Wenn der CFO im Videocall nie real war

Hongkong, Januar 2024. Ein Finanzmitarbeiter überweist 25,6 Mio. USD an fünf Konten in fünfzehn Transaktionen. Alle Teilnehmer der Videokonferenz waren KI-generiert. Was der Fall Arup und drei aktuelle Zahlen aus Berichten von INTERPOL, EUROPOL und UNODC über die visuelle Identitätsprüfung 2026 sagen.

01 | Die Auffassung, die nicht mehr trägt

„Da sind wir noch nicht so weit." Diese Auffassung vertreten 2026 viele Entscheidungsträger in Banken, Versicherungen und Krypto-Börsen, wenn es um Deepfakes in der Live-Videoidentifikation geht. Sie wünschen sich, sie hätten recht.

Sie haben es nicht.

Der Stand der visuellen Identitätsprüfung steht nicht am Anfang eines theoretischen Bedrohungsszenarios. Er steht in der Mitte einer dokumentierten Realität. Ein Hochwert-Vorfall, drei aktuelle Statistiken, eine Schlussfolgerung.

02 | Der Fall Arup

Im Januar 2024 erhielt ein Mitarbeiter im Hongkonger Büro des britischen Ingenieurbüros Arup eine E-Mail. Absender: angeblich der Group-CFO in London. Betreff: eine vertrauliche Transaktion. Der Mitarbeiter war misstrauisch. Er vermutete eine Phishing-Mail.^[1]

Die Betrüger reagierten mit einer Eskalation, die das Misstrauen brechen sollte. Sie luden ihn zu einer Video-Konferenz ein. Dort sah und hörte er den CFO und mehrere weitere Kollegen. Bekannte Gesichter. Vertraute Stimmen. Alle Teilnehmer der Konferenz waren KI-generierte Deepfakes.^[1]

Nach dem Call führte der Mitarbeiter fünfzehn Überweisungen auf fünf verschiedene Konten in Hongkong durch. 200 Mio. HKD, rund 25,6 Mio. USD. Der Betrug fiel erst auf, als er im Nachgang die Konzernzentrale kontaktierte.^[2]

Es war kein klassischer Cyberangriff. Keine Systeme wurden kompromittiert. Keine Daten waren betroffen. Menschen wurden überzeugt, dass sie legitime Transaktionen ausführten.

Diese Einordnung stammt von Rob Greig, Global CIO von Arup, gegenüber dem World Economic Forum. Greig nennt es technologie-gestütztes Social Engineering. Und er ergänzt: nach seinem Verständnis passiere das deutlich häufiger, als die meisten ahnen.^[3]

Der Vorfall ereignete sich Januar 2024. Im Februar 2024 erstattete die Hongkonger Polizei öffentlich Bericht. Erst im Mai 2024 identifizierte sich Arup als Opfer. Bis heute keine Festnahmen, keine identifizierten Täter, keine Rückführung des Geldes.^[4]

03 | Drei Zahlen, drei Quellen

Deepfake fraud — die Lage in Zahlen. Drei Statistiken: 4,5-fach höhere Profitabilität von KI-Betrug laut INTERPOL, 49 Millionen gefälschte Konten aus einer EUROPOL-Operation, 1.000 Prozent Anstieg laut UNODC. — Deepfake fraud — Die Lage in Zahlen. Quellen: INTERPOL, EUROPOL, UNODC.

4,5x

KI-gestützte Finanzbetrugssysteme sind 4,5-mal profitabler als herkömmliche Methoden.

INTERPOL · Global Financial Fraud Threat Assessment 2026

Im März 2026 veröffentlichte INTERPOL die zweite Auflage seines Global Financial Fraud Threat Assessment. Die Kernaussage: KI-Systeme machen Betrugsoperationen drastisch effizienter und persuasiver, weil sie Sprache, Stil, Profil und Kontext der Zielperson skalierbar nachbilden. INTERPOL beziffert die globalen Schäden 2025 auf 442 Mrd. USD und spricht von einer Industrialisierung des Betrugs.^[5]

49 Mio.

Gefälschte Online-Konten, die ein einziges kriminelles Netzwerk erzeugt hat, um Verifizierungsverfahren massenhaft auszuhebeln.

EUROPOL · Operation SIMCARTEL, Oktober 2025

Am 10. Oktober 2025 zerschlug EUROPOL gemeinsam mit den Polizeibehörden Estlands, Finnlands, Lettlands und Österreichs ein Netzwerk unter dem Codenamen SIMCARTEL. Beschlagnahmt: 1.200 SIM-Box-Geräte mit 40.000 aktiven SIM-Karten, fünf Server, sieben Festnahmen. Das Geschäftsmodell: Telefonnummern aus mehr als 80 Ländern wurden zur Umgehung von SMS-basierten 2FA-Verfahren angeboten. Damit ließen sich Konten bei Banken, Krypto-Börsen und Online-Diensten massenhaft erstellen — geschätzt 49 Millionen.^[6]

49 Millionen ist keine theoretische Zahl. Sie ist das dokumentierte Ergebnis einer einzigen Operation eines einzigen Anbieters.

1.000%

Weltweiter Anstieg bei der Nutzung von Deepfakes zur Umgehung von KYC-Verifizierungen — um den Faktor 10.

UNODC · Lageberichte zu Cyber-Enabled Fraud, 2024–2025

Das UN-Büro für Drogen- und Verbrechensbekämpfung dokumentiert in seinen Lageberichten zur Konvergenz transnational organisierter Kriminalität in Südostasien einen drastischen Anstieg der Nutzung KI-generierter Inhalte zur Umgehung von Know-Your-Customer-Prozessen. Die Größenordnung wird in unterschiedlichen Schnitten ausgewiesen, der Trend ist eindeutig: Die Industrialisierung der Identitätsfälschung läuft parallel zur Industrialisierung des Betrugs selbst.^[7]

04 | Was Liveness Detection nicht leistet

Liveness Detection prüft, ob im Bild eine echte Person agiert. Bewegung. Lichtreflexion auf der Haut. Mikro-Bewegungen der Augen. Das war eine valide Antwort auf Foto-Spoofing. Es ist keine valide Antwort auf generative Echtzeit-Video.

Drei Lücken sind dokumentiert:

Face-Swap-Injection: Das KYC-System bekommt nicht das Live-Bild der Webcam, sondern einen vorbereiteten Datenstrom mit eingespeistem Deepfake. Single-Frame- oder Short-Clip-Liveness-Checks bestätigen lediglich, dass etwas sich bewegt — nicht, dass das Videosignal authentisch ist.
Voice-Swap: UNODC dokumentiert für Südostasien einen integrierten Audio-Deepfake im kommerziellen Angebot der dortigen Anbieter. Stimme der Zielperson, beliebiger Text, synchron zur Lippenbewegung der Video-Komponente.^[8]
Synthetische Identitäten: Ein Methodenraum, in dem ein KI-Generator einen kompletten Datensatz an Wahrscheinlichkeit erzeugt. Foto, Stimme, Verhalten, Dokumente. Konsistent durch sämtliche Verifikationsschritte. Weil keine reale Person dahintersteht, deren Inkonsistenz auffallen könnte.

Im selben Methodenraum funktioniert auch der Vorgängerbeitrag zu diesem Briefing: ein synthetischer Personalausweis, generiert in fünf Sekunden mit einem einfachen Prompt. Wenn das Selfie-Ident-Verfahren auf den Foto-zu-Foto-Abgleich setzt, ist es bereits umgangen, bevor der erste Klick erfolgt. Was für die Single-Frame-Identifikation gilt, gilt analog für Video-Ident.

05 | Fazit

Der Fall Arup ist 28 Monate alt. Die INTERPOL-Zahl ist von März 2026. Die EUROPOL-Operation ist von Oktober 2025. Die UNODC-Berichte laufen fort. Wer 2026 noch sagt, bei Video sei man noch nicht so weit, beschreibt eine Welt, die es nicht mehr gibt.

Offizielle Zahlen zeichnen das Bild retrograd. Die operative Realität liegt jenseits dessen, was offiziell bisher gemessen wurde.

Konsequenz für die Praxis: Sekundärverifikation über einen unabhängigen, vorab definierten Kanal. Mehrere unabhängige Augen für hohe Beträge. Verzicht auf Video-Conferencing als alleinige Autorisierungsstrecke für Geldflüsse. Diese Maßnahmen sind unbequem, weil sie Geschwindigkeit kosten. Sie sind notwendig, weil das Gegenteil 25,6 Mio. USD an einem einzigen Tag kostet.

Quellenverzeichnis

[1] CNN: Finance worker pays out $25 million after video call with deepfake 'chief financial officer'. Bericht von der Pressekonferenz der Hongkonger Polizei, 4. Februar 2024. cnn.com

[2] CNN Business: Arup revealed as victim of $25 million deepfake scam involving Hong Kong employee, 16. Mai 2024. cnn.com

[3] World Economic Forum: Cybercrime — Lessons learned from a $25m deepfake attack. Interview mit Rob Greig, Global CIO Arup, Februar 2025. weforum.org

[4] Fortune: A deepfake 'CFO' tricked British design firm Arup in $25 million fraud, 17. Mai 2024. fortune.com

[5] INTERPOL: Global Financial Fraud Threat Assessment, zweite Auflage, März 2026. interpol.int

[6] EUROPOL: Operation SIMCARTEL — Cybercrime-as-a-Service network dismantled. Pressemitteilung, Oktober 2025. europol.europa.eu

[7] UNODC: Transnational Organized Crime and the Convergence of Cyber-Enabled Fraud, Underground Banking and Technological Innovation in Southeast Asia. UNODC Regional Office for Southeast Asia and the Pacific, 2024. unodc.org

[8] UNODC: Emerging threats in Southeast Asia — Exploitation of AI and automation in the regional cybercrime landscape, September 2025. unodc.org