In diesem Gastkommentar analysiert Dr. Martin J. Krämer, CISO Advisor bei KnowBe4, zentrale Ergebnisse des aktuellen BSI-Cybersicherheitsmonitors und zeigt auf, warum die Diskrepanz zwischen wahrgenommener und tatsächlicher Kompetenz im Umgang mit Deepfakes ein wachsendes Risiko für Unternehmen darstellt.
Foto: KnowBe4
Martin J. Krämer, CISO Advisor bei KnowBe4
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat kürzlich einen Vorab-Bericht zum jährlichen Cybersicherheitsmonitor 2026 veröffentlicht. Das Fokusthema der am 11. Mai erscheinenden gemeinsamen Erhebung des BSI mit der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK) lautet „Online-Betrug und Künstliche Intelligenz“. Die bereits vorliegenden Ergebnisse zeigen vor allem im Bereich Deepfakes eine erhebliche Diskrepanz: Knapp die Hälfte der Befragten (47 %) gibt an, KI-generierte Inhalte als solche erkennen zu können – doch ein Drittel (32 %) hat noch nie eine einzige konkrete Maßnahme ergriffen, um ein Bild oder Video tatsächlich auf KI-Ursprung zu überprüfen.
Diese Kluft zwischen wahrgenommener Kompetenz und tatsächlichem Verhalten ist einer der kritischsten Befunde des Berichts. Die Erhebung legte den Befragten elf konkrete Maßnahmen zur Erkennung KI-generierter Inhalte vor – von der Prüfung auf visuelle Unstimmigkeiten über die Quellenrecherche bis hin zur Rückwärts-Bildersuche oder der Nutzung spezialisierter Erkennungstools. Keine einzige dieser Maßnahmen wurde von mehr als der Hälfte der Bevölkerung jemals angewandt. Die am häufigsten genannte Methode – zu überlegen, ob eine dargestellte Szene realistisch ist – wurde von 40 Prozent der Befragten angegeben. Strukturiertere Überprüfungsschritte wie die Quellenprüfung (19 %) oder die Rückwärts-Bildersuche (10 %) waren deutlich seltener.
Aus einer Cybersicherheitsperspektive ist dieses Muster höchst besorgniserregend. Personen, die glauben, manipulierte Inhalte erkennen zu können, diese aber nicht aktiv verifizieren, sind in der Praxis stärker gefährdet als jene, die ihre eigene Unsicherheit einräumen. Ein falsches Gefühl der Kompetenz reduziert die Wachsamkeit. Es macht Betroffene weniger geneigt, innezuhalten, zu hinterfragen oder kritisch zu prüfen, wenn sie mit KI-generiertem Material konfrontiert werden – genau das Verhalten, auf das Angreifer setzen.
Der Bericht illustriert dies mit einem konkreten Beispiel: betrügerische Anlagemodelle, bei denen Deepfake-Videos prominenter Personen eingesetzt werden, um gefälschte Kryptowährungsprodukte zu bewerben. Laut BSI nutzen Täter dabei sowohl Inflationsängste bei Spareinlagen als auch eine allgemeine Unkenntnis über Finanzprodukte aus. Die Erhebung zeigt, dass unter denjenigen, die in Kryptowährung investiert hatten und anschließend feststellten, Opfer eines Betrugs geworden zu sein, zwei Drittel über Werbung im Internet auf das jeweilige Angebot aufmerksam geworden waren.
Der Bericht zeigt darüber hinaus, dass das Bewusstsein für einige KI-bezogene Bedrohungen seit 2023 zwar gewachsen ist, das Wissen über technischere Angriffsvektoren aber weiterhin begrenzt bleibt. Deepfake-Videos und KI-generiertes Voice Cloning bei Schockanrufen sind der Mehrheit bekannt. Dass KI-Systeme selbst manipuliert werden können – etwa durch unsichtbare Anweisungen in Dokumenten, die ein KI-Programm zur Ausführung unbeabsichtigter Aktionen veranlassen – ist hingegen nur einer Minderheit bewusst. Das Bewusstsein dafür, wie KI für Betrug eingesetzt wird, ist demnach deutlich höher als die Einsicht darüber, dass KI-Systeme selbst angegriffen oder unterwandert werden können.
Die Ergebnisse bestätigen, was Fachleute für Security Awareness in der Praxis beobachten: Der Zugang zu Information allein verändert kein Verhalten. Das BSI veröffentlicht Checklisten zur Erkennung KI-generierter Bilder – und solche Ressourcen sind durchaus wertvoll. Doch es besteht ein qualitativer Unterschied zwischen dem reinen Wissen, dass eine Checkliste existiert, und der routinemäßigen Anwendung von Prüfschritten im digitalen Alltag. Um diese Lücke zu überbrücken, braucht es anstelle von einmaligen Sensibilisierungskampagnen viel mehr wiederholtes und strukturiertes Training, das Verhaltensgewohnheiten verlässlich aufbaut.
Organisationen sollten die Ergebnisse des BSI-Berichts als Anlass nehmen, ihren eigenen Umgang mit KI-bezogener Sicherheitsaufklärung zu überprüfen. Mitarbeitende sind KI-generierten Inhalten nicht nur im Privaten ausgesetzt, sondern zunehmend auch im beruflichen Kontext, beispielsweise über geschäftliche E-Mails, Social Media, Kollaborationsplattformen und Werbung. Eine Human-Risk-Management-Strategie, die realistische Simulationen KI-gestützter Social-Engineering-Angriffe umfasst und gezieltes, rollenspezifisches Training bietet, kann dazu beitragen, dass das Vertrauen in die eigene Erkennungsfähigkeit auf tatsächlicher Kompetenz beruht – nicht auf Annahmen.
