KI-Phishing und Deepfakes machen Betrug im Mittelstand glaubwürdiger, schneller und schwerer erkennbar. Besonders gefährdet sind Geschäftsführung, Buchhaltung, Assistenz, Vertrieb und IT-Administration, weil dort Zahlungen, Zugänge und Freigaben zusammenlaufen. Schutz entsteht nicht durch Panik, sondern durch einfache Prüfwege, feste Freigaben, technische Hürden und trainierte Routinen.
Warum betrifft KI-Phishing heute besonders Geschäftsführung und Buchhaltung?
Früher waren viele Phishing-Mails leicht zu enttarnen. Schlechte Grammatik, falsche Logos, seltsame Absenderadressen und unpassende Formulierungen waren typische Warnsignale. Diese Zeiten sind vorbei. Generative KI kann Mails schreiben, die wie echte Geschäftskorrespondenz wirken. Sie kann Tonfall, Branchenbegriffe, Rollen, Lieferantenbeziehungen und interne Abläufe imitieren.
Für den deutschen Mittelstand ist das besonders relevant, weil viele Entscheidungen immer noch über Vertrauen laufen. Der Geschäftsführer schreibt der Buchhaltung. Der Vertrieb schickt kurzfristig eine neue Bankverbindung eines Kunden. Die Assistenz koordiniert einen vertraulichen Termin. Der IT-Admin bekommt eine angebliche Microsoft-Meldung. Genau diese alltäglichen Situationen werden missbraucht.
KI verständlich in den Arbeitsalltag bringen
Der KI-Praxisbrief liefert kompakte Impulse, konkrete Anwendungsfälle und verständliche Einordnungen für Unternehmen, die KI sinnvoll, strukturiert und praxisnah einsetzen möchten.
Praxisnah kuratiert · Verständlich eingeordnet · Made in Germany
Der Angriff beginnt oft nicht mit Technik, sondern mit Beobachtung. Täter prüfen Website, LinkedIn-Profile, Stellenanzeigen, Handelsregisterinformationen, Pressemitteilungen und E-Mail-Signaturen. Daraus entsteht eine Nachricht, die nicht wie ein Massenangriff aussieht, sondern wie ein normaler Vorgang im Unternehmen.
Axios berichtete im Juni 2026 auf Basis von Huntress-Daten, dass Device-Code-Phishing in den ersten vier Monaten 2026 um 1.380 Prozent gegenüber dem zweiten Halbjahr 2025 zugenommen hat. Der zentrale Punkt: Angriffe werden nicht nur besser formuliert, sondern auch stärker automatisiert. Quelle: https://www.axios.com/2026/06/23/ai-automation-phishing-emails-hackers
Welche Angriffsszenarien sind für mittelständische Unternehmen realistisch?
Ein realistischer Angriff auf die Buchhaltung beginnt selten mit einer dramatischen Mail. Häufig wirkt die Nachricht sachlich. Ein angeblicher Lieferant teilt mit, dass sich die Bankverbindung geändert hat. Eine Rechnung wird erneut gesendet. Ein Projektleiter bittet um schnelle Zahlung, weil sonst eine Lieferung stockt. Die Mail enthält vielleicht sogar korrekte Projektdaten, weil diese aus älteren E-Mails, öffentlichen Referenzen oder kompromittierten Postfächern stammen.
Bei CEO-Fraud wird der Druck stärker. Eine Nachricht kommt scheinbar von der Geschäftsführung. Der Ton ist vertraulich. Die Bitte ist ungewöhnlich, aber nicht völlig abwegig: „Bitte heute noch ausführen, ich bin gleich im Termin.“ Mit KI wird daraus mehr als eine Mail. Es kann ein kurzer Sprachanruf folgen. Die Stimme klingt vertraut. Genau hier entsteht das Risiko: Menschen prüfen nicht mehr, weil sie glauben, die Person erkannt zu haben.
Im Vertrieb sieht das Szenario anders aus. Ein angeblicher Kunde sendet eine Anfrage, bittet um Zugriff auf ein Portal oder teilt einen Link zu Ausschreibungsunterlagen. Der Link führt zu einer täuschend echten Microsoft-Anmeldeseite oder zu einem legitimen Microsoft-Dialog, der für Device-Code-Phishing missbraucht wird.
Für IT-Administratoren ist die Lage noch kritischer. Wenn ein Admin-Konto übernommen wird, geht es nicht mehr nur um eine einzelne Rechnung. Dann können Postfächer, Teams, SharePoint, OneDrive, Kalender, Weiterleitungsregeln und interne Daten betroffen sein.
Microsoft berichtete im Mai 2026 über eine mehrstufige Phishing-Kampagne, die mehr als 35.000 Nutzer in über 13.000 Organisationen in 26 Ländern adressierte. Quelle: https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/
Warum kann MFA trotzdem umgangen werden?
Viele Unternehmen glauben, dass Multi-Faktor-Authentifizierung das Thema erledigt. MFA ist wichtig, aber sie ist kein Freifahrtschein. Moderne Angriffe versuchen nicht immer, ein Passwort zu stehlen. Sie bringen Nutzer dazu, legitime Freigaben auszulösen, Codes einzugeben oder Zugriff für eine Anwendung zu bestätigen.
Device-Code-Phishing ist dafür ein gutes Beispiel. Der Nutzer landet nicht zwingend auf einer gefälschten Website. Er gibt einen Code auf einer echten Microsoft-Seite ein. Aus seiner Sicht wirkt der Vorgang vertrauenswürdig, weil Domain, Login und Oberfläche echt aussehen. Im Hintergrund erhält der Angreifer Zugriff auf das Konto oder auf Tokens, die später erneut genutzt werden können.
Auch sogenannte Adversary-in-the-Middle-Angriffe sind relevant. Dabei sitzt eine Infrastruktur zwischen Nutzer und echtem Login. Der Nutzer meldet sich an, bestätigt MFA, und der Angreifer greift Sitzungstokens ab. Das bedeutet: Nicht nur Passwörter sind das Problem, sondern auch Sitzungen, Berechtigungen, Tokens und App-Zustimmungen.
Die Konsequenz für den Mittelstand ist einfach: MFA bleibt Pflicht, aber Unternehmen sollten stärker auf phishing-resistente Verfahren, Conditional Access, Gerätebindung, eingeschränkte App-Zustimmungen und regelmäßige Prüfung von Login-Auffälligkeiten setzen.
Wie unterscheiden sich klassische Phishing-Mails von KI-gestützten Angriffen?
| Merkmal | Klassisches Phishing | KI-gestütztes Phishing und Deepfake-Betrug |
|---|---|---|
| Sprache | Oft unpassend, generisch oder fehlerhaft | Branchenüblich, persönlich, situationsbezogen |
| Zielgruppe | Große Streuverteilung | Geschäftsführung, Buchhaltung, Assistenz, Vertrieb, IT |
| Druckmittel | Sperrung, Mahnung, Paket, Konto | Projektverzug, vertrauliche Zahlung, Chef-Anweisung |
| Täuschungsmittel | Link, Anhang, falsche Login-Seite | Mail, Stimme, Video, legitime Login-Flows, Tokens |
| Erkennung | Häufig über sichtbare Fehler möglich | Stärker über Prozessprüfung und Rückkanal nötig |
| Schaden | Zugangsdaten, Malware, einzelne Konten | Zahlungen, M365-Kompromittierung, Datenabfluss, Reputationsschaden |
Der Vergleich zeigt: Die größte Veränderung liegt nicht darin, dass Angriffe völlig neu sind. Sie wirken nur stärker wie normale Arbeit. Genau deshalb reicht eine Schulung mit Beispielen aus dem Jahr 2020 nicht mehr aus.
Welche Warnsignale sollte die Buchhaltung ernst nehmen?
Die Buchhaltung ist ein Hauptziel, weil dort Zahlungen, Stammdaten und Freigaben zusammenkommen. Warnsignale sind nicht immer technische Auffälligkeiten. Oft sind es Abweichungen vom gewohnten Ablauf.
Verdächtig ist zum Beispiel eine neue Bankverbindung kurz vor Fälligkeit, eine Zahlung mit ungewöhnlicher Eile, eine Bitte um Vertraulichkeit oder eine Anweisung außerhalb des üblichen Vier-Augen-Prinzips. Auch eine Mail, die sprachlich perfekt ist, aber eine Ausnahme vom Standardprozess verlangt, sollte geprüft werden.
Wichtig ist ein einfacher Grundsatz: Nicht die Person wird geprüft, sondern der Vorgang. Das nimmt Druck aus der Situation. Wenn eine Zahlung ungewöhnlich ist, muss ein zweiter Kanal genutzt werden. Nicht durch Antwort auf die Mail, nicht über eine mitgeschickte Telefonnummer, sondern über bereits hinterlegte Kontaktdaten im ERP, CRM oder Lieferantenstamm.
Für Lieferantenstammdaten sollte gelten: Änderungen von Bankverbindungen werden nicht per E-Mail allein akzeptiert. Sie brauchen einen separaten Prüfweg, dokumentierte Freigabe und idealerweise eine kurze Sperrfrist oder zusätzliche Bestätigung bei kritischen Beträgen.
Wie gefährlich sind Voice Cloning und Deepfake-Anrufe wirklich?
Voice Cloning ist für Unternehmen deshalb gefährlich, weil Stimme Vertrauen erzeugt. Ein kurzer Anruf reicht oft, um eine Mail glaubwürdiger zu machen. Der Angreifer muss keine lange Unterhaltung führen. Manchmal genügt ein Satz: „Ich habe dir gerade etwas geschickt, bitte schnell bearbeiten.“
Aktuelle Forschung zu Deepfake-Vorfällen zwischen 2022 und 2026 zeigt, dass beobachtete Schäden besonders bei Voice-Clone-Scams, Finanzbetrug und emotionaler Manipulation wachsen. Der große Schaden entsteht also nicht nur durch spektakuläre öffentliche Videos, sondern durch direkte Täuschung in konkreten Entscheidungssituationen. Quelle: https://arxiv.org/abs/2605.12075
Im Mittelstand kann das den Geschäftsführer, den Prokuristen, die Assistenz oder die Buchhaltung betreffen. Je sichtbarer eine Person online ist, desto leichter wird Material für Stimm- oder Videomuster gefunden. Vorträge, Podcasts, Webinare, Social-Media-Videos und Messeauftritte liefern Angreifern Ausgangsmaterial.
Die Antwort darauf ist kein Rückzug aus öffentlicher Kommunikation. Unternehmen brauchen eine Verifikationsroutine. Kritische Vorgänge werden nicht allein durch Stimme, Video oder Chat bestätigt. Es braucht feste Rückrufnummern, interne Codewörter für Ausnahmefälle, definierte Freigabestufen und eine Kultur, in der Rückfragen nicht als Misstrauen gelten.
Welche Rolle spielt Microsoft 365 bei modernen Phishing-Angriffen?
Microsoft 365 ist für viele mittelständische Unternehmen die zentrale Arbeitsplattform. Dort liegen E-Mails, Termine, Dokumente, Teams-Chats, SharePoint-Bibliotheken und oft auch interne Freigabeprozesse. Deshalb ist ein kompromittiertes Microsoft-Konto besonders wertvoll.
Angreifer wollen nicht nur ein Passwort. Sie wollen Zugriff auf Postfächer, Weiterleitungsregeln, Kontakte, interne Kommunikation und Dateien. Ein übernommenes Konto kann genutzt werden, um glaubwürdige Mails an Kunden, Lieferanten oder Kollegen zu senden. Dadurch verschiebt sich der Angriff von außen nach innen.
Besonders gefährlich sind Anwendungsberechtigungen, alte Geräte, schwache Admin-Konten, fehlende Conditional-Access-Regeln und zu breite Freigaben. Unternehmen sollten regelmäßig prüfen, welche Anwendungen Zugriff auf Microsoft 365 haben, welche Postfachregeln aktiv sind und welche Konten ungewöhnliche Logins zeigen.
Für die Praxis heißt das: Geschäftsführung und Buchhaltung brauchen nicht jedes technische Detail zu verstehen. Aber sie müssen wissen, dass ein echter Microsoft-Login nicht automatisch sicher bedeutet. Entscheidend ist, ob der Vorgang erwartet, plausibel und über den vorgesehenen Prozess freigegeben wurde.
Welche einfachen Prüfprozesse helfen ohne großen Apparat?
Mittelständler brauchen praktikable Regeln. Zu komplizierte Sicherheitsprozesse werden im Tagesgeschäft umgangen. Gute Regeln sind kurz, wiederholbar und passen zu den vorhandenen Abläufen.
Für Zahlungen sollte es Betragsgrenzen geben. Ab einer definierten Schwelle reicht keine einzelne Mail. Bei neuer Bankverbindung wird immer ein zweiter Kanal genutzt. Bei ungewöhnlicher Eile wird der Vorgang gestoppt und intern geprüft. Bei vertraulichen Sonderzahlungen braucht es eine dokumentierte Freigabe durch eine zweite berechtigte Person.
Für IT-Zugänge sollte gelten: Keine Codes aus E-Mails oder Chats eingeben, wenn der Vorgang nicht selbst gestartet wurde. Keine App-Zustimmungen erteilen, wenn Nutzen und Herkunft nicht eindeutig bekannt sind. Admin-Konten werden getrennt vom normalen Arbeitskonto geführt. Kritische Rollen erhalten stärkere Authentifizierung und restriktivere Bedingungen.
Für Assistenz und Vertrieb ist wichtig: Links zu Portalen, Ausschreibungen, Dateifreigaben und Vertragsunterlagen werden vorsichtig behandelt. Besonders dann, wenn Druck aufgebaut wird oder die Nachricht einen Wechsel auf einen fremden Kanal verlangt.
Wie sollten Unternehmen Mitarbeiterschulung neu denken?
Awareness darf nicht wie eine jährliche Pflichtübung wirken. Wer im Alltag Rechnungen prüft, Kundenanfragen bearbeitet oder Termine für die Geschäftsführung koordiniert, braucht Beispiele aus der eigenen Arbeit. Eine Buchhalterin erkennt andere Risiken als ein Servicetechniker. Ein Vertriebsmitarbeiter hat andere Kontaktpunkte als ein IT-Admin.
Gute Schulung arbeitet mit branchennahen Szenarien. Für ein Handwerksunternehmen kann das eine angebliche Lieferantenrechnung sein. Für einen technischen Dienstleister eine neue Projektunterlage. Für einen Sicherheitsdienst ein kurzfristiger Auftrag mit Link zum Einsatzplan. Für einen Maschinenbauer eine angebliche Anfrage mit NDA und Download-Link.
Wichtig ist auch die Reaktion nach einer Unsicherheit. Mitarbeiter müssen wissen, wohin sie sich wenden. Ein interner Meldeweg darf nicht kompliziert sein. Wer einen Verdacht meldet, sollte keine Angst haben, bloßgestellt zu werden. Viele Schäden entstehen nicht durch den ersten Klick, sondern dadurch, dass niemand schnell reagiert.
Welche technischen Maßnahmen sind sinnvoll?
Technik kann menschliche Prüfung nicht ersetzen, aber sie kann Angriffe deutlich erschweren. Sinnvoll sind phishing-resistente MFA-Verfahren, Conditional Access, Gerätekonformität, eingeschränkte App-Zustimmungen, sichere Admin-Konten, Monitoring von ungewöhnlichen Logins und Schutz vor verdächtigen Weiterleitungsregeln.
E-Mail-Sicherheit bleibt wichtig. SPF, DKIM und DMARC sollten korrekt eingerichtet sein. Eingehende Mails sollten auf Spoofing, verdächtige Anhänge, Link-Umschreibungen und bekannte Kampagnen geprüft werden. Trotzdem darf sich ein Unternehmen nicht allein auf Filter verlassen. CEO-Fraud enthält oft keinen Schadcode. Eine gut formulierte Mail kann technisch sauber sein und trotzdem Betrug auslösen.
Für Microsoft 365 sollten Unternehmen besonders auf Tokens, OAuth-Zustimmungen und Postfachregeln achten. Es empfiehlt sich, Benutzerzustimmungen zu Anwendungen einzuschränken, Admin-Freigaben zu verlangen und auffällige Login-Muster zu überwachen. Zudem sollten alte Protokolle und unnötige externe Freigaben reduziert werden.
Warum ist das ein Geschäftsführungsrisiko und nicht nur ein IT-Thema?
Cybervorfälle treffen nicht nur Systeme. Sie treffen Liquidität, Lieferfähigkeit, Kundenvertrauen und Geschäftsführungshaftung. Wenn eine gefälschte Zahlungsanweisung ausgeführt wird, ist das kein rein technischer Vorfall. Es ist ein Prozessversagen mit finanziellen Folgen.
Der Allianz Risk Barometer 2026 nennt Cybervorfälle zum fünften Mal in Folge als weltweit wichtigstes Unternehmensrisiko; 42 Prozent der Antworten entfielen auf Cyber Incidents. Quelle: https://commercial.allianz.com/news-and-insights/news/allianz-risk-barometer-2026/de.html
Für Geschäftsführer im Mittelstand bedeutet das: Die Frage ist nicht, ob jede technische Einzelheit verstanden wird. Die Frage ist, ob kritische Prozesse ausreichend robust sind. Wer darf Zahlungen freigeben? Wer ändert Lieferantenstammdaten? Wer genehmigt App-Zugriffe? Wer prüft auffällige Logins? Wer entscheidet im Notfall?
Die beste Sicherheitsmaßnahme ist oft nicht spektakulär. Sie besteht aus Zuständigkeiten, dokumentierten Freigaben, Rückrufwegen, technischer Basishärtung und regelmäßiger Übung.
KI strategisch sinnvoll im Unternehmen verankern
Die KI-Strategiebegleitung von KrambergAI unterstützt Unternehmen dabei, Ziele, Anwendungsfelder, Prioritäten und Umsetzungswege für den KI-Einsatz strukturiert zu entwickeln.
Strategisch begleitet · Praxisnah priorisiert · Made in Germany
Wie kann ein pragmatischer Start aussehen?
Der Einstieg beginnt mit den kritischsten Vorgängen. Unternehmen sollten zuerst prüfen, wo Geld, Identität und Zugriff zusammenkommen. Das sind meist Zahlungsfreigaben, Lieferantenstammdaten, Microsoft-365-Konten, Admin-Rollen, externe Dateifreigaben und Kommunikation der Geschäftsführung.
Danach folgt eine kurze Risikoaufnahme: Welche Rollen können Zahlungen auslösen? Welche Personen sind öffentlich mit Stimme oder Video sichtbar? Welche Konten haben breite Zugriffsrechte? Welche Freigaben laufen heute noch per E-Mail? Welche Ausnahmen werden regelmäßig akzeptiert?
Aus dieser Aufnahme entstehen wenige, aber verbindliche Regeln. Keine Bankdatenänderung ohne zweiten Kanal. Keine Zahlung außerhalb definierter Freigaben. Keine App-Zustimmung ohne Prüfung. Keine Code-Eingabe bei unerwarteter Aufforderung. Keine vertrauliche Sonderzahlung allein aufgrund von Mail, Chat, Stimme oder Video.
So wird KI-Sicherheit greifbar. Nicht als abstraktes Zukunftsthema, sondern als Schutz für Buchhaltung, Geschäftsführung, Vertrieb, Assistenz und IT-Administration.
Welche Kennzahlen wurden verwendet?
- Device-Code-Phishing stieg in den ersten vier Monaten 2026 um 1.380 Prozent gegenüber dem zweiten Halbjahr 2025.
Quelle: Axios, https://www.axios.com/2026/06/23/ai-automation-phishing-emails-hackers - Microsoft beobachtete im April 2026 eine Kampagne gegen mehr als 35.000 Nutzer in über 13.000 Organisationen in 26 Ländern.
Quelle: Microsoft, https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/ - Die Deepfake-Forschung zu Vorfällen von 2022 bis 2026 nennt Voice-Clone-Scams, Finanzbetrug und emotionale Manipulation als zentrale beobachtete Schadensfelder.
Quelle: arXiv, https://arxiv.org/abs/2605.12075 - Im Allianz Risk Barometer 2026 liegen Cybervorfälle mit 42 Prozent der Antworten weltweit auf Platz 1 der Unternehmensrisiken.
Quelle: Allianz, https://commercial.allianz.com/news-and-insights/news/allianz-risk-barometer-2026/de.html
Interessante Links
- BSI: Deepfakes – Gefahren und Gegenmaßnahmen
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Kuenstliche-Intelligenz/Deepfakes/deepfakes_node.html - Microsoft Security: Inside an AI-enabled device code phishing campaign
https://www.microsoft.com/en-us/security/blog/2026/04/06/ai-enabled-device-code-phishing-campaign-april-2026/ - ENISA Threat Landscape 2025
https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025
Wie erkennt man KI-Phishing im Unternehmen?
KI-Phishing erkennt man selten nur an Schreibfehlern. Wichtiger sind Abweichungen vom üblichen Ablauf: ungewöhnliche Eile, neue Bankdaten, vertrauliche Sonderaufträge, unerwartete Microsoft-Codes, neue Portallinks oder Anweisungen außerhalb definierter Freigaben. Entscheidend ist, ob Nachricht, Vorgang, Kanal und Zeitpunkt zusammenpassen.
Was ist CEO-Fraud mit KI?
CEO-Fraud mit KI bezeichnet Betrug, bei dem Angreifer Führungskräfte imitieren. Das kann per Mail, Chat, Stimme oder Video erfolgen. Ziel ist meist eine Zahlung, Datenfreigabe oder Zugriffsbestätigung. Besonders gefährlich ist die Kombination aus guter Vorbereitung, vertraulichem Ton und künstlich erzeugtem Zeitdruck.
Warum ist die Buchhaltung besonders gefährdet?
Die Buchhaltung verarbeitet Rechnungen, Bankdaten, Zahlungsfreigaben und Lieferantenstammdaten. Genau diese Vorgänge sind für Angreifer wertvoll. Wenn eine gefälschte Mail eine neue Bankverbindung oder eine eilige Zahlung fordert, kann ein einzelner Fehler direkte finanzielle Folgen haben. Deshalb braucht die Buchhaltung feste Prüfwege.
Kann MFA durch Phishing umgangen werden?
Ja, bestimmte Angriffe können MFA umgehen oder ausnutzen. Bei Device-Code-Phishing oder Token-Diebstahl gibt der Nutzer nicht zwingend sein Passwort an eine gefälschte Seite weiter. Stattdessen bestätigt er auf einem legitimen Loginweg einen Vorgang, den der Angreifer vorbereitet hat. Deshalb sind phishing-resistente Verfahren wichtig.
Wie schützt man sich gegen Voice Cloning?
Gegen Voice Cloning helfen feste Rückrufwege, Codewörter für Ausnahmefälle und Freigaben über bekannte Kanäle. Eine Stimme darf bei Zahlungen, Stammdatenänderungen oder vertraulichen Vorgängen nie allein als Nachweis reichen. Kritische Entscheidungen sollten immer über hinterlegte Kontaktdaten und eine zweite berechtigte Person bestätigt werden.
Welche Rolle spielt Microsoft 365 bei KI-Phishing?
Microsoft 365 ist ein attraktives Ziel, weil dort E-Mails, Dateien, Kalender, Teams-Kommunikation und Berechtigungen zusammenlaufen. Angreifer versuchen deshalb, Konten, Tokens oder App-Zustimmungen zu übernehmen. Unternehmen sollten Anwendungsfreigaben, Weiterleitungsregeln, Admin-Konten, Login-Muster und Conditional-Access-Regeln regelmäßig prüfen.
Welche Sofortmaßnahmen sind für Mittelständler sinnvoll?
Sinnvoll sind feste Freigaben für Zahlungen, Rückrufpflicht bei Bankdatenänderungen, phishing-resistente MFA für kritische Rollen, eingeschränkte App-Zustimmungen, getrennte Admin-Konten und kurze Schulungen mit realistischen Beispielen. Zusätzlich sollte es einen einfachen Meldeweg geben, damit verdächtige Nachrichten sofort geprüft werden können.
Wie sollte eine Schulung gegen KI-Phishing aussehen?
Eine gute Schulung nutzt Beispiele aus dem Arbeitsalltag. Buchhaltung, Assistenz, Vertrieb, Geschäftsführung und IT brauchen unterschiedliche Szenarien. Wichtig sind nicht nur Warnsignale, sondern auch konkrete Reaktionen: nicht antworten, nicht klicken, nicht freigeben, sondern über bekannte Kanäle prüfen und intern melden.
Was tun, wenn ein Mitarbeiter auf Phishing hereingefallen ist?
Dann zählt Geschwindigkeit. Das betroffene Konto sollte gesperrt oder zurückgesetzt werden. Sitzungen und Tokens müssen widerrufen, Weiterleitungsregeln geprüft und verdächtige App-Zustimmungen entfernt werden. Außerdem sollten Zahlungswege, betroffene Kommunikationspartner und mögliche Datenabflüsse geprüft werden. Schuldzuweisungen verzögern die Reaktion.
Warum ist KI-Sicherheit ein Thema für die Geschäftsführung?
Die Geschäftsführung trägt Verantwortung für Prozesse, Zahlungsfreigaben, Risikomanagement und Geschäftskontinuität. KI-Phishing und Deepfakes zielen genau auf Entscheidungen mit finanzieller Wirkung. Deshalb reicht es nicht, das Thema an die IT zu delegieren. Geschäftsleitung, Buchhaltung und IT müssen gemeinsam belastbare Prüf- und Eskalationswege festlegen.

