Viele Menschen überschätzen ihre Fähigkeiten, Inhalte zu erkennen, die durch künstliche Intelligenz (KI) erstellt oder manipuliert wurden. Das wird zunehmend zu einem Problem für die Informationssicherheit von Unternehmen. Wir zeigen Möglichkeiten, die eigene Belegschaft besser auf KI-basierte Angriffe vorzubereiten.
Warum verändert KI die Effektivität von Cyberattacken?
Künstliche Intelligenz verändert derzeit nicht nur Geschäftsmodelle und Arbeitsprozesse, sondern auch die Methoden digitaler Angriffe. Was früher vor allem klassische Phishing-Mails oder technisch erkennbare Betrugsversuche waren, entwickelt sich zunehmend zu professionell inszenierten Manipulationskampagnen mit täuschend echten Bildern, Videos und Stimmen.
Der Cybersicherheitsmonitor 2026 des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt dabei eine bemerkenswerte Diskrepanz. Zwar glaubt fast die Hälfte der Befragten (47%), KI-generierte Inhalte erkennen zu können – tatsächlich überprüft jedoch nur eine Minderheit aktiv die Quelle oder achtet auf technische Auffälligkeiten:
- 28 % haben schon einmal aktiv nach Unstimmigkeiten wie fehlerhaften Schatten oder anatomischen Auffälligkeiten gesucht,
- lediglich 19 % haben die Quelle eines Bildes oder Videos überprüft,
- rund ein Drittel der Befragten hat überhaupt keine der typischen Prüfmaßnahmen angewendet.
Dies ein äußerst problematischer Befund. Denn die meisten Menschen wissen mittlerweile grundsätzlich, dass KI Inhalte manipulieren kann. Das eigentliche Risiko liegt daher in einer trügerischen Sicherheit. Viele Nutzer gehen offenbar davon aus, manipulierte Inhalte intuitiv erkennen zu können – prüfen diese Annahme jedoch kaum aktiv.
Dabei entwickelt sich generative KI derzeit mit hoher Geschwindigkeit weiter. Frühere Erkennungsmerkmale wie fehlerhafte Finger, unnatürliche Gesichtsausdrücke oder sichtbare Bildartefakte verlieren zunehmend an Bedeutung. Moderne KI-generierte Inhalte wirken häufig gerade deshalb glaubwürdig, weil sie kommunikativ und emotional plausibel erscheinen – nicht unbedingt, weil sie technisch perfekt sind.
Interessant sind zudem die BSI-Studienergebnisse zu konkreten KI-basierten Betrugsszenarien:
- Nur 54% der Befragten halten es für technisch möglich, dass Kriminelle Stimmen mithilfe künstlicher Intelligenz imitieren, um sich beispielsweise als Angehörige auszugeben.
- Noch geringer fällt das Risikobewusstsein bei Angriffen auf KI-Systeme selbst aus: Lediglich 38% halten es für denkbar, dass ein KI-System manipuliert werden könnte, um sensible Daten preiszugeben.
Dabei gehören sowohl Voice-Cloning als auch Angriffe auf KI-Systeme inzwischen zu realen Sicherheitsrisiken. Besonders relevant ist dies im Zusammenhang mit sogenannten Social-Engineering-Angriffen. Viele moderne KI-Betrugsmodelle zielen nicht primär darauf ab, technische Sicherheitsmechanismen zu überwinden. Ziel ist vielmehr, Vertrauen bei Menschen zu erzeugen und deren kritische Prüfung zu reduzieren.
Der im BSI-Bericht angesprochene Cybertrading Fraud verdeutlicht diese Entwicklung. Kriminelle verwenden dabei KI-generierte Videos prominenter Personen, um vermeintlich seriöse Anlageangebote zu bewerben. Die technische Qualität solcher Inhalte steigt kontinuierlich – ebenso wie ihre Glaubwürdigkeit.
Insgesamt macht der BSI-Bericht damit auf ein zentrales Problem moderner Cybersecurity aufmerksam: Menschen vertrauen ihrer eigenen Einschätzung digitaler Inhalte häufig stärker als es objektiv gerechtfertigt wäre.
Die technologische Entwicklung schreitet rasant voran, wodurch Angriffe immer gezielter, emotionaler und authentischer wirken. Unternehmen stehen daher vor der Herausforderung, ihre Mitarbeitenden nicht nur technisch, sondern insbesondere organisatorisch und durch kontinuierliche Awareness-Maßnahmen auf diese neuen Bedrohungsszenarien vorzubereiten.
Wie können Unternehmen sich gegen KI-basierte Attacken besser schützen?
Die Ergebnisse des Cybersicherheitsmonitors 2026 zeigen, dass klassische Awareness-Ansätze zunehmend an ihre Grenzen stoßen. Unternehmen sollten daher nicht davon ausgehen, dass Mitarbeiter KI-basierte Täuschungen allein aufgrund eines gesunden Misstrauens zuverlässig erkennen können.
Stattdessen sind strukturierte organisatorische und technische Maßnahmen erforderlich. Unserer Erfahrung nach haben sich dabei folgende Ansätze bewährt:
Awareness-Konzepte an die Realität generativer KI anpassen
Viele bestehende Schulungskonzepte basieren noch auf klassischen Phishing-Mustern – etwa auffälligen Schreibfehlern oder offensichtlich unseriösen Nachrichten. Moderne KI-generierte Inhalte wirken jedoch häufig sprachlich professionell und kommunikativ glaubwürdig.
Awareness-Maßnahmen sollten deshalb gezielt aktuelle Bedrohungsszenarien einbeziehen, insbesondere:
- Deepfakes,
- Voice-Cloning,
- KI-generierte Social-Engineering-Angriffe,
- manipulierte Bewerbungsunterlagen,
- sowie gefälschte Video- oder Sprachnachrichten.
Unser Tipp: Versuchen Sie Ihren Mitarbeitenden nicht zu vermitteln, dass sich jede Manipulation erkennen lässt. Wichtiger ist ein realistisches Verständnis dafür, dass auch professionell wirkende Inhalte kritisch hinterfragt werden müssen.
Verifikationsprozesse stärken
Gerade weil KI-generierte Inhalte zunehmend glaubwürdig wirken, gewinnen organisatorische Kontrollmechanismen an Bedeutung.
Unternehmen sollten insbesondere bei:
- Zahlungsfreigaben,
- sensiblen Datenzugriffen,
- Änderungen von Bankdaten oder
- ungewöhnlichen Anweisungen
klare Verifikationsprozesse etablieren. Dazu gehören beispielsweise Rückrufprozesse, Vier-Augen-Prinzipien oder zusätzliche Authentifizierungsstufen.
Noch einmal: Vertrauen in digitale Kommunikationstechnologie allein reicht heutzutage nicht mehr aus. Sie ist die Grundlage, aber bedarf der menschlichen Verifikation.
KI-Risiken in bestehende Compliance- und Sicherheitsstrukturen integrieren
KI-basierte Betrugsrisiken sollten nicht isoliert betrachtet werden, sondern Bestandteil bestehender Informationssicherheits- und Compliance-Strukturen sein.
Relevant sind insbesondere:
- Richtlinien für den Einsatz generativer KI,
- Vorgaben zum Umgang mit sensiblen Daten,
- Risikoanalysen,
- Governance-Strukturen sowie
- die Einbindung von Datenschutz und Informationssicherheit.
Vor allem im Kontext regulatorischer Anforderungen – etwa DSGVO, NIS2 oder EU AI Act – wird die strukturierte Auseinandersetzung mit KI-Risiken zunehmend relevant.
Kritisches Quellenmanagement fördern
Der BSI-Bericht zeigt deutlich, dass die wenigsten Nutzer Quellen tatsächlich überprüfen. Gerade deshalb sollten Unternehmen eine Kultur fördern, in der Informationen nicht allein aufgrund professioneller Darstellung als vertrauenswürdig eingestuft werden.
Die kritische Prüfung von Quellen, Kommunikationswegen und Authentizität wird zunehmend zu einer Kernkompetenz digitaler Resilienz.
Fazit
Der aktuelle Cybersicherheitsmonitor des Bundesamtes für Sicherheit in der Informationstechnik verdeutlicht insgesamt, dass KI-gestützte Manipulations- und Betrugsversuche zunehmend schwerer zu erkennen sind. Viele Menschen überschätzen ihre Fähigkeit, KI-basierte Täuschungen zuverlässig identifizieren zu können. Gleichzeitig entwickelt sich die Technologie rasant weiter. Neue Angriffsmethoden, realistisch wirkende Inhalte und immer raffiniertere Social-Engineering-Techniken erhöhen das Risiko erheblich.
Umso wichtiger ist es, Mitarbeiter mit dieser Entwicklung nicht allein zu lassen. Unternehmen sollten daher aktiv handeln, um das Risiko einer Selbstüberschätzung zu verhindern und damit Unternehmenswerte sowie Arbeitsplätze zu sichern.
