Im Frühjahr 2024 wurde das britische Ingenieurunternehmen Arup, bekannt als Planer der Sydney Opera House Renovierung, Opfer eines perfekt inszenierten Deepfake-Angriffs: Ein Mitarbeiter in Hongkong erhielt einen Videoanruf von einem manipulierten "CEO", woraufhin er umgerechnet rund 25 Millionen US-Dollar überweis. Die Täuschung war so überzeugend, dass sowohl Stimme als auch Video fast ununterscheidbar von real wirkten. Dieser Vorfall zeigt: Selbst große, global aufgestellte Unternehmen haben enorme Schwierigkeiten, sich vor neuartigen AI-basierten Bedrohungen zu schützen.
AI-Fortschritte ohne Analyse der Downside-Risiken
Laut der ISACA Studie "Taking the Pulse of AI – European Edition 2025" nutzen bereits über die Hälfte (56 Prozent) der befragten Unternehmen AI Lösungen zur Produktivitätssteigerung und für die Generierung schriftlicher Inhalte; 42 Prozent automatisieren Routineaufgaben, 39 Prozent werten große Datensätze aus. Dennoch verfügen nur 31 Prozent über eine formalisierte AI Policy, und lediglich 28 Prozent bieten umfassende Schulungen zu AI Themen für alle Mitarbeitenden an.
Zu viele Organisationen lassen den Einsatz generativer KI weitgehend ungeregelt: 63 Prozent erlauben ihn, kontrollieren ihn aber kaum – viele Nutzungen bleiben ungeprüft, teilweise sogar explizit untersagt. Durch diese Mischung aus Verfügbarkeit und fehlender Steuerung entsteht eine riskante Grauzone, in der Datenlecks, Compliance-Verstöße oder eben Deepfake-Betrügereien möglich werden.
Bekannte Risiken – aber geringe Dringlichkeit
Die ISACA-Studie verdeutlicht, dass die Risiken umfassend erkannt, aber nur selten priorisiert werden:
- 85 Prozent befürchten Desinformation und Deepfakes,
- 68 Prozent sehen Datenschutzausfälle,
- 62 Prozent warnen vor Social Engineering
- 58 Prozent: Verlust geistigen Eigentums.
Doch nur 43 Prozent bewerten AI Risikomanagement als aktuelle Priorität – tiefergehende Vorbereitungsmaßnahmen fehlen vielfach. Auffällig ist besonders, dass lediglich 26 Prozent glauben, AI gestützte Desinformation zuverlässig erkennen zu können – ein Alarmsignal angesichts zahlreicher bekannter Fälle.
Deepfake-Angriffe steigen – Technologien zur Erkennung fehlen
71 Prozent der befragten Experten erwarten innerhalb der nächsten zwölf Monate eine Zunahme von Deepfake-Angriffen. Dennoch setzen nur 18 Prozent auf Erkennungstools. Diese Zurückhaltung ist gefährlich – nicht zuletzt, weil Betrugsfälle wie Arup zeigen, dass solche Deepfake-Angriffe erwartbar und schon real sind.
Unzureichende Vorbereitung der Belegschaft
Für 71 Prozent der Digital Trust Professionals sind AI-Kenntnisse "sehr" oder "extrem" relevant. Trotzdem sehen sich 61 Prozent auf Einsteiger bis Fortgeschrittenen Level, nicht aber auf Experten-Level. Ein Drittel rechnet damit, innerhalb des nächsten halben Jahres zusätzliche Schulungen zu benötigen, um KI basiert arbeitsfähig zu bleiben. Gleichzeitig entstehen Kompetenzlücken und überlastete Teams, die Sicherheitslücken noch weiter öffnen .
Fazit: Governance, Technologie und Ausbildung dringend stärken
Der Arup-Fall mahnt eindrücklich: AI ist weit mehr als ein Innovationsmotor – sie ist ein potenzieller Sicherheitsvektor. Unternehmen müssen die Einführung von AI aktiv steuern und absichern:
- AI Governance etablieren: Eine klare Struktur für Einsatz und Verantwortung fehlt bei 69 Prozent der befragten Unternehmen.
- Investitionen in Deepfake-Erkennung: Nur 18 Prozent handeln proaktiv – viel zu wenig.
- Flächendeckende Schulungen: Mitarbeiter müssen AI Risiken erkennen und einschätzen können – nicht nur einmalig, sondern kontinuierlich.
- Ethik und Compliance priorisieren: Richtlinien müssen auch bei AI gelten – abgedeckt in Prozessen, Audits und Verträgen.
Nur so lässt sich das Potenzial von AI nutzen, ohne in die nächsten Krisen zu stolpern – denn getäuschte Vertrauensträger sind die gefährlichste Form der Unternehmenskrise.
