Cybervize – Cybersecurity Beratung
Alle Artikel

Deepfakes im Boardroom: Warum Governance wichtiger ist als KI

Alexander Busse·17. Februar 2026
Deepfakes im Boardroom: Warum Governance wichtiger ist als KI

Deepfakes im Boardroom: Warum Governance wichtiger ist als KI-Erkennung

Für Jahrzehnte galt das berühmte Foto vom Ungeheuer von Loch Ness als vermeintlicher Beweis für die Existenz eines Seeungeheuers. Es war eine Sensation, ein Mysterium, das die Welt in Atem hielt. Heute wissen wir: Es war eine Fälschung, ein geschickt inszenierter Betrug.

Doch während das Nessie-Foto damals nur eine kuriose Geschichte in der Zeitung war, hat sich die Bedrohungslandschaft fundamental verändert. Heute sind es keine verschwommenen Fotos mehr, die uns Sorgen bereiten müssen, sondern täuschend echte Video-Calls von CEOs oder Sprachnachrichten von CFOs, die innerhalb von Minuten zu finanziellen Katastrophen führen können.

Die unbequeme Wahrheit über Deepfake-Technologie

Die Realität für Geschäftsführungen, Vorstände und Aufsichtsräte ist ernüchternd: Wir können diesen Krieg nicht rein technisch gewinnen. Deepfake-Detection gleicht einem Hase-und-Igel-Spiel, bei dem die Verteidiger strukturell im Nachteil sind. Während Sicherheitsteams versuchen, Erkennungsalgorithmen zu verbessern, entwickeln Angreifer ihre Techniken kontinuierlich weiter.

Moderne Deepfake-Angriffe kommen ohne sichtbare Artefakte aus. Die Zeiten, in denen man manipulierte Videos an unscharfen Rändern, unnatürlichen Augenbewegungen oder verzerrter Audio-Qualität erkennen konnte, sind weitgehend vorbei. Aktuelle generative KI-Modelle produzieren Inhalte, die selbst für trainierte Experten kaum noch von authentischen Aufnahmen zu unterscheiden sind.

Warum "Die IT erkennt das schon" ein Haftungsrisiko ist

In vielen Unternehmen höre ich den Satz: "Unsere IT-Sicherheit erkennt solche Angriffe schon." Diese Einschätzung ist nicht nur optimistisch, sie stellt ein unkalkulierbares Haftungsrisiko dar.

Die technische Erkennung von Deepfakes ist ein Wettrennen, das nie endet. Sobald Erkennungssysteme besser werden, passen Angreifer ihre Methoden an. Noch problematischer: Die falsche Sicherheit, die technische Lösungen suggerieren, kann dazu führen, dass organisatorische Schwachstellen ignoriert werden.

Wir brauchen keine neuen Tools, wir brauchen Governance dafür, was im Ernstfall als Wahrheit gilt. Die Frage ist nicht, ob unsere Software einen Deepfake erkennt, sondern wie unsere Organisation mit Unsicherheit umgeht, wenn kritische Entscheidungen anstehen.

Drei Säulen resilienter Prozesse gegen Deepfake-Angriffe

Um Unternehmen wirksam gegen Deepfake-basierte Angriffe zu schützen, reicht es nicht aus, in die neueste Erkennungssoftware zu investieren. Stattdessen brauchen wir praktische, nicht bürokratische Governance-Strukturen, die im Ernstfall greifen.

1. Verbindliche Out-of-Band-Verifizierung

Bei kritischen Transaktionen darf es keine Ausnahmen geben, auch und gerade nicht, wenn der vermeintliche CEO Druck macht. Das Prinzip ist einfach: Der Rückkanal zur Verifizierung muss ein anderer sein als der ursprüngliche Kommunikationsweg.

Praktische Umsetzung:

  • Bei Zahlungsanweisungen über 50.000 Euro erfolgt eine obligatorische Rückbestätigung über einen zweiten, unabhängigen Kanal (z.B. per Telefonanruf an eine bekannte, hinterlegte Nummer, nicht an eine im Video-Call angezeigte)
  • Sensible Strategieentscheidungen werden nicht allein aufgrund digitaler Kommunikation getroffen
  • Es existiert eine Liste verifizierter Kontaktdaten für alle Führungskräfte, die regelmäßig aktualisiert wird

Die Out-of-Band-Verifizierung funktioniert nach dem Prinzip: Vertraue der Nachricht, aber verifiziere über einen anderen Weg. Selbst wenn ein Angreifer einen perfekten Deepfake des CEOs erstellt hat, scheitert der Angriff, wenn die Mitarbeiterin zur Bestätigung die echte, bekannte Mobilnummer des CEOs anruft.

2. Stop-the-Line-Mandat ohne Sanktionsrisiko

Die beste Technologie hilft nicht, wenn die Unternehmenskultur versagt. Mitarbeiter müssen die ausdrückliche Berechtigung und das Mandat haben, Prozesse bei Verdacht sofort anzuhalten, ohne Angst vor negativen Konsequenzen.

Dieses Konzept stammt ursprünglich aus der Fertigungsindustrie, insbesondere dem Toyota-Produktionssystem. Dort kann jeder Mitarbeiter am Fließband die gesamte Produktion stoppen, wenn ein Qualitätsproblem erkannt wird. Das gleiche Prinzip muss für Sicherheitsvorfälle gelten.

Konkrete Maßnahmen:

  • Explizite Kommunikation von der Geschäftsführung: Sicherheitsbedenken zu äußern wird belohnt, nicht bestraft
  • Etablierung eines "Sicherheitsveto-Rechts" für definierte Situationen
  • Regelmäßige Schulungen, in denen auch Führungskräfte lernen, mit berechtigten Sicherheitsnachfragen konstruktiv umzugehen
  • Anonyme Eskalationswege für Situationen, in denen direkter Druck ausgeübt wird

Eine Kultur, die Mitarbeiter dafür sanktioniert, dass sie einen vermeintlich "wichtigen" Prozess verzögern, ist eine Kultur, die Angreifern die Tür öffnet. Social Engineering funktioniert vor allem deshalb so gut, weil Menschen Angst haben, Autoritäten zu hinterfragen.

3. Definierte Entscheidungspfade mit Audit Trail

Weg vom Bauchgefühl, hin zu dokumentierten Entscheidungen. Bei kritischen Vorgängen muss nachvollziehbar sein: Wer hat wann auf welcher Informationsbasis eine Freigabe erteilt?

Dies bedeutet nicht, dass jede Kleinigkeit bürokratisch abgesegnet werden muss. Es geht um klar definierte kritische Prozesse, bei denen im Nachhinein nachvollziehbar sein muss, wie eine Entscheidung zustande kam.

Umsetzung in der Praxis:

  • Definition von kritischen Prozessen (z.B. Zahlungen über Schwellenwerten, Änderungen von Bankverbindungen, Freigabe sensibler Daten)
  • Dokumentationspflicht mit Zeitstempel: Welche Informationen lagen vor? Welche Verifizierungsschritte wurden durchgeführt?
  • Vier-Augen-Prinzip bei besonders kritischen Vorgängen
  • Regelmäßige Audits der Entscheidungspfade, um Schwachstellen zu identifizieren

Der Audit Trail erfüllt mehrere Funktionen: Er schützt das Unternehmen im Schadensfall, er schützt die Mitarbeiter vor ungerechtfertigten Vorwürfen und er macht deutlich, wo Prozesse optimiert werden müssen.

Die Realitätscheck-Frage für jede Geschäftsführung

Hand aufs Herz: Wenn morgen der Deepfake-CEO im Video-Call Stress macht und eine dringende Zahlung anordnet, verlasst ihr euch auf eure Software oder auf eure Prozesse?

Diese Frage sollte jede Geschäftsführung, jeder Vorstand und jeder CISO ehrlich beantworten können. Die Antwort zeigt, ob ein Unternehmen wirklich resilient aufgestellt ist oder ob es sich in falscher Sicherheit wiegt.

Realistische Szenarien, die heute bereits vorkommen:

  • Ein "CEO" ordnet in einem Video-Call eine dringende Übernahme-Zahlung an, die vertraulich bleiben muss
  • Ein "CFO" sendet eine Sprachnachricht mit der Anweisung, Kontodaten für einen wichtigen Lieferanten zu ändern
  • Ein "Vorstandsmitglied" fordert in einer vermeintlich vertraulichen Nachricht die Herausgabe sensibler Unternehmensdaten

In all diesen Fällen ist die technische Erkennung unzuverlässig. Was zählt, sind die Prozesse und die Kultur.

Praktische Schritte für die Umsetzung

Die gute Nachricht: Wirksamer Schutz gegen Deepfake-Angriffe muss nicht kompliziert oder teuer sein. Hier sind konkrete erste Schritte:

Sofortmaßnahmen (diese Woche):

  1. Awareness schaffen: Geschäftsführung und kritische Mitarbeiter über die Deepfake-Bedrohung informieren
  2. Kritische Prozesse identifizieren: Wo könnten Deepfakes den größten Schaden anrichten?
  3. Notfall-Kontaktliste erstellen: Verifizierte Kontaktdaten aller Führungskräfte zusammenstellen

Mittelfristige Maßnahmen (nächste 3 Monate):

  1. Richtlinien etablieren: Out-of-Band-Verifizierung für definierte Transaktionen einführen
  2. Schulungen durchführen: Nicht nur technisch, sondern vor allem kulturell
  3. Testszenarien durchspielen: Simulierte Deepfake-Angriffe zur Prozessüberprüfung

Langfristige Strukturen:

  1. Governance-Rahmenwerk: Formale Integration in das Risikomanagement
  2. Regelmäßige Audits: Überprüfung der Wirksamkeit der Maßnahmen
  3. Kontinuierliche Anpassung: Die Bedrohungslandschaft entwickelt sich weiter, die Abwehr muss mithalten

Fazit: Governance schlägt Technologie

Das berühmte Nessie-Foto erinnert uns daran, dass Menschen schon immer anfällig für überzeugende Fälschungen waren. Der Unterschied ist: Heute sind die Fälschungen perfekter, schneller verfügbar und die potenziellen Schäden immens größer.

Die Lösung liegt nicht in besserer Erkennungssoftware, sondern in resilienten Prozessen und einer Kultur, die kritisches Hinterfragen nicht nur erlaubt, sondern aktiv fördert.

Unternehmen, die sich ausschließlich auf technische Lösungen verlassen, setzen auf das falsche Pferd. Die Zukunft der Cybersecurity liegt in der intelligenten Kombination aus Technologie, Prozessen und vor allem: Menschen, die ermächtigt sind, im Zweifelsfall Stopp zu sagen.

Die Frage ist nicht, ob Deepfake-Angriffe auf Ihr Unternehmen zukommen werden. Die Frage ist, ob Ihre Organisation bereit ist, wenn es soweit ist.

Zurück zur Übersicht

Passende Podcast-Folgen

Diese Episoden vertiefen das Thema weiter.

Awareness & Kultur

Warum kluge Menschen auf Phishing reinfallen

Mit Jill Wick, Wirtschaftspsychologin (FH) aus Zürich und Expertin für Security Awareness

37 minAnhoeren
Awareness & Kultur

Storytelling für CISOs und Security-Teams

Mit Milena Thalmann

35 minAnhoeren
Startups & Innovation

Startups im Fadenkreuz

Mit Saskia Bestgen, Beraterin und Auditorin

34 minAnhoeren

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

Cybersecurity Assessment

Umfassende Analyse Ihrer IT-Sicherheitslage mit konkretem Maßnahmenplan.

Mehr erfahren

AI Security Governance

Sichere KI-Nutzung mit Governance-Frameworks und Risikobewertung.

Mehr erfahren

Weitere Artikel

Was kostet ein Virtual CISO? Preise, Modelle und Vergleich 2026

Transparente Übersicht der vCISO-Preismodelle: Retainer, Stundensatz und Projektbasis. Mit Kostenvergleich zum internen CISO und Entscheidungshilfe für den Mittelstand.

16. Februar 2026

Wenn der Klick verschwindet: Wie KI unsere Informationsvielfalt gefährdet

KI-Snippets und Plattform-Antworten entziehen Content-Erstellern Traffic. Ein strategisches Risiko für die Informationsversorgung im Mittelstand.

15. Februar 2026

KI-Content und Ownership: Wer trägt die Verantwortung?

KI als Content-Werkzeug ist legitim, doch die Verantwortung für Haltung und Reputation bleibt bei Ihnen. Drei Fragen entscheiden über guten KI-Content.

10. Februar 2026