
Ein Deepfake-CFO stahl 25 Millionen US-Dollar in einem Zoom-Call. Warum Ihr Unternehmen das nächste Ziel sein könnte.
Ich war in einem Gespräch mit einem potenziellen Kunden — einem CFO bei einem mittelständischen Fertigungsunternehmen — als er etwas sagte, das mich schlagartig innehalten ließ.
"Wir überprüfen die Identität doch bereits in Videocalls. Wir sehen ja gegenseitig unsere Gesichter."
Ich fragte ihn, ob er von dem Vorfall bei Arup gehört habe. Hatte er nicht. Also erzählte ich es ihm: Im Februar 2024 nahm ein Mitarbeiter der Finanzabteilung von Arup — dem globalen Ingenieurbüro hinter dem Sydney Opera House — an einer Videokonferenz mit seinem CFO und mehreren Führungskräften teil. Sie besprachen eine vertrauliche Transaktion. Der CFO wies ihn an, Gelder zu überweisen. Er tätigte 15 Überweisungen im Gesamtwert von 25,6 Millionen US-Dollar auf fünf Bankkonten. Jedes Gesicht in diesem Call war gefälscht. Jede Stimme war synthetisch. Der CFO war ein KI-generierter Deepfake. Die anderen Führungskräfte ebenso. Der Mitarbeiter war der einzige echte Mensch im Raum.
Die Leitung blieb etwa zehn Sekunden lang still. Dann sagte er: "Das kann nicht wahr sein."
Doch, das ist es. Und es ist der Grund, warum ich die vergangene Zeit damit verbracht habe, alles zu überdenken, was wir bei Veriprajna bauen — denn der Arup-Vorfall legte nicht nur eine Cybersicherheitslücke offen. Er legte ein Problem der Vertrauensarchitektur offen, mit dem sich die meisten Unternehmen noch nicht einmal ansatzweise auseinandergesetzt haben.
Die Nacht, in der mir klar wurde: "Sehen heißt Glauben" ist tot
Die forensische Analyse des Arup-Vorfalls las ich zum ersten Mal spät an einem Abend, in meinem Homeoffice, bei einer Tasse Chai, die kalt wurde, bevor ich die zweite Seite zu Ende gelesen hatte. Was mich traf, war nicht der Geldbetrag — obwohl 25,6 Millionen US-Dollar erschütternd sind. Es war die Eleganz des Angriffs. Es gab keine Malware. Keinen Diebstahl von Zugangsdaten. Keinen unbefugten Datenbankzugriff. Arups digitale Infrastruktur wurde überhaupt nie kompromittiert.
Die Angreifer hackten nicht das System. Sie hackten den Menschen.
Wenn Gesicht und Stimme des CFO perfekt gefälscht werden können, sind die traditionellen Signale des Vertrauens gebrochen. Nicht geschwächt — gebrochen.
Monatelang sammelten sie öffentlich verfügbare Videos von Arup-Führungskräften aus YouTube, Konferenzvorträgen und Unternehmensaufzeichnungen. Sie trainierten Generative Adversarial Networks — zwei neuronale Netze, die gegeneinander antreten, wobei eines gefälschte Inhalte erzeugt und das andere versucht, sie zu erkennen, millionenfach iterierend, bis die Fälschungen nicht mehr von der Realität zu unterscheiden sind — um das zu erschaffen, was Forensiker "synthetische High-Fidelity-Zwillinge" nennen. Nicht nur Gesichter. Sprachmuster. Betonungen. Die Art, wie jemand kurz innehält, bevor er eine Frage beantwortet.
Dann schickten sie eine Spear-Phishing-E-Mail vom "CFO", die um Unterstützung bei einer vertraulichen Transaktion bat. Der Mitarbeiter war skeptisch. Gute Instinkte. Doch die Angreifer hatten einen zweiten Zug: Sie luden ihn zu einem Live-Videocall ein, in dem mehrere vertraute Gesichter die Anfrage in Echtzeit bestätigten.
Seine Skepsis löste sich auf. Natürlich tat sie das. Welcher vernünftige Mensch zweifelt am Zeugnis der eigenen Augen, wenn vier Kolleginnen und Kollegen ihn auf dem Bildschirm ansehen?
Wie fälscht man eine ganze Führungsriege per Deepfake?

Zu dieser Frage kehrte mein Team immer wieder zurück. Deepfakes einzelner Personen hatten wir schon gesehen — hier eine geklonte Stimme, dort ein Video mit ausgetauschtem Gesicht. Aber eine Live-Videokonferenz mit mehreren Teilnehmern? Das fühlte sich wie ein Sprung an.
Es zeigt sich: Die technischen Hürden sind schneller gefallen, als die meisten Sicherheitsteams begreifen.
Die Angreifer nutzten eine Technik namens Video-Injection statt eines einfacheren "Präsentationsangriffs" (bei dem jemand einen Bildschirm vor eine Kamera hält). Injection-Angriffe speisen synthetisches Video mithilfe virtueller Kamerasoftware direkt in den Datenstrom der Konferenzsoftware ein. Zoom, Teams — die Anwendung behandelt den KI-generierten Feed, als käme er von einer physischen Webcam. Es gibt keinen Bildschirmrand zu erkennen, keine Tiefenanomalie zu markieren. Untersuchungen zeigen für Injection-Angriffe auf Anbieter von Identitätsprüfungen einen Anstieg von 255 % im Jahr 2023, bei Face-Swap-Angriffen betrug der Anstieg 704 %.
Ich erinnere mich an ein Teammeeting, in dem einer unserer Ingenieure einen Echtzeit-Face-Swap mit Open-Source-Werkzeugen vorführte. Der Aufbau dauerte etwa vierzig Minuten. Das Ergebnis war nicht perfekt — es gab ein leichtes Flackern entlang der Kieferpartie — aber in einem komprimierten Zoom-Feed? Es würde niemandem auffallen. Und das mit kostenloser Software und ohne Trainingsdaten. Die Arup-Angreifer hatten Monate der Vorbereitung und vermutlich Ressourcen.
Mein CTO sah mich über den Tisch hinweg an und sagte: "Wir müssen aufhören, das als Cybersicherheitsproblem zu betrachten. Das ist ein erkenntnistheoretisches Problem. Woher weiß überhaupt noch jemand, was echt ist?"
Er hatte recht. Und diese Erkenntnis hat verändert, wie ich über alles denke, was wir bauen.
Warum macht Ihre "KI-Strategie" das Problem noch schlimmer?
Hier ist der Punkt, den die meisten Berichte über den Arup-Vorfall komplett übersehen: Die Art, wie die meisten Unternehmen KI eingeführt haben, erhöht ihre Anfälligkeit für diese Art von Angriff sogar noch.
Ich spreche vom "LLM-Wrapper" — der derzeit dominierenden KI-Architektur in Unternehmen. Man nimmt eine öffentliche API von OpenAI oder Anthropic, legt eine dünne Softwareschicht darum, verbindet sie mit ein paar Geschäftsprozessen und nennt das seine KI-Strategie. Der Rollout ist schnell. Er ist billig. Und er ist grundsätzlich unzureichend für alles, worauf es wirklich ankommt.
Drei Gründe.
Erstens: Datenabfluss. Bei einem Wrapper-basierten Einsatz verlassen Ihre sensibelsten Daten — Finanztabellen, interne Memos, Kommunikation der Geschäftsleitung — den Unternehmensperimeter, um in der Cloud eines Drittanbieters verarbeitet zu werden. Selbst wenn der Anbieter zusagt, nicht damit zu trainieren, liegen die Daten in einer externen Umgebung, die dem US CLOUD Act, undurchsichtigen Unterauftragsverhältnissen und potenzieller modellbasierter Exfiltration unterliegt. Sie senden genau die Art von Informationen, die ein Angreifer bräuchte, um überzeugende Deepfakes Ihrer Führungskräfte zu erstellen — und zwar außerhalb Ihrer Mauern.
Zweitens: die Zuverlässigkeitslücke. LLMs sind probabilistisch. Sie sagen das wahrscheinlichste nächste Wort auf Basis statistischer Muster voraus — nicht auf Basis eines fundierten Verständnisses Ihrer Unternehmensrealität. Wenn ein KI-Agent einen Preis nennt, einen Rabatt genehmigt oder eine Richtlinie auslegt, erzeugt er eine plausible Antwort — er ruft keine verifizierte Tatsache ab. In Umgebungen mit hohem Risiko ist genau diese Lücke zwischen "plausibel" und "wahr" der Ort, an dem Betrug gedeiht.
Drittens — und dieser Punkt verfolgt mich — das Problem des "körperlosen Beraters". Für Ingenieurbüros wie Arup erzeugt ein textbasierter LLM-Wrapper Empfehlungen ohne jede integrierte Rückkopplung, die physikalische oder biologische Sicherheit überprüfen könnte. In der Tragwerksplanung oder in der Chemie kann eine geringfügige Änderung in einer Berechnung zu einem katastrophal anderen Ergebnis führen. Ein Wrapper, der auf semantischer Distanz statt auf den Gesetzen der Physik operiert, kann diese kritischen Abweichungen nicht erkennen. Er weiß nicht, was er nicht weiß.
Ausführlich über diese architektonische Schwachstelle habe ich in der interaktiven Version unserer Studie geschrieben — der Kerngedanke: Wrapper erzeugen eine Illusion von Intelligenz und lassen die Organisation dabei strukturell ungeschützt.
Was hätte den Arup-Angriff tatsächlich gestoppt?

Das ist die Frage, die ich mir immer wieder gestellt habe. Nicht "was hätte Arup anders machen sollen" — das wäre Besserwisserei im Nachhinein. Sondern: Welche Architektur würde diese Art von Angriff scheitern lassen?
Die Antwort ist keine einzelne Technologie. Es ist ein Stack. Und er beginnt damit, die Vorstellung aufzugeben, dass visuelle Bestätigung gleichbedeutend mit Identitätsprüfung ist.
Der Herzschlag, den man nicht fälschen kann
Einer der faszinierendsten Erkennungsansätze, denen ich begegnet bin, analysiert sogenannte "herzschlaginduzierte" Veränderungen der Gesichtsfarbe. Technologien wie Intels FakeCatcher überwachen Mikrovariationen im Hautton — für das menschliche Auge unsichtbar — die mit der Herz-Kreislauf-Aktivität korrespondieren. Ein lebendes menschliches Gesicht verändert mit jedem Herzschlag subtil seine Farbe. Ein Deepfake tut das nicht. Und wenn doch, stimmt das Timing nicht.
Als ich zum ersten Mal davon hörte, klang das für mich nach Science-Fiction. Dann sah ich eine Demo, in der das System einen hochwertigen Deepfake korrekt erkannte, der zuvor jede Person im Raum getäuscht hatte. Das synthetische Gesicht hatte perfekte Hauttextur, perfekte Lippensynchronität, perfekte Augenbewegungen. Aber keinen Puls.
Ein Deepfake kann Ihr Gesicht, Ihre Stimme und Ihre Eigenheiten nachbilden. Ihren Herzschlag kann er nicht nachbilden.
Die Art, wie Sie tippen, ist Ihre Unterschrift
Verhaltensbasierte Biometrie ist die Schicht, die mich am meisten begeistert, weil sie nahezu unmöglich zu fälschen ist. Ihre Tastenanschlagdynamik — Geschwindigkeit, Rhythmus und Druck beim Tippen — erzeugt ein erkennbares Muster, das nur Sie haben. Ebenso Ihre Mausbewegungen, Ihre Wischgeschwindigkeit auf dem Smartphone, sogar die Art, wie Sie zwischen Anwendungen wechseln.
Stellen Sie sich vor, für jede Führungskraft eine Verhaltensgrundlinie aufzubauen. Während eines Videocalls prüft das System fortlaufend, ob sich der "CFO", der im Chat tippt, wie der echte CFO verhält. Weicht der Tipprhythmus vom historischen Profil ab, während gerade eine ungewöhnliche Finanzanfrage gestellt wird, markiert das System dies automatisch. Kein menschliches Urteil erforderlich.
So sieht kontinuierliche Authentifizierung aus — kein Einmalpasswort beim Login, sondern eine fortlaufende, unsichtbare Überprüfung, dass die Person, mit der Sie sprechen, auch die ist, die sie zu sein behauptet.
Kryptografischer Beweis, dass ein Video echt ist
Statt nur die Erkennung von Fälschungen zu betreiben, müssen wir damit beginnen, die Verifizierung der Authentizität an der Quelle zu etablieren. Der C2PA-Standard — Coalition for Content Provenance and Authenticity — bettet im Moment der Videoaufnahme kryptografische Metadaten ein: Gerät, Zeit, Ort und eine manipulationserkennende Nachweiskette. Fehlen einem Video-Feed in einem Teams- oder Zoom-Call diese Nachweise, sollte man ihm mit demselben Misstrauen begegnen wie einem unsignierten Softwarepaket.
Das ist ein Denkwandel. Jahrelang haben wir gefragt: "Ist das gefälscht?" Die bessere Frage lautet: "Kann das beweisen, dass es echt ist?"
Die Architektur, die wir tatsächlich bauen

Bei Veriprajna nennen wir unseren Ansatz Deep AI — nicht weil es ein Marketingbegriff wäre, sondern weil er ein grundlegend anderes Verhältnis zwischen einer Organisation und ihrer KI-Infrastruktur beschreibt. Statt "AI-as-a-Service" über öffentliche APIs bauen wir "AI-as-Infrastructure" innerhalb der eigenen sicheren Umgebung der Organisation.
Drei Säulen.
Die erste ist die Eigentümerschaft an der Infrastruktur. Wir deployen vollständige Inferenz-Stacks — Private Enterprise LLMs — direkt in die Virtual Private Cloud des Kunden oder in seine On-Premises-Kubernetes-Cluster. Sensible Daten verlassen den Perimeter nie. Das ist nicht nur eine Sicherheitsmaßnahme; es entstehen maßgeschneiderte Modell-Assets, die dem Kunden gehören. Seine Intelligenz bleibt souverän.
Die zweite ist das, was wir Private RAG 2.0 nennen — Retrieval-Augmented Generation, die nativ mit der internen Sicherheit integriert ist. Wenn ein Mitarbeiter keine Berechtigung hat, ein Dokument in SharePoint einzusehen, ruft die KI es auch nicht ab, um seine Frage zu beantworten. Das klingt selbstverständlich, doch die meisten RAG-Implementierungen behandeln die Wissensbasis als flachen Pool. Unsere respektiert dieselben Zugriffskontrollen, die auch für den Rest der Organisation gelten.
Die dritte — und die, auf die ich am stolzesten bin — ist das Neuro-Symbolic Sandwich. Wir betten das neuronale Netz (das LLM mit seinen kreativen Sprachfähigkeiten) zwischen zwei Schichten deterministischer, symbolischer Logik ein. Die untere Schicht bereinigt Eingaben, um Prompt Injection zu verhindern, bevor sie das Modell erreichen. Die obere Schicht fängt die Ausgabe des Modells ab und führt sie über starre, vordefinierte Funktionen aus — Abfrage einer SQL-Datenbank, Prüfung eines ERP-Systems, Abruf eines verifizierten Preises. Wenn die KI eine Zahl nennt, ruft sie einen Fakt ab, statt ihn vorherzusagen.
Das Neuro-Symbolic Sandwich stellt sicher: Wenn die KI einen Preis oder einen Autorisierungsstatus meldet, ruft sie einen deterministischen Wert aus einer Datenbank ab — statt ihn auf Basis von Token-Wahrscheinlichkeiten vorherzusagen.
Man hat mir gesagt, das sei überkonstruiert. "Nimm einfach GPT mit guten Prompts", sagte einmal ein Investor zu mir, mit der Selbstsicherheit von jemandem, der noch nie für eine Überweisung verantwortlich war. Ich denke an den Arup-Mitarbeiter — einen kompetenten Profi, der alles tat, was vernünftig erschien — und ich weiß: "gut genug" formulierte Prompts sind nicht gut genug, wenn es um Millionen geht.
Die vollständige technische Aufschlüsselung dieser Architektur, inklusive der neuro-symbolischen Entwurfsmuster und des RBAC-bewussten Retrievals, finden Sie in unserem ausführlichen Forschungspapier.
Was passiert, wenn der CIO persönlich haftbar wird?
Der Arup-Vorfall hat eine juristische Dimension, die die meisten Technologen nicht auf dem Schirm haben — und sie sollte jeden CIO und CTO, der das hier liest, in Schrecken versetzen.
Gerichte folgen bei Überweisungsbetrug zunehmend der "Impostor Rule": Verluste sollen von der Partei getragen werden, die am besten in der Lage gewesen wäre, den Betrug zu verhindern. Im Fall Arup wurde zwar der Mitarbeiter getäuscht, doch das Versäumnis des Unternehmens, eine Mehrkanal-Verifizierung für hochwertige Transaktionen einzuführen, könnte als der eigentliche Schwachpunkt gewertet werden.
CIOs und CTOs sind Unternehmensorgane mit treuhänderischen Pflichten. Da Deepfake-gestützter Betrug zu einem bekannten und dokumentierten Risiko wird — und nach Arup ist er definitiv bekannt — kann das Versäumnis, Deepfake-bewusste Kontrollen einzuführen, zu persönlicher Haftung führen, wenn ein Unternehmen von Aktionären wegen Fahrlässigkeit verklagt wird. Das ist nicht hypothetisch. Der California Consumer Privacy Act, der EU AI Act und Rahmenwerke wie das AI Risk Management Framework des NIST laufen alle auf dieselbe Erwartung hinaus: dass Organisationen über konkrete, dokumentierte Abwehrmaßnahmen gegen Angriffe mit synthetischen Medien verfügen.
Ich habe angefangen, CIOs in jedem Meeting eine einfache Frage zu stellen: "Wenn ein Angreifer morgen Ihren CEO in einem Videocall per Deepfake nachbildet und jemand 10 Millionen US-Dollar überweist — könnten Sie einem Gericht nachweisen, dass Sie angemessene Schutzvorkehrungen getroffen hatten?"
Die Stille, die darauf folgt, sagt mir alles.
Können wir Menschen nicht einfach schulen, Deepfakes zu erkennen?
Diese Frage höre ich ständig, und ich verstehe den Impuls. Es ist die billigste Lösung. Bringt einfach allen bei, worauf sie achten müssen — die flackernde Kieferpartie, das seltsame Ohr, das leicht unstimmige Licht.
Das Problem: Erkennung mit dem menschlichen Auge ist ein Wettrüsten, das Sie bereits verloren haben. Die Artefakte, die in Deepfakes von 2023 noch erkennbar waren, fehlen in Deepfakes von 2025 weitgehend. Die Technologie verbessert sich schneller, als sich die menschliche Wahrnehmung anpasst. Und in einem komprimierten Videocall mit mittelmäßigem Licht und schwankender Bandbreite — was auf die meisten Zoom-Calls in Unternehmen zutrifft — sind selbst Deepfakes der aktuellen Generation faktisch unsichtbar.
Schulung hilft, aber nicht so, wie die meisten denken. Das Ziel ist nicht, Mitarbeiter zu Deepfake-Detektoren zu machen. Das Ziel ist das, was ich eine Kultur der ermächtigten Skepsis nenne — Menschen zu belohnen, die verdächtige Anfragen hinterfragen, selbst wenn diese scheinbar vom CEO kommen. Der erste Instinkt des Arup-Mitarbeiters war, der Phishing-E-Mail zu misstrauen. Dieser Instinkt war richtig. Er wurde durch die soziale Bestätigung eines Videocalls mit vertrauten Gesichtern außer Kraft gesetzt.
Die Lösung ist prozedural, nicht perzeptiv. Hochwertige Transaktionen erfordern eine Out-of-Band-Verifizierung: ein direkter Anruf bei einer zuvor verifizierten Telefonnummer, ein vorab vereinbarter Authentifizierungscode über einen separaten Kanal oder eine Zweitfreigabe durch jemanden, der nicht am ursprünglichen Call teilgenommen hat. Videokonferenzen können nicht länger der Goldstandard für die Identitätsauthentifizierung bei Finanztransaktionen sein. Punkt.
Die Blaupause für 25 Millionen US-Dollar
Ich komme immer wieder auf etwas zurück, das mich daran stört, wie die Arup-Geschichte üblicherweise erzählt wird. Sie wird als Mahnung gerahmt — "seht nur, wie raffiniert die Bösen werden." Das stimmt, aber es greift zu kurz.
Die tiefere Lektion ist architektonischer Natur. Arups digitale Systeme waren in Ordnung. Ihre Firewalls hielten. Ihre Verschlüsselung funktionierte. Der Angriff gelang, weil die Vertrauensarchitektur der Organisation — das Bündel von Annahmen darüber, wie Identität überprüft und Entscheidungen autorisiert werden — sich nicht weiterentwickelt hatte für eine Welt, in der synthetische Medien billig, überzeugend und in Echtzeit verfügbar sind.
Die meisten Organisationen, mit denen ich spreche, stehen an derselben Stelle. Sie haben massiv in die Perimeterverteidigung investiert und dabei die menschliche Schicht — jene Schicht, die tatsächlich die Überweisungen autorisiert, die Verträge genehmigt, die Ingenieurspezifikationen freigibt — durch nichts weiter geschützt als durch die Annahme, dass Gesichter und Stimmen schwer zu fälschen sind.
Diese Annahme starb im Februar 2024 in einem Konferenzraum in Hongkong. Die Frage ist, ob Ihre Organisation ihre Vertrauensarchitektur aktualisiert, bevor oder nachdem sie ihr eigenes Lehrgeld von 25 Millionen US-Dollar zahlt.
Der Arup-Vorfall war kein Versagen der Cybersicherheit. Er war ein Versagen der Vertrauensarchitektur — und die meisten Organisationen haben ihre seit der Zeit, in der Gesichter noch nicht gefälscht werden konnten, nicht aktualisiert.
Ich relativiere das nicht. Die Organisationen, die jetzt handeln — souveräne KI-Infrastruktur ausrollen, verhaltensbasierte Biometrie einführen, kryptografische Provenienz für Video-Feeds einfordern und prozedurale Notbremsen in jede hochwertige Entscheidung einbauen — werden die nächste Ära der Unternehmenssicherheit definieren. Die, die warten, werden zu Fallstudien.
Die Kosten eines Deepfakes, der Ihr Finanzteam täuschen kann, sinken gegen null. Die Kosten, getäuscht zu werden, nicht.


