Es ist ein Sonntag vor dem Brandenburger Tor, an dem vor allem Frauen gekommen sind. Einige stehen in kleinen Gruppen zusammen, andere halten Schilder hoch. „Mein Körper gehört mir – auch digital“ steht darauf, oder: „Keine Gewalt im Netz“. Die Demonstration richtet sich gegen sexualisierte digitale Gewalt. Der Fall von Moderatorin und Schauspielerin Collien Fernandes hat das Thema sichtbar gemacht. Über Jahre hinweg sollen täuschend echte, KI-generierte Inhalte von ihr im Umlauf gewesen sein. Ermittlungen richten sich gegen ihren Ex-Mann – es gilt die Unschuldsvermutung. Für die Betroffene ist es ein Kontrollverlust. Für die Öffentlichkeit ein Schock. Und für Unternehmen: ein Vorbote.
Denn die Technologie, die hier Biografien angreift, ist längst in die Wirtschaft eingedrungen. Während auf dem Pariser Platz über Identität und digitale Gewalt gesprochen wird, rückt dieselbe Technologie an anderer Stelle in die Entscheidungsräume von Unternehmen.
Deepfakes sind mithilfe Künstlicher Intelligenz erzeugte oder manipulierte Medien – Bilder, Videos, Tonaufnahmen – die täuschend echt wirken, ohne es zu sein. Die Technologie nutzt komplexe Algorithmen, um Gesichter, Stimmen und Bewegungen realer Menschen nachzubilden. Lange galt das Sichtbare als Beweis. Diese Gewissheit erodiert nun. Und mit ihr eine Grundvoraussetzung wirtschaftlichen Handelns: dass Kommunikation verlässlich ist.
DER FATALE ANGRIFF AUF ENTSCHEIDUNGEN
Wer glaubt, CEO-Fraud sei ein Problem von gestern, irrt. Um 2016 überwies eine Buchhalterin der Münchner Bäckereikette Hofpfisterei 1,9 Millionen Euro nach Hongkong – auf Anweisung einer gefälschten E-Mail, die angeblich von der Geschäftsführung stammte. Der Fall landete vor dem Münchner Landgericht. Klassischer CEO-Fraud, klassisches Phishing.
Heute reicht eine Mail nicht mehr. Im Januar 2024 nahm ein Mitarbeiter des britischen Ingenieurkonzerns Arup an einer Videokonferenz teil. Mehrere vermeintliche Kollegen und Vorgesetzte waren zugeschaltet. Am Ende überwies er umgerechnet rund 23 Millionen Euro. Erst später wurde klar, dass keiner der Gesprächspartner real war. Sie waren KI-generierte Fälschungen.
Dieser Fall markiert eine neue Qualität von Wirtschaftskriminalität. Der sogenannte Fake-President-Betrug, bei dem Kriminelle im Namen von Autoritätspersonen nichtautorisierte Transfers veranlassen, hat mit Deepfakes eine neue Eskalationsstufe erreicht.
Für Unternehmen entsteht daraus eine strukturelle Verwundbarkeit. Organisationen sind darauf angewiesen, dass Kommunikation funktioniert. Entscheidungen werden auf Basis von Gesprächen getroffen, oft unter Zeitdruck und über große Distanzen hinweg. Wenn genau diese Gespräche manipulierbar sind, verschiebt sich das Risiko grundlegend. Je digitaler und effizienter ein Unternehmen arbeitet, desto angreifbarer wird es. Es drohen Haftungsrisiken, die sich kaum quantifizieren lassen, weil sie nicht Systeme treffen, sondern menschliche Wahrnehmung.
Cyberexperte und Buchautor Thomas Köhler warnt ebenfalls vor ganz neuen KI-Angriffen: „Es gibt im Dark Web KI-Instanzen, die man mieten kann: sogenannte gejailbreakte Modelle, bei denen die ethischen Leitplanken entfernt wurden. Die produzieren auf Bestellung Ransomware, Fake-Videos, Fake-Audio.“ Die Frage ist nicht mehr, ob Unternehmen angegriffen werden. Sondern ob sie vorbereitet sind.
REGULIERUNG IM NACHLAUF
„Mehrstufige Verifizierung wird es nicht nur für Passwörter und Logins geben müssen, sondern auch für Entscheidungen“, sagt Lennart Grunau, Lead Consultant Cyber Security bei JAMORIE. „Codewörter oder ‘nie nur im Call’-Prozesse können helfen. Zusätzlich wird jeder Einzelne lernen müssen, mit den eigenen Daten sensibler umzugehen.“ Was bislang als unnötige Bürokratie galt, wird zur Frage der Resilienz.
Die Politik reagiert. Bundesjustizministerin Stefanie Hubig hat einen Gesetzentwurf in die Ressortabstimmung gebracht, der das Herstellen pornografischer Deepfakes ausdrücklich unter Strafe stellen soll. Für nicht-pornografische Deepfakes soll künftig zumindest die Verbreitung sanktioniert werden. Parallel plant Hubig ein Gesetz zur Speicherung von IP-Adressen, um Täter hinter anonymen Profilen identifizieren zu können.
Parallel zur strafrechtlichen Regulierung fordert der Bundesrat konkrete Unterstützung für die Wirtschaft: In seiner Begleitresolution zum Deepfake-Gesetzentwurf plädiert er laut Bundestagsdrucksache 21/1383 vom 27. August 2025 für eine zentrale Anlaufstelle, die insbesondere kleinen und mittleren Unternehmen bei Fragen der Deepfake-Erkennung und rechtlichen Anforderungen zur Seite stehen soll.
Auf europäischer Ebene greifen der AI Act – die weltweit erste umfassende KI-Regulierung – und der Digital Services Act, der Plattformen stärker in die Pflicht nimmt. Ergänzt werden sie durch die DSGVO, die die Nutzung von Bild- und Stimmmaterial ohne Einwilligung untersagt.
Doch das strukturelle Problem bleibt: Recht wirkt im Nachhinein. Deepfakes wirken in Echtzeit. Für Unternehmen bedeutet das: Regulierung ist notwendig, ersetzt aber keine Prävention. Deepfake-Detection wird zur neuen Compliance-Anforderung.
So wie Unternehmen heute Firewalls, Datenschutzrichtlinien und Zugriffskontrollen sicherstellen müssen, wird künftig auch erwartet, dass sie manipulierte Medien erkennen und darauf reagieren können. Aufsichtsbehörden, Versicherungen und Geschäftspartner werden zunehmend fragen, welche Prozesse ein Unternehmen etabliert hat, um sich vor täuschend echten Fälschungen zu schützen.
DIE ANDERE SEITE DER TECHNOLOGIE
Wer Deepfakes ausschließlich als Bedrohung begreift, unterschätzt ihre wirtschaftliche Reichweite. In der Filmindustrie ermöglichen sie effizientere Produktionen: Schauspieler können digital verjüngt werden, bereits Verstorbene in neuen Filmen erscheinen, Synchronisationen durch angepasste Lippenbewegungen realistischer wirken. Der Aufwand für visuelle Effekte sinkt im Vergleich zu klassischem CGI erheblich. Was früher Monate in der Postproduktion kostete, lässt sich heute in Tagen realisieren. Ein wirtschaftlicher Vorteil gerade für kleinere Produktionen.
Auch jenseits der Unterhaltungsbranche entstehen Anwendungen mit echtem Mehrwert. Synthetische Stimmen ermöglichen barrierefreie Kommunikation für Menschen mit Seh- oder Höreinschränkungen. Realitätsnahe Simulationen verbessern Trainings in Krisenmanagement oder medizinischer Ausbildung – Szenarien, die sich in der Realität nicht gefahrlos proben lassen. Angehende Chirurgen üben komplizierte Eingriffe an synthetisch erzeugten Patientenmodellen. Feuerwehr und Katastrophenschutz simulieren Großschadenslagen. Unternehmen trainieren Führungskräfte im Umgang mit gefälschten CEO-Videos – und nutzen damit genau die Technologie, gegen die sie sich schützen wollen. International tätige Unternehmen können Inhalte schneller lokalisieren, zum Beispiel sprachlich und kulturell, ohne sie jedes Mal neu zu produzieren. Die Technologie ist nicht das Problem, sondern der unkontrollierte Einsatz.
WIE SICH ECHTHEIT SICHERN LÄSST
Dr. Murat Karaboga vom Fraunhofer ISI, Autor einer umfassenden Deepfake-Studie, empfiehlt ein Zusammenspiel aus vier Maßahmenebenen: staatliche Plattformregulierung mit klaren Löschpflichten, Bildungsangebote zur Stärkung von Medienkompetenz, interne Risikoanalysen in Unternehmen sowie journalistische Standards zur Aufklärung. Entscheidend sei dabei die Geschwindigkeit: Wer die technologische Dynamik unterschätze, werde von ihr überholt.
Für Unternehmen heißt das konkret: Kritische Entscheidungsprozesse müssen auf mehrere unabhängige Kanäle verteilt werden. Deepfake-Erkennungssysteme, die Unstimmigkeiten in Bewegungsmustern, Lichtreflexionen oder der Bild-Ton-Synchronität analysieren, entwickeln sich zum technischen Standard. Die eigentliche Herausforderung besteht nicht darin, Täuschung vollständig zu verhindern. Sondern darin, Strukturen zu schaffen, in denen sie keinen entscheidenden Schaden mehr anrichten kann.
