DEV Community

Dirk Röthig
Dirk Röthig

Posted on

Deepfakes, Desinformation und digitale Ethik: KI-Risiken, die jeder CEO kennen muss

#verdantis #dirkroethig #ai #machinelearning

Deepfakes, Desinformation und digitale Ethik: KI-Risiken, die jeder CEO kennen muss

Von Dirk Röthig | CEO, VERDANTIS Impact Capital | 03. März 2026

Deepfake-Betrug kostete Unternehmen 2025 über 1,1 Milliarden Dollar. Ein einziger Mitarbeiter überwies 25 Millionen Dollar nach einem gefälschten Videoanruf mit seinem „CFO". Was CEOs jetzt über KI-Risiken, digitale Ethik und den EU AI Act wissen müssen -- bevor sie selbst zur Zielscheibe werden.

Der Tag, an dem der CFO nicht der CFO war

Es war ein ganz normaler Arbeitstag in Hongkong. Ein erfahrener Finanzcontroller des britischen Ingenieurbüros Arup nahm an einem Videocall teil. Auf dem Bildschirm: sein CFO. Vertraute Kollegen. Normale Gesprächsatmosphäre. Die Anweisung: 15 Überweisungen über insgesamt 200 Millionen Hongkong-Dollar ausführen. Ungefähr 25,6 Millionen US-Dollar.

Der Controller führte die Überweisungen aus. Erst Tage später, als er beim britischen Hauptsitz nachfragte, erfuhr er die Wahrheit: Keiner der Teilnehmer des Videocalls war real gewesen. Der CFO, die Kollegen, die gesamte Konferenzrunde -- alles KI-generierte Deepfakes, täuschend echt in Bild und Stimme (CNN, 2024).

Dieser Fall ist kein dystopisches Szenario aus einem Thriller. Er ist dokumentierte Realität. Und er ist symptomatisch für eine Bedrohungslage, die sich 2025 dramatisch verschärft hat.

Die Zahlen: Was Deepfakes heute kosten

Die volkswirtschaftliche Dimension von KI-gestütztem Betrug hat eine Schwelle überschritten, die Unternehmensführer nicht länger ignorieren können.

Laut einer Analyse von DeepStrike erreichten Deepfake-Betrugsfälle 2025 in den USA allein einen Schaden von 1,1 Milliarden Dollar -- mehr als dreimal so viel wie im Vorjahr. Weltweit summieren sich die dokumentierten Verluste durch Deepfakes bereits auf 1,56 Milliarden Dollar (Surfshark Research, 2025). Und Prognosen des Deloitte Center for Financial Services zeigen, dass KI-gestützte Betrugsverluste bis 2027 auf 40 Milliarden Dollar jährlich anwachsen werden -- mit einer jährlichen Wachstumsrate von 32 Prozent.

Noch alarmierender ist die Verbreitungsgeschwindigkeit: Von 500.000 Deepfakes im Jahr 2023 auf über acht Millionen im Jahr 2025 -- ein Wachstum von nahezu 900 Prozent (DeepStrike, 2025). In Deutschland stieg die Deepfake-Betrugsrate im ersten Quartal 2025 im Vergleich zum Vorjahreszeitraum um 1.100 Prozent (Fraunhofer ISI, 2025).

CEO-Betrug ist dabei zur Massenerscheinung geworden: Mindestens 400 Unternehmen täglich werden mit CEO-Fraud-Varianten angegriffen. Voice-Cloning-Betrug -- also die täuschend echte Simulation einer Führungskraft am Telefon -- stieg um 680 Prozent innerhalb eines Jahres (Keepnet Labs, 2026).

Warum Unternehmen so verwundbar sind

Die erschreckende Wahrheit hinter diesen Zahlen liegt nicht in der Sophistiziertheit der Angreifer allein. Sie liegt in der Unvorbereitetheit der Verteidiger.

Eine Umfrage von Gartner unter 302 Cybersicherheitsverantwortlichen zeigt: 43 Prozent berichteten von mindestens einem Deepfake-Vorfall bei Telefonaten, 37 Prozent bei Videokonferenzen (Gartner, 2025). Doch die Antwort der Unternehmen bleibt erschreckend schwach: Nur 13 Prozent der Unternehmen weltweit haben Anti-Deepfake-Protokolle implementiert. Nur 32 Prozent der Führungskräfte glauben, ihr Unternehmen sei überhaupt vorbereitet.

Ein weiteres strukturelles Problem: 25 Prozent der Führungskräfte kennen Deepfakes kaum oder gar nicht (Programs.com, 2026). Wer eine Bedrohung nicht kennt, kann sich nicht gegen sie wappnen.

Die Demokratisierung der Technologie hat die Eintrittsbarrieren für Angreifer auf null gesenkt. Tools zur Sprach- und Gesichtssynthese, die vor drei Jahren noch teures Spezial-Know-how erforderten, sind heute für wenige Dollar im Monat zugänglich. Was früher staatlichen Akteuren oder hochorganisierten Cyberkriminellen vorbehalten war, ist heute das Werkzeug des durchschnittlichen Betrügers.

Desinformation als strategisches Unternehmensrisiko

Deepfakes sind nur eine Erscheinungsform eines größeren Phänomens: der systematischen Nutzung von KI zur Produktion und Verbreitung von Desinformation. Für Unternehmen hat das Konsequenzen, die weit über den direkten Finanzbetrug hinausgehen.

Reputationsdeepfakes: Gefälschte Videos, in denen ein CEO kontroverse Aussagen macht, falsche Strategieankündigungen oder skandalöse Verhaltensweisen simuliert werden. Selbst wenn eine Fälschung nach Stunden aufgedeckt wird, kann der Reputationsschaden Millionen kosten -- und Aktienkurse in den Keller treiben.

Marktmanipulation durch KI-generierte Falschinformationen: Gefälschte Pressemitteilungen, synthetische „Leaks" über Produktfehler oder fingierte Regulierungsentscheidungen können gezielt eingesetzt werden, um Kurse zu manipulieren. Die US-amerikanische SEC warnte bereits mehrfach vor dieser Entwicklung (SEC, 2025).

Mitarbeiter-Targeting durch synthetische Identitäten: Personalverantwortliche berichten von Bewerbungen, bei denen Videointerviews mit synthetischen Personen durchgeführt wurden -- bis hin zu vollständig eingestellten „Mitarbeitern", die in Wirklichkeit Hacker waren, die Zugang zu Unternehmensnetzwerken suchten.

Politische und regulatorische Einflussnahme: In Zeiten von Stakeholder-Kapitalismus sind Unternehmen zunehmend auch Ziel politisch motivierter Desinformationskampagnen. Gefälschte Dokumente, die Korruption oder Umweltsünden suggerieren, können regulatorische Untersuchungen auslösen, Partnerschaften zerstören und Investoren abschrecken.

Die UNESCO hat diese Entwicklung als fundamentale Krise des epistemischen Vertrauens beschrieben -- als Erosion der kollektiven Fähigkeit, zwischen Wahrheit und Fälschung zu unterscheiden (UNESCO, 2024).

Der rechtliche Rahmen: Was der EU AI Act von Unternehmen verlangt

Europa antwortet auf diese Bedrohungslage mit dem umfassendsten KI-Regulierungswerk der Welt. Der EU AI Act, seit August 2024 in Kraft, tritt für die meisten Unternehmensanforderungen zum 2. August 2026 in volles Anwendungsrecht.

Für CEOs sind insbesondere die Transparenzpflichten relevant:

Artikel 50(2): Anbieter generativer KI-Systeme müssen sicherstellen, dass KI-generierte Inhalte in einem maschinenlesbaren Format als künstlich erzeugt oder manipuliert gekennzeichnet sind.

Artikel 50(4): Unternehmen, die KI-Systeme zur Erstellung von Deepfakes einsetzen, sind verpflichtet, diese Inhalte explizit als synthetisch zu kennzeichnen -- außer in gesetzlich geregelten Ausnahmen wie Strafverfolgung.

Die Konsequenzen bei Verstößen sind erheblich: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes -- je nachdem, was höher ist. Zusätzlich schuf die EU einen neuen Straftatbestand für die unbefugte Verbreitung von KI-generierten Deepfakes mit Strafandrohung von ein bis fünf Jahren Haft (EU AI Act, Artikel 50; Blackbird.AI, 2025).

Im Dezember 2025 veröffentlichte die Europäische Kommission einen ersten Entwurf eines Code of Practice zur Kennzeichnung von KI-generierten Inhalten. Die finale Version wird für Juni 2026 erwartet (Kirkland & Ellis, 2026). Unternehmen, die heute noch keine Compliance-Strukturen aufbauen, kaufen sich massiven Zeitdruck.

Digitale Ethik als Führungsaufgabe

Die technischen und regulatorischen Dimensionen des Problems sind das Eine. Das Andere ist fundamentaler: Welche ethische Verantwortung trägt eine Unternehmensführung in der Ära synthetischer Realitäten?

Ich erlebe in meiner Beratungsarbeit bei VERDANTIS Impact Capital immer wieder dieselbe Fehlwahrnehmung: Digitale Ethik wird als Abteilungsthema behandelt -- delegiert an Compliance, IT oder einen neu ernannten "Chief AI Officer". Dabei ist sie eine originäre Führungsaufgabe.

KPMG hat in seiner KI-Governance-Studie 2025 identifiziert, dass die entscheidenden Erfolgsfaktoren für verantwortungsvolle KI nicht technischer, sondern kultureller Natur sind. An erster Stelle steht die Haltung der Unternehmensführung: Definiert der Vorstand klare ethische Leitplanken? Existiert ein AI Governance Board? Sind Verantwortlichkeiten eindeutig zugewiesen? (KPMG, 2025)

43 Prozent der DAX-40-Konzerne haben inzwischen eigene KI-Ethikbeauftragte eingesetzt. Für den Mittelstand gilt das kaum. Und gerade hier -- in Unternehmen mit flacheren Hierarchien, weniger spezialisierten Teams und knapperen Ressourcen -- sind die Governance-Lücken am größten.

Sechs ethische Kernprinzipien hat der BVDW für den KI-Einsatz formuliert: Fairness, Transparenz, Erklärbarkeit, Datenschutz, Sicherheit und Robustheit (BVDW, 2025). Diese Prinzipien sind keine bürokratischen Checklisten. Sie sind das Fundament, auf dem Vertrauen -- in Technologie, in Unternehmen, in Institutionen -- aufgebaut wird.

Was CEOs konkret tun müssen: Ein Fünf-Punkte-Framework

Aus der Analyse der Bedrohungslage und den Anforderungen des EU AI Act ergibt sich ein praktisches Framework für Unternehmensführer:

1. Bedrohungsinventar erstellen. Welche Kommunikationsprozesse im Unternehmen basieren auf Vertrauen in Stimme oder Bild? Wo werden Überweisungsaufträge telefonisch oder per Video erteilt? Welche Führungskräfte könnten Ziel von Impersonation sein? Dieses Inventar ist der Ausgangspunkt jeder Schutzmaßnahme.

2. Verifikationsprotokolle für kritische Transaktionen einführen. Der Arup-Fall wäre verhinderbar gewesen. Ein einfaches Protokoll -- jede Überweisung über einem Schwellenwert erfordert eine Gegenbestätigung über einen zweiten, verifizierten Kanal -- hätte ausgereicht. Solche Protokolle kosten wenig, verhindern aber Millionenschäden.

3. Mitarbeiterschulung als Pflichtprogramm. Nur 34,3 Prozent der Deutschen wissen, was Deepfakes überhaupt sind (Fraunhofer ISI, 2025). Mitarbeiter, die keine Deepfakes erkennen können, sind das schwächste Glied in der Verteidigungskette. Regelmäßige Simulationen -- ähnlich wie Phishing-Tests -- für alle Mitarbeiter mit Finanzzugang sind keine Kür, sondern Pflicht.

4. KI-Governance-Struktur aufbauen. Ein AI Governance Board, klare Richtlinien für den internen KI-Einsatz, ein Prozess zur Bewertung neuer KI-Anwendungen -- diese Strukturen bereiten gleichzeitig auf EU AI Act-Compliance vor und reduzieren das Risiko unbeabsichtigter Ethikverstöße.

5. EU AI Act Compliance-Roadmap erstellen. Spätestens August 2026 müssen die Transparenzpflichten erfüllt sein. Unternehmen, die generative KI einsetzen, brauchen jetzt eine Bestandsaufnahme ihrer Systeme, eine Risikobewertung und einen Implementierungsplan. Wer damit bis 2026 wartet, wird die Frist reißen.

Das Paradoxon der Vertrauenserosion

Es gibt eine tiefere Dimension dieses Themas, die über Unternehmensrisiken hinausgeht. Deepfakes und KI-generierte Desinformation untergraben nicht nur das Vertrauen in einzelne Inhalte. Sie untergraben das Vertrauen in Institutionen, in demokratische Prozesse, in die Verlässlichkeit von Wahrnehmung selbst.

Die LSE International Development schreibt von einem "Deepfake Blindspot in AI Governance" -- einer gefährlichen Lücke zwischen dem Tempo der technologischen Entwicklung und der Fähigkeit von Regulierung und Gesellschaft, Schritt zu halten (LSE, 2025). Diese Lücke hat Konsequenzen, die weit über einzelne Betrugsfälle hinausgehen.

In der Ökonomie des Vertrauens sind CEOs keine passiven Beobachter. Sie sind aktive Gestalter. Unternehmen, die frühzeitig Transparenz demonstrieren, ethische KI-Governance sichtbar leben und ihre Mitarbeiter und Kunden in die Lage versetzen, synthetische Inhalte zu erkennen, bauen einen Wettbewerbsvorteil auf, der schwer zu kopieren ist: Vertrauenskapital.

Wie ich in meiner Analyse zur KI-Transformation im Wirtschaftsleben argumentiert habe, ist technologischer Wandel immer auch ein kultureller Wandel. Das gilt für die Chancen der KI -- und es gilt für ihre Risiken.

Fazit: Ethische KI-Führung ist kein Luxus

Die Botschaft ist eindeutig: Deepfakes sind keine Zukunftsbedrohung. Sie sind Gegenwart. 8 Millionen Deepfakes im Jahr 2025. 1,1 Milliarden Dollar Schaden allein in den USA. 400 CEO-Fraud-Angriffe täglich. Und eine Unternehmenslandschaft, in der 87 Prozent der Firmen keine Anti-Deepfake-Protokolle haben.

Der EU AI Act schafft ab August 2026 verbindliche Rahmenbedingungen. Aber Regulierung allein schützt keine Unternehmen. Was schützt, ist die Kombination aus technischen Schutzmaßnahmen, geschulten Mitarbeitern, klarer Governance und -- grundlegend -- einer Unternehmensführung, die digitale Ethik als Kernaufgabe versteht.

Die Frage, die jeder CEO heute beantworten sollte, ist nicht: "Könnte mein Unternehmen Ziel eines Deepfake-Angriffs werden?" Die Antwort darauf ist: ja. Die relevante Frage ist: "Was machen wir, wenn es passiert -- und was tun wir, damit der Schaden minimal bleibt?"

Wer diese Frage heute nicht beantwortet, beantwortet sie morgen unter weitaus ungünstigeren Bedingungen.

Quellenverzeichnis

  • Blackbird.AI (2025). Deepfake Detection Now Required Under EU AI Act Rules. Blackbird.AI Research.
  • BVDW (2025). Sechs ethische Prinzipien für die Entwicklung und den Einsatz von KI. Bundesverband Digitale Wirtschaft.
  • CNN (2024). Arup revealed as victim of $25 million deepfake scam involving Hong Kong employee. CNN Business, 16. Mai 2024.
  • DeepStrike (2025). Deepfake Statistics 2025: The Data Behind the AI Fraud Wave. DeepStrike Research Report.
  • Deloitte Center for Financial Services (2025). AI-Enabled Fraud: Projections to 2027. Deloitte Insights.
  • EU AI Act (2024). Regulation (EU) 2024/1689 of the European Parliament and of the Council. Article 50: Transparency Obligations. Official Journal of the European Union.
  • Fraunhofer ISI (2025). Deepfakes: Chancen und Risiken für Politik, Wirtschaft und Gesellschaft. Fraunhofer-Institut für System- und Innovationsforschung.
  • Gartner (2025). Why CIOs Cannot Ignore the Rising Tide of Deepfake Attacks. Gartner Newsroom, 2. September 2025.
  • Keepnet Labs (2026). Deepfake Statistics & Trends 2026: Key Data & Insights. Keepnet Security Research.
  • Kirkland & Ellis (2026). Illuminating AI: The EU's First Draft Code of Practice on Transparency for AI-Generated Content. Kirkland Alert, Februar 2026.
  • KPMG (2025). KI-Governance: Das sind die Erfolgsfaktoren. KPMG Deutschland.
  • LSE International Development (2025). The Deepfake Blindspot in AI Governance. London School of Economics Blog, 4. Dezember 2025.
  • Programs.com (2026). The Latest Deepfake Facts & Statistics (2026). Programs.com Research.
  • SEC (2025). AI, Deepfakes, and the Future of Financial Deception. Statement of Perry Carpenter, KnowBe4, SEC, März 2025.
  • Surfshark Research (2025). AI Drives Deepfake Losses to $1.56 Billion. Surfshark Data Chart.
  • UNESCO (2024). Deepfakes and the Crisis of Knowing. UNESCO Digital Regulation.

Über den Autor

Dirk Röthig ist CEO von VERDANTIS Impact Capital und berät Unternehmen an der Schnittstelle von Technologie, nachhaltiger Wertschöpfung und digitaler Resilienz. Mit über 20 Jahren Erfahrung in der internationalen Unternehmensführung verbindet er strategisches Denken mit fundierter KI-Kompetenz. Seine Schwerpunkte liegen in der digitalen Transformation, Impact Investing und der Frage, wie Unternehmen technologische Risiken in strategische Chancen verwandeln können.

Kontakt: LinkedIn | VERDANTIS Impact Capital

Top comments (0)