Zurück zum Blog
IT-Infrastruktur

Deepfake & CEO-Fraud Schutz 2026: Voice-Cloning und Zahlungsbetrug abwehren

CEO-Fraud ist nicht neu – aber 2026 gefährlich wie nie. KI-generierte Stimmen klingen täuschend echt, Video-Deepfakes funktionieren in Echtzeit. Die gute Nachricht: Der wirksamste Schutz für Schweizer KMU ist nicht teure Technik, sondern ein paar disziplinierte Prozesse.

Autor: Gian Marco Ma Mai 2026 12 Min. Lesezeit

Wichtig vorab

  • CEO-Fraud ist ein Betrug, bei dem Täter sich als Geschäftsleitung ausgeben und zu dringenden, vertraulichen Zahlungen verleiten.
  • 2026 kombinieren Täter E-Mails mit KI-generierten Stimmen und Video-Deepfakes, die in Echtzeit funktionieren.
  • Deepfakes lassen sich technisch kaum noch zuverlässig erkennen – der Schutz liegt im Prozess, nicht im Erkennen.
  • Wirksamster Schutz: Vier-Augen-Prinzip, verbindlicher Rückruf bei Zahlungen und ein internes Codewort für ungewöhnliche Anweisungen.
  • Im Ernstfall zählt jede Stunde: sofort die Bank kontaktieren, Anzeige erstatten und den Vorfall dem NCSC melden.

Was CEO-Fraud ist – und warum KI alles verändert

CEO-Fraud – auch Chef-Masche oder Business Email Compromise (BEC) genannt – ist ein Betrug, bei dem Täter sich als Geschäftsleitung, Verwaltungsrat oder Lieferant ausgeben und Mitarbeitende zu dringenden, vertraulichen Zahlungen verleiten. Das Muster ist seit Jahren dasselbe: Zeitdruck, Vertraulichkeit, eine ungewöhnliche Überweisung, der Wunsch, etablierte Prozesse zu umgehen. Lange war die schwache E-Mail-Sprache ein Warnsignal.

2026 ist dieses Warnsignal weg. KI-Werkzeuge erzeugen aus wenigen Sekunden öffentlich verfügbarer Tonaufnahme – etwa aus einem Podcast, einem Webinar oder einem LinkedIn-Video – eine täuschend echte Stimm-Kopie. Video-Deepfakes funktionieren in Echtzeit und überstehen kurze Videocalls. Der Betrug wird damit emotional wirksamer: Mitarbeitende hören oder sehen scheinbar wirklich ihre Chefin – und der natürliche Reflex ist Gehorsam, nicht Misstrauen.

Die typischen Angriffsmuster

MascheAblaufZiel im KMU
Klassischer CEO-FraudE-Mail vom „Chef“ verlangt dringende Überweisung, oft mit GeheimhaltungBuchhaltung, Finanzen
Voice-Cloning-AnrufKI-Stimme des Chefs ruf an und bestätigt die „dringende“ ZahlungBuchhaltung, Assistenz
Video-Deepfake-CallGefälschter Videocall mit GL oder VR, teils mit mehreren „Personen“Finanzleitung
Lieferanten-Betrug (Fake-Invoice)Echte Lieferanten-Rechnung mit geänderter BankverbindungKreditorenbuchhaltung
Bewerbungs-/HR-DeepfakeDeepfake im Video-Interview, um an Zugänge oder Daten zu kommenHR, IT-Onboarding
Account-TakeoverÜbernommenes echtes Postfach versendet glaubwürdige AnweisungenAlle Abteilungen

Auffällig: Die meisten dieser Maschen zielen auf die Finanz- und Buchhaltungsfunktion und auf den Moment der Zahlungsauslösung. Genau dort muss der Schutz ansetzen. Der Lieferanten-Betrug mit geänderter Bankverbindung ist dabei besonders verbreitet, weil er keine Deepfake-Technik braucht – nur eine glaubwürdige Rechnung und ein fehlender Rückruf.

Warum „Erkennen“ keine Strategie ist

Viele KMU hoffen, ihre Mitarbeitenden könnten Deepfakes „erkennen“. Das ist 2026 keine tragfähige Strategie. KI-Stimmen klingen natürlich, Video-Deepfakes überstehen kurze Calls, und Detektions-Software hinkt der Generierungs-Technik immer einen Schritt hinterher. Verdächtig bleiben nicht technische Merkmale, sondern Verhaltensmuster: Zeitdruck, Vertraulichkeit, eine ungewöhnliche Zahlung und der Wunsch, etablierte Prozesse zu umgehen. Der zuverlässige Schutz ist deshalb nicht das Erkennen, sondern ein fester Rückruf-Prozess – bei jeder Zahlungsanweisung über einen bekannten, selbst gewählten Kanal verifizieren. Ein Prozess, der nicht davon abhängt, ob jemand einen Fake durchschaut, ist robuster als jede Schulung im Hinhören.

Die 7 wirksamsten Schutzmassnahmen

1

Vier-Augen-Prinzip für Zahlungen

Keine Zahlung über einem definierten Betrag wird von einer einzelnen Person ausgelöst. Zwei Personen, getrennte Freigabe, im Zahlungssystem technisch erzwungen – nicht nur als Empfehlung.

2

Verbindlicher Rückruf bei jeder Änderung

Jede neue oder geänderte Bankverbindung und jede aussergewöhnliche Anweisung wird über eine bekannte, selbst herausgesuchte Nummer zurückverifiziert – nie über die Kontaktdaten aus der verdächtigen Nachricht.

3

Internes Codewort

Geschäftsleitung und Finanz vereinbaren ein Codewort für ungewöhnliche, dringende Anweisungen. Wer es am Telefon oder im Call nicht nennen kann, wird nicht ausgeführt – egal wie echt die Stimme klingt.

4

Klare Eskalations-Erlaubnis

Mitarbeitende müssen wissen: Eine Zahlung anzuhalten und nachzufragen ist nie falsch und wird nie bestraft. Diese ausdrückliche Erlaubnis bricht den Zeitdruck-Hebel der Täter.

5

E-Mail-Authentifizierung härten

DMARC, SPF und DKIM korrekt konfigurieren, damit gefälschte Absender Ihrer eigenen Domain blockiert werden. MFA auf allen Postfächern verhindert Account-Takeover.

6

Regelmässige Awareness-Schulung

Kurze, konkrete Schulungen mit echten Deepfake-Beispielen – zwei- bis dreimal pro Jahr. Ziel ist nicht Technik-Wissen, sondern der Reflex „bei Zahlungsdruck: Prozess statt Gehorsam“.

7

Incident-Response-Plan bereit

Ein einseitiger Plan: Wer wird im Betrugsfall sofort informiert, welche Bank-Nummer wird angerufen, wer meldet an NCSC und Polizei. Im Ernstfall zählt jede Stunde.

Diese Massnahmen sind bewusst günstig und organisatorisch. Die technischen Bausteine – DMARC, SPF und DKIM sowie MFA – sollten ohnehin Standard sein. Den grössten Hebel haben aber das Vier-Augen-Prinzip und der Rückruf-Prozess: Sie wirken, ohne dass jemand einen Deepfake durchschauen muss.

Der Ernstfall: Was tun, wenn es passiert ist

  • Sofort die Bank kontaktieren und einen Rückruf der Zahlung verlangen – die ersten Stunden entscheiden, ob Geld noch aufgehalten werden kann.
  • Anzeige bei der Kantonspolizei erstatten und alle Beweise sichern: E-Mails, Anrufprotokolle, Zahlungsbelege.
  • Den Vorfall dem Bundesamt für Cybersicherheit (NCSC) melden – das hilft auch anderen KMU.
  • Intern den Incident-Response-Plan aktivieren: betroffene Konten und Postfächer prüfen, Passwörter zurücksetzen, auf Account-Takeover prüfen.
  • Den Ablauf ehrlich dokumentieren und die ausgenutzte Lücke schliessen – ohne Schuldzuweisung an die getäuschte Person.
  • Cyber-Versicherung informieren, falls vorhanden, und Meldefristen einhalten.

Wer einen Incident-Response-Plan bereit hat, verliert im Ernstfall keine wertvolle Zeit mit Organisieren. Eine Cyber-Versicherung kann den finanziellen Schaden teilweise abfedern – ersetzt aber keine Prävention.

Fazit: Prozesse schlagen Technik

Deepfakes haben CEO-Fraud gefährlicher gemacht, weil sie das letzte verlässliche Warnsignal – die schlechte Fälschung – beseitigt haben. Der Fehler vieler KMU ist, darauf mit dem Wunsch zu reagieren, Fakes besser erkennen zu wollen. Das funktioniert nicht.

Was funktioniert, ist ein Prozess, der gar nicht davon abhängt, ob jemand einen Fake durchschaut: Vier-Augen-Prinzip, verbindlicher Rückruf, Codewort, klare Eskalations-Erlaubnis. Diese Massnahmen kosten fast nichts und sind in wenigen Wochen umgesetzt. Kombiniert mit gehärteter E-Mail-Authentifizierung und regelmässiger Awareness-Schulung schützen sie ein Schweizer KMU wirksam – auch gegen die nächste Generation von KI-Betrug.

Ihr KMU gegen CEO-Fraud absichern

Wir prüfen Ihre Zahlungsprozesse, richten Vier-Augen-Freigabe und Rückruf-Verfahren ein, härten Ihre E-Mail-Authentifizierung und schulen Ihr Team mit echten Deepfake-Szenarien.

Beratung anfragen

GIAR Digital GmbH

Passende Leistungen für Ihr KMU

Dieser Beitrag stammt von GIAR Digital, Ihrem IT-Partner für Schweizer KMU aus dem Kanton Aargau. Was wir hier beschreiben, setzen wir auch konkret um – diese Themen betreuen wir für kleine und mittlere Unternehmen:

IT-Infrastruktur & Microsoft 365 POS & Payment-Lösungen Prozessdigitalisierung KI-Automatisierung Custom Business Software Galaxus-Anbindung
Kostenlose Erstberatung anfragen