Das Telefon klingelt – ein Anruf, scheinbar vom CEO. Seine Stimme inklusive Akzent klingt vertraut. Er fordert einen Mitarbeiter dazu auf, sofort eine hohe Geldsumme zu überweisen. Die Süddeutsche Zeitung berichtete darüber, dass auf diese Weise ein Ferrari-Manager im Sommer 2024 Ziel eines Social-Engineering-Angriffs mit Deepfakes wurde. Er entlarvte den Anrufer durch eine Fangfrage und verhinderte so einen finanziellen Schaden. Dieses Beispiel zeigt: Deepfakes sind für Unternehmen längst zur Gefahr geworden – auch aktuelle Zahlen bestätigen diesen Trend. Die Studie „Identity Fraud Report 2025-2026“ des Technologieunternehmens Sumsub hat ergeben, dass KI-gestützte Täuschungsversuche in Deutschland im Jahr 2025 um 53 Prozent zugenommen haben. Deepfakes – täuschend echt wirkende manipulierte Audio-, Bild- und Videoinhalte – eröffnen Tätern neue Möglichkeiten, Unternehmen gezielt anzugreifen. Denn die Technologie ist leicht zugänglich, erfordert kaum Fachkenntnisse und erlaubt es, schädliche Inhalte innerhalb kürzester Zeit zu erstellen. Hinzu kommt, dass sich dieser Content anonym über digitale Kanäle rasant verbreitet und Plattformbetreiber zum Teil nur zögerlich darauf reagieren. Daraus ergeben sich für Unternehmen mehrere Risiken. An erster Stelle stehen finanzielle Schäden durch eine neue Form des CEO-Betrugs: Wenn Führungskräfte wie im Fall Ferrari per Video oder Audio imitiert werden, verlieren klassische Kontroll- und Freigabemechanismen an Wirksamkeit. Außerdem drohen Reputationsrisiken, ausgehend von gefälschten Videos, in denen Führungskräfte sich vermeintlich zu sensiblen Themen äußern oder kompromittiert dargestellt werden. Solches Filmmaterial wird gezielt eingesetzt, um Unternehmen öffentlich zu diskreditieren – mit potenziell erheblichen Auswirkungen auf Marktvertrauen, Aktienkurse und Unternehmenswert. Auch intern können Deepfakes arbeitsrechtliche Konflikte auslösen, etwa wenn Angreifer bei virtuellen Jobinterviews für Remote-Stellen Identitätsbetrug begehen. Die rechtliche Einordnung von Deepfakes im Unternehmenskontext ist bislang nur bedingt geklärt. Bestehende Schutzmechanismen – etwa zivilrechtliche Ansprüche aus dem allgemeinen Persönlichkeitsrecht oder strafrechtliche Tatbestände wie Betrug – greifen in vielen Fällen zwar, setzen jedoch erst ein, wenn der Schaden bereits entstanden ist. Hinzu kommt, dass der Beweiswert von Audio- und Videomaterial, bislang zentrale Grundlage interner Untersuchungen und rechtlicher Bewertung, durch Deepfakes zunehmend untergraben wird. Rechtsabteilungen stehen vor der Herausforderung, deren Manipulationscharakter belastbar nachzuweisen. Auf regulatorischer Ebene bringt der AI Act Transparenzpflichten für KI-generierte Inhalte. Einen wirksamen Schutz gegen Deepfake-Risiken bietet er jedoch nicht. Vor diesem Hintergrund kommt es umso mehr auf Prävention an. Unternehmen sollten Vertragswerke überprüfen und anpassen – etwa durch strengere Identitätsprüfungen oder Mehr-Faktor-Authentifizierungen bei sensiblen Geschäftsprozessen. Ebenso wichtig sind klare interne Richtlinien und Verhaltensregeln. In dem Kontext ist die Zusammenarbeit zwischen Rechtsabteilung, IT, HR und Kommunikationsabteilug erforderlich. Auch Schulungen spielen eine zentrale Rolle. Mitarbeitende müssen für die Gefahren von Deepfakes sensibilisiert werden, um Manipulationsversuche frühzeitig zu erkennen. Darüber hinaus sollten Unternehmen ihre Compliance- und Risikomanagementsysteme erweitern. Für den Ernstfall braucht es definierte Incident-Response-Prozesse: Wer ist zuständig? Wie wird ein Vorfall geprüft? Welche Kommunikationsmaßnahmen werden ergriffen? Nur wenn solche Strukturen im Vorfeld etabliert sind, lassen sich Schäden im Ernstfall begrenzen.

Fest steht: Deepfakes greifen nicht primär IT-Systeme an, sondern das Vertrauen in Organisationen. Deshalb reichen technische Schutzmaßnahmen nicht aus. Rechtsabteilungen müssen ihre Schutz- und Governance-Strukturen kontinuierlich anpassen, um mit der der technologischen Entwicklung mitzuhalten. Prävention wird damit zur zentralen Aufgabe von Legal und Compliance, um sich wirksam zu schützen und Angreifern einen Schritt vorauszubleiben.