherungstechnische Aspekte

Deepfakes sind nicht nur ein technisches, sondern auch ein rechtliches und finanzielles Risiko. Haftungsfragen stellen sich insbesondere dann, wenn auf Basis eines Betrugs Zahlungen ausgelöst oder personenbezogene Daten und Geschäftsgeheimnisse offengelegt werden. Entscheidend ist häufig, ob interne Kontrollprozesse vorhanden, dokumentiert und tatsächlich eingehalten wurden.

Auch beim Versicherungsschutz lohnt sich eine genaue Prüfung. Klassische Cyberpolicen decken Deepfake-bedingte Schäden nicht in jedem Fall automatisch ab. Unternehmen sollten daher bestehende Verträge auf mögliche Deckungslücken überprüfen und bei Bedarf anpassen. In der Schweiz kann zudem bereits das Erstellen oder Verbreiten von Deepfakes unter bestimmten Umständen strafbar sein, etwa bei Betrug oder Persönlichkeitsverletzung.

Fazit: Prävention zahlt sich aus

Deepfakes werden überzeugender, leichter zugänglich und damit wahrscheinlicher zum festen Bestandteil moderner Betrugsszenarien. Umso wichtiger ist es, frühzeitig klare und verhältnismässige Schutzmassnahmen zu etablieren.

Wirksam ist kein maximaler Technologieeinsatz, sondern das Zusammenspiel aus klaren Prozessen, sensibilisierten Mitarbeitenden und einem Risikoverständnis, das Finanzen, Daten, Systeme und Reputation gleichermassen einbezieht. Wer heute handelt, reduziert morgen die Angriffsfläche deutlich.

Möchten Sie prüfen, ob Ihr Unternehmen für Deepfake-Risiken ausreichend abgesichert ist? Kontaktieren Sie uns für eine unverbindliche Ersteinschätzung.