Vor ein paar Wochen saß ich in einem Strategiegespräch mit einem Geschäftsführer aus dem Finanzbereich. Wir sprachen über digitale Sicherheit. Dann erwähnte er beiläufig: "Wir hatten letzten Monat einen Videocall mit unserem CFO. Oder dachten wir zumindest."

Es war ein Deepfake.

Der falsche CFO wollte eine Überweisung freigeben. Sechsstellig. Fast hätte es funktioniert.

Kennst du das Gefühl, wenn dir klar wird, dass die Regeln sich geändert haben – aber niemand hat es dir gesagt?

Genau das passiert gerade mit Deepfakes. Während die EU ein Verbot von KI-Anwendungen für sexuelle Deepfakes vorbereitet, brennt im Hintergrund ein ganz anderes Haus.

Der Grok-Skandal: 3 Millionen Bilder in wenigen Tagen

Lass mich kurz erklären, was den EU-Vorstoß ausgelöst hat.

Eine gemeinnützige Organisation fand heraus, dass Grok geschätzt 3 Millionen sexualisierte Bilder von Frauen und Kindern in nur wenigen Tagen generiert hatte. Ein Klick. Hunderttausendfach unfreiwillige Nacktbilder. Täuschend echt.

Die Empörung war riesig. Zu Recht.

Die EU reagierte schnell: Ein strenges Verbot von KI-Systemen, die nicht einvernehmliche pornografische Deepfakes erzeugen. Klare Kante. Symbolisch stark.

Aber hier ist, was ich nicht verstanden hatte:

Das ist nicht das Problem, das dein Unternehmen umbringt.

22 Millionen Euro in einem Anruf verloren

Während die Politik über sexuelle Deepfakes spricht, passiert etwas anderes.

Ein Bankmanager erhielt einen Videoanruf. Die Person auf dem Bildschirm sah aus wie ein Unternehmensvorstand. Klang wie er. Bewegte sich wie er.

Der Manager überwies mehr als 22 Millionen Euro.

Es war ein KI-generierter Anrufer. Begleitet von betrügerischen E-Mails und Dokumenten. Perfekt orchestriert.

Das ist kein Einzelfall.

DeepStrike berichtete, dass die durchschnittlichen Kosten pro Deepfake-Vorfall für Unternehmen im Jahr 2024 bei etwa 500.000 US-Dollar lagen.

Lass das kurz sacken: Eine halbe Million. Pro Vorfall. Im Durchschnitt.

Die Zahlen, die niemand hören will

Ich habe mir die Daten angesehen. Nicht die, die in Pressemitteilungen stehen. Die echten.

Laut dem Signicat-Report ist die Zahl der Deepfake-Betrugsversuche im Finanzbereich in den letzten drei Jahren um 2137 Prozent gestiegen.

Zweitausendeinhundertsiebenunddreißig Prozent.

In Österreich allein stieg die Zahl der Deepfake-Angriffe laut KPMG Cybersecurity Studie 2024 im vergangenen Jahr um 119 Prozent.

Das ist keine langsame Entwicklung. Das ist eine Explosion.

Und während die EU über Transparenzpflichten und Wasserzeichen diskutiert, skalieren Betrüger ihre Operationen.

Warum die EU-Regulierung zu kurz greift

Ich will ehrlich sein: Ich verstehe den Impuls.

Sexuelle Deepfakes sind widerlich. Das Verbot ist moralisch richtig. Symbolisch wichtig.

Aber wenn du dir die Details ansiehst, merkst du schnell: Das schafft eine falsche Sicherheit.

Der AI Act behandelt Deepfakes durch die Linse von Grundrechten. Seine Hauptregulierungsinstrumente sind Transparenzpflichten. Anbieter müssen sicherstellen, dass ihre Systeme offenlegen können, dass Outputs KI-generiert sind.

Klingt gut auf dem Papier.

Aber hier ist die Realität:

Wasserzeichen sind fragil und leicht zu entfernen.

Böswillige Akteure werden niemals ihre synthetischen Inhalte selbst kennzeichnen. Und der Act bietet keine Abhilfe für Opfer, keine Strafen für bösartige Nutzung.

Es ist wie ein Rauchmelder ohne Sprinkleranlage. Er warnt dich, aber er löscht das Feuer nicht.

Die Verifikationslücke, die keiner schließt

Hier ist, was mich wirklich beunruhigt:

Während seriöse KI-Anbieter ihre Outputs möglicherweise angemessen kennzeichnen, erhalten Organisationen regelmäßig ungekennzeichnete Inhalte.

Von Dritten. Nutzerbeiträgen. Marketingpartnern. Social-Media-Kanälen.

Böswillige Akteure entfernen absichtlich Metadaten und Erkennungsmarker.

Das schafft eine Verifikationslücke: Du weißt nicht mehr, was echt ist.

Und genau da wird es gefährlich für dein Geschäft.

Compliance-Kosten vs. reale Sicherheitslücken

Jetzt kommt der Teil, der richtig wehtut.

Für KMU, die Hochrisiko-KI entwickeln, könnten die initialen Compliance-Kosten bei rund 600.000 Euro liegen. Mit jährlichen Folgekosten von 150.000 Euro.

Gleichzeitig: Die Regulierung transformiert Deepfake-Erkennung von einem Vertrauens- und Sicherheitsthema zu einer rechtlichen Anforderung mit Strafen von bis zu 35 Millionen Euro oder 7 Prozent des globalen Umsatzes.

Du zahlst also doppelt: Für Compliance und für tatsächlichen Schutz.

Weil die Regulierung dich nicht vor dem 22-Millionen-Euro-Videocall schützt. Sie schützt dich vor einem Bußgeld, falls du die Kennzeichnungspflicht nicht einhältst.

Das ist der Unterschied zwischen Theater und Sicherheit.

Zero Trust muss neu gedacht werden

Ich habe in meiner Zeit als Head of Marketing im Konzern gelernt: Vertrauen ist ein System, kein Gefühl.

Traditionelle Vertrauensmodelle gehen davon aus, dass du die Authentizität von Benutzern, Geräten und Anwendungen verifizieren kannst.

Das reicht nicht mehr.

Der Aufstieg von Deepfakes hat das Vertrauen in visuelle und Audio-Inhalte erschüttert. Denn diese lassen sich inzwischen leicht manipulieren.

Du musst jetzt auch die Authentizität von Inhalten verifizieren.

Nicht nur, wer anruft. Sondern ob das Video, das du siehst, real ist.

Nicht nur, wer die E-Mail schickt. Sondern ob die Stimme in der Sprachnachricht echt ist.

Das ist eine fundamentale Verschiebung. Und die meisten Unternehmen sind nicht darauf vorbereitet.

Was das für dein Unternehmen bedeutet

Lass mich konkret werden.

Wenn du ein B2B-Unternehmen mit 10 bis 100 Mitarbeitern führst, dann ist die Wahrscheinlichkeit hoch, dass du in den nächsten 12 Monaten mit einem Deepfake-Angriff konfrontiert wirst.

Vielleicht nicht heute. Vielleicht nicht nächste Woche.

Aber die Zahlen lügen nicht: +2137 Prozent in drei Jahren im Finanzbereich. +119 Prozent in Österreich allein letztes Jahr.

Das ist keine Science-Fiction mehr. Das ist Business-Realität.

Und hier ist die unbequeme Wahrheit:

Die EU-Regulierung schützt dich nicht davor.

Sie reguliert die Anbieter. Sie schafft Transparenzpflichten. Sie verbietet sexuelle Deepfakes.

Aber sie stoppt nicht den CEO-Fraud. Sie verhindert nicht den gefälschten Videocall. Sie schließt nicht die Verifikationslücke.

Die drei Dinge, die du jetzt tun musst

Ich will nicht nur kritisieren. Ich will dir zeigen, was funktioniert.

Basierend auf dem, was ich in den letzten Jahren gelernt habe – sowohl auf Kundenseite im Konzern als auch jetzt als Partner für digitales Wachstum:

1. Verifikationsprozesse für sensible Transaktionen

Führe Mehr-Faktor-Verifikation für alle finanziellen Transaktionen über einem bestimmten Schwellenwert ein. Nicht nur Passwörter. Nicht nur biometrische Daten. Sondern echte, unabhängige Bestätigung über mehrere Kanäle.

Wenn jemand eine sechsstellige Überweisung per Videocall anfordert, ruf zurück. Über eine bekannte, verifizierte Nummer. Nicht die, die im Call angezeigt wird.

2. Schulung für kritische Rollen

Dein Finanzteam, deine Geschäftsführung, deine HR-Abteilung müssen wissen, wie Deepfake-Angriffe aussehen. Nicht theoretisch. Praktisch.

Zeig ihnen echte Beispiele. Lass sie selbst testen, wie leicht sich Stimmen und Videos fälschen lassen. Schärfe das Bewusstsein.

3. Content-Authentifizierung als Teil deiner Infrastruktur

Implementiere Systeme, die Inhalte verifizieren – nicht nur Nutzer. Das ist der Zero-Trust-Ansatz für das KI-Zeitalter.

Es gibt Tools. Es gibt Prozesse. Aber du musst sie aktiv einführen. Die Regulierung macht das nicht für dich.

Das eigentliche Problem

Ich will ehrlich sein: Das EU-Deepfake-Verbot ist nicht nutzlos.

Es setzt ein Signal. Es schafft Bewusstsein. Es ist moralisch richtig.

Aber es ist ein Pflaster auf einer Schusswunde.

Während wir über sexuelle Deepfakes sprechen, verlieren Unternehmen Millionen durch CEO-Fraud. Während wir über Transparenzpflichten diskutieren, skalieren Betrüger ihre Operationen.

Das eigentliche Problem ist nicht die Technologie. Es ist die Lücke zwischen Regulierung und Realität.

Die EU reguliert Symptome. Die Krankheit breitet sich aus.

Und am Ende bist du es, der die Rechnung zahlt – entweder in Compliance-Kosten oder in echten Verlusten.

Was du jetzt tun kannst

Ich habe dir die Zahlen gezeigt. Ich habe dir die Lücken erklärt. Ich habe dir drei konkrete Schritte gegeben.

Jetzt liegt es an dir.

Du kannst warten, bis die Regulierung dich schützt. Aber die Zahlen zeigen: Das wird nicht passieren.

Oder du kannst proaktiv werden. Verifikationsprozesse einführen. Dein Team schulen. Content-Authentifizierung implementieren.

Das ist kein Marketing-Thema. Das ist ein Geschäftsrisiko mit siebenstelligen Schadensummen.

Die Frage ist nicht, ob Deepfake-Angriffe zunehmen werden. Die Frage ist, ob dein Unternehmen vorbereitet ist, wenn es passiert.

Wo stehst du gerade?