Künstliche Intelligenz (KI) macht Betrüger professioneller und ihre Angriffe für Unternehmen teurer denn je. Denn Wirtschaftskriminelle werden dank KI-Tools immer professioneller. Social Engineering entwickelt sich so zur größten finanziellen Bedrohung. Zudem haben sich Schäden durch Fake-President-Betrug vervielfacht.
Künstliche Intelligenz verändert nicht nur Geschäftsmodelle, sondern auch die Methoden von Wirtschaftskriminellen. Betrugsmaschen werden professioneller, gezielter und finanziell folgenreicher. Besonders stark zeigt sich diese Entwicklung bei sogenannten Social-Engineering-Angriffen, bei denen Täter nicht Systeme hacken, sondern Menschen manipulieren. Mitarbeitende werden mit psychologischen Tricks, falschen Identitäten oder täuschend echten E-Mails und Anrufen dazu gebracht, sensible Daten preiszugeben oder hohe Geldbeträge zu überweisen. Die Zahl dieser Fälle ist 2025 insgesamt um 60 Prozent gestiegen.
Die aktuelle Schadensstatistik von Allianz Trade zeichnet ein klares Bild: Beim Fake-President-Betrug haben sich die Schäden für Unternehmen bereits 2024 verdreifacht (+200 Prozent). 2025 folgte ein weiterer Anstieg um 81 Prozent – obwohl die Fallzahlen rückläufig waren. Ähnlich alarmierend ist die Entwicklung beim Bestellerbetrug. Dieser erlebte 2025 ein regelrechtes Comeback: Die Schäden stiegen um 139 Prozent, die Zahl der Fälle legte um 61 Prozent zu. Damit verdrängte der Bestellerbetrug den klassischen Zahlungsbetrug als häufigste Social-Engineering-Masche.
Kriminelle nutzen KI und Unternehmen geraten unter Druck
„Es ist ein Katz-und-Maus-Spiel: Die Kriminellen perfektionieren ihre Betrugsmaschen mittel KI und die Unternehmen versuchen, mit ihren Schutzmechanismen Schritt zu halten“, sagt Marie-Christine Kragh, Globale Leiterin Vertrauensschadenversicherung bei Allianz Trade. Doch das Tempo hat sich verschärft. „E-Mails sind inzwischen makellos und Deepfakes täuschend echt. Das Ausnutzen von künstlich erzeugten Stimmen und Bildern für die Vertrauensbildung ist ein mächtiges Werkzeug, das in vielen Fällen auch bei geschulten Mitarbeitenden alle Zweifel verschwinden lässt.“
Die Statistik zeigt, wie teuer diese Entwicklung ist. Durchschnittliche Schäden bewegen sich inzwischen im einstelligen Millionenbereich, Großschäden teils deutlich darüber. „Wenn es knallt, dann richtig“, bringt Kragh die Lage auf den Punkt.
Zwei Schritte zum Millionenschaden
Der Weg zum Schaden ist oft erschreckend kurz. „Kriminelle brauchen in vielen Fällen keine größeren IT- oder Coding-Kenntnisse“, sagt Dirk Koch, Certified Ethical Hacker und Partner bei der Kanzlei ByteLaw. „Entsprechende Tools gibt es im Darknet quasi von der Stange und zu inzwischen vergleichsweise kleinen Preisen.“ Häufig reiche ein zweistufiges Vorgehen: „Über extrem gut gemachte Phishing- und Vishing-Angriffe mit Hilfe von KI-Tools verschaffen sie sich zunächst Zugang zu den Systemen. Das öffnet für die dann folgenden Social-Engineering-Angriffe Tür und Tor.“
Die größte Gefahr kommt von innen
Besonders brisant: Die größten Schäden entstehen häufig nicht durch externe Angreifer, sondern durch eigene Mitarbeitende. „Es ist eine unbequeme und oft unterschätzte Wahrheit für Unternehmen: Die eigenen Mitarbeitenden richten die meisten (60 Prozent) und 2025 auch wieder die größten Schäden (65 Prozent) an“, sagt Kragh. Während externe Täter 2025 für 35 Prozent der Schäden verantwortlich waren, lag der Anteil der Innentäter deutlich höher. Die Spannweite reicht dabei von systematischem Diebstahl bis zu kreativen Betrugskonstruktionen im Arbeitsalltag.
Technik allein reicht nicht aus
Um sich zu schützen, müssen Unternehmen technisch und organisatorisch nachschärfen. „Technisch ist eine Phishing-resistente Multi-Faktor-Authentifizierung ein Must-Have, ebenso wie verifizierte E-Mail-Signatur-Verfahren“, betont Koch. Ergänzend helfen KI-basierte Filter, Zero-Trust-Architekturen und klare Prozesse bei Zahlungsfreigaben. „Und im Schadensfall sind die Reaktionszeiten entscheidend, um überhaupt eine Chance zu haben, einen Teil des Geldes wiederzubeschaffen.“
Doch selbst das ist nicht genug. „Der Mensch bleibt hier die Schwachstelle“, sagt Kragh. Social Engineering wirke, weil gezielt mit Emotionen gespielt werde – mit Zeitdruck, Autorität oder vermeintlichen Krisen. „Bei einem Trio aus Zeitdruck, dem Triggern von Emotionen und einer Aufforderung, vom Standard abzuweichen, sollten die Alarmglocken schrillen.“ Eine offene Fehlerkultur und einfache Rückfragen könnten viele Angriffe stoppen: „Eine einzige Rückfrage beim Chef, ob der Auftrag wirklich echt ist, lässt das ganze Betrugs-Konstrukt einstürzen wie ein Kartenhaus.“