Deepfakes als Fraud-Risiko: Wenn Anweisungen, Belege und Bestätigungen nicht mehr verlässlich sind

Digitalisierung & Innovation
30. Juni 2026

Deepfakes sind längst kein Randphänomen mehr. Während die öffentliche Diskussion die Gefahren für das Privatleben in den Fokus stellt – etwa wenn Personen in manipulierten Bildern oder Videos in kompromittierenden Situationen erscheinen –, gewinnt das Thema auch für Unternehmen und deren Abschlussprüfer stark an Bedeutung. Denn Deepfakes stellen ein reales Risiko für die Integrität von Geschäftsprozessen, für Vermögenswerte sowie für die Verlässlichkeit prüferischer Nachweise dar. Um diesen Risiken zu begegnen, brauchen Unternehmen angepasste Kontrollansätze – etwa durch mehrstufige Verifizierungen, unabhängige Bestätigungen und eine konsequente Sensibilisierung von Mitarbeiter*innen.

Deepfakes sind kein Kommunikationsthema, sondern ein Nachweisproblem

Unter Deepfakes versteht man KI-generierte oder KI-manipulierte Medien, die authentisch wirken, tatsächlich aber gefälscht sind. Dazu zählen nicht nur manipulierte Bilder, Videos oder Audioaufnahmen, sondern zunehmend auch täuschend echt wirkende Dokumente, E-Mails und Kommunikationsspuren. Gerade durch die rasanten Fortschritte von KI-Systemen hat sich die Qualität dieser Fälschungen so weit entwickelt, dass sie kaum noch von echten Inhalten zu unterscheiden sind.

Die besondere Gefahr von Deepfakes liegt aber nicht allein in ihrer Qualität, sondern auch in ihrer Skalierbarkeit. KI ermöglicht es, Fälschungen in kurzer Zeit und in großer Anzahl zu erzeugen. Dabei sind die Einstiegshürden deutlich gesunken: Entsprechende Anwendungen sind weit verbreitet und oft ohne tiefgehende technische Kenntnisse nutzbar. So steigt allein durch die Masse die Wahrscheinlichkeit, dass einzelne Deepfakes erfolgreich sind – selbst bei grundsätzlich funktionierenden Kontrollsystemen.

Wo Deepfakes das Rechnungswesen und IKS konkret angreifen

Für Wirtschaftskriminelle eröffnen Deepfakes vielfältige Einsatzmöglichkeiten. Gemeinsam ist den Ansätzen, dass Anweisungen, Autorisierungen, Dokumente und Bestätigungen gefälscht werden – also genau die Elemente, auf die Finanzprozesse und Kontrollen angewiesen sind. Besonders relevant sind dabei unter anderem folgende Szenarien:

  1. CEO-Fraud und Social Engineering
    Führungskräfte werden in Telefonaten, Videokonferenzen oder Sprachnachrichten täuschend echt imitiert, um Mitarbeiter*innen zu Überweisungen, zur Preisgabe sensibler Informationen oder zur Umgehung interner Kontrollen zu bewegen. Dabei wird insbesondere sogenanntes Social Engineering angewandt, also die gezielte Manipulation von Personen durch psychologischen Druck, etwa durch Zeitdruck oder die Autorität des CEOs, um so die freigebende menschliche Instanz zu manipulieren. Aufgrund des Manipulationsverfahrens und der täuschend echten Anweisung, ist das Risiko hoch.
  2. Angriffe auf Verifizierungs- und Autorisierungsverfahren
    Deepfakes können eingesetzt werden, um biometrische Authentifizierungsmechanismen (z. B. Stimm- oder Gesichtserkennung) zu umgehen und unbefugten Zugriff auf Systeme oder Daten zu erlangen.
  3. Manipulierte Rechnungen und Leistungsnachweise
    Durch realistisch wirkende Dokumentenfälschungen können nicht erbrachte Leistungen abgerechnet oder Zahlungsströme gezielt umgeleitet werden.
  4. Gezielte Desinformation („Fake News“) im Unternehmenskontext
    Manipulierte oder bewusst falsche Informationen können Entscheidungsprozesse von Mitarbeiter*innen beeinflussen, etwa bei der Aufnahme von Geschäftsbeziehungen oder bei Risiko- und Reputationsbeurteilungen.

Angriffe dieser Art führen regelmäßig zu erheblichen finanziellen Schäden und können die Reputation eines Unternehmens nachhaltig beeinträchtigen.

Folgen und Schutz für bestehende Kontrollsysteme

Vor dem Hintergrund der dargestellten Risiken stellt sich die Frage, wie bestehende Kontrollsysteme an die neue Bedrohungslage angepasst werden können. Deepfakes erfordern dabei weniger punktuelle technische Gegenmaßnahmen als vielmehr eine grundlegende Weiterentwicklung von Kontroll- und Nachweislogiken.

Zentrale Ansatzpunkte ergeben sich vor allem aus bewährten Grundprinzipien: der konsequenten Funktionstrennung, der Nutzung unabhängiger Informationsquellen sowie der Etablierung mehrstufiger Verifizierungsprozesse. Kritische Freigaben – insbesondere im Zahlungsverkehr oder bei sensiblen Stammdatenänderungen – sollten nicht mehr ausschließlich auf einer Kommunikationsform (z. B. E-Mail oder Videoanruf) beruhen, sondern stets durch zusätzliche, voneinander unabhängige Bestätigungsschritte abgesichert werden („Multi Channel Verification“). Ergänzend gewinnt ein stärker „Zero Trust“-geprägter Ansatz an Bedeutung, bei dem auch scheinbar vertraute Kommunikationspartner*innen systematisch hinterfragt werden. Um für einen solchen Fall schnell handlungsfähig zu sein, sollten Unternehmen die konkreten Wege klar definieren und ihre Mitarbeiter*innen entsprechend schulen.

Denn deren Sensibilisierung für Deepfake-Risiken stellt eine zentrale Rolle als Präventionsmaßnahme gegen Deepfakes dar. Dabei sollten die Mitarbeiter*innen über die unterschiedliche Risiken und Deepfake-Szenarien informiert und hierfür sensibilisiert werden. Die Erfahrung zeigt häufig, dass ein rein kontrollbasierter Ansatz nicht ausreichend ist, insbesondere wenn die Kontrollen nicht angemessen durchgeführt oder aufgrund von Unkenntnis bestimmte Verifizierungsverfahren nicht eingeleitet werden.

Aus Sicht von Unternehmensleitung und Compliance-Funktion ergeben sich daraus u. a. folgende Leitfragen:

  • Werden kritische Anweisungen und Freigaben durch unabhängige, zusätzliche Verifikationsschritte abgesichert?
  • Sind IT-Systeme implementiert, die eine Erkennung von Deepfakes durch Algorithmen oder KI ermöglichen?
  • Bestehen Prozesse, die eine alleinige Authentifizierung über Audio-, Video- oder E-Mail-Kommunikation verhindern?
  • Ist das IKS darauf ausgelegt, gezielte Manipulationen von Kommunikations- und Dokumentationsnachweisen zu erkennen oder zumindest zu hinterfragen?
  • Werden Mitarbeiter*innen regelmäßig für Social Engineering- und Deepfake-Szenarien sensibilisiert?
  • Gibt es etablierte Verfahren zum Umgang mit Verdachtsfällen oder ungewöhnlichen Anweisungen?

Die Weiterentwicklung bestehender Kontrollsysteme im Umgang mit Deepfakes bedeutet damit nicht nur die Einführung neuer Maßnahmen, sondern vor allem eine Anpassung des zugrunde liegenden Kontrollverständnisses: weg vom Vertrauen in einzelne Nachweise, hin zu einer stärker vernetzten, unabhängigen und kritisch hinterfragenden Absicherung wesentlicher Geschäftsprozesse.

Bedeutung für die Abschlussprüfung und Prüfungssicherheit

Auch für die Abschlussprüfung ist das Thema von besonderer Bedeutung und stellt diese vor einige Herausforderungen. So muss im Rahmen der Abschlussprüfung das rechnungslegungsbezogene IKS aufgenommen und die Angemessenheit und Wirksamkeit geprüft werden. Aber auch auf das Prüfungsrisiko haben Deepfakes wesentliche Auswirkungen.

Die zunehmende Qualität von Fälschungen – etwa bei Rechnungen oder Leistungsnachweisen – erschwert deren Identifikation erheblich. Das betrifft insbesondere das Risiko einer Bilanzmanipulation im Rahmen eines sogenannten „Management Overrides“, also der gezielten Umgehung bestehender Kontrollen, was erhebliche Auswirkungen auf die Prüfung hat. Unterlagen können leicht und auf einem qualitativ hohen Niveau gefälscht werden und sind oft nur schwer als eigenerstellte Dokumente erkennbar.

Prüfungsansätze, die auf formale Plausibilität oder äußere Merkmale abstellen, reichen allein nicht mehr aus. Vielmehr ist es essenziell, dass der Abschlussprüfer auf Risiken im Unternehmen oder Anzeichen auf Management Override entsprechend reagiert und in seinem Prüfungsansatz berücksichtig. Möglichkeiten sind unter anderem ein stärkerer Fokus auf externe Prüfungsnachweise bspw. von Saldenbestätigungen oder unabhängigen Drittbestätigungen. Aber auch der zugrundeliegende Prozess des Versands und Empfangs werden wichtiger. So müssen diese durch den Abschlussprüfer gesteuert und z. B. auch die Adressprüfung entsprechend von diesem durchführt werden. In der Vergangenheit haben Sonderuntersuchungen bereits gezeigt, dass Unregelmäßigkeiten durch konsequente externe Bestätigungsmaßnahmen hätten früher erkannt werden können.

Zugleich ist die kritische Grundhaltung des Abschlussprüfers und der Prüfungsgehilfen (§  43 Abs. 4 WPO i.  V.  m. § 37 BS WP/vBP) konsequent zu wahren. Zwar darf grundsätzlich von der Echtheit erlangter Prüfungsnachweise ausgegangen werden, solange keine gegenteiligen Hinweise vorliegen. Angesichts der technologischen Entwicklungen ist jedoch eine noch stärkere Sensibilisierung für potenzielle Manipulationen erforderlich.

Im Rahmen der Risikobeurteilung nach ISA DE 315 (Revised) sind Deepfakes als potenzieller Fraud Risk-Faktor zu berücksichtigen. Relevante Fragestellungen für den Abschlussprüfer sind dabei unter anderem:

  • Besteht ein erhöhtes Risiko für Management Override?
  • Wie ist der „Tone from the top“ ausgeprägt?
  • Gibt es externe oder interne Hinweise auf gezielte Desinformationskampagnen?
  • Sind öffentlich zugängliche Informationen über das Unternehmen oder das Management verlässlich?

Fazit: Mit robusten Strukturen gegen Deepfakes

Deepfakes markieren einen technologischen Wendepunkt mit weitreichenden Konsequenzen für Unternehmen und die Wirtschaftsprüfung. Während heutige Fälschungen teilweise noch an Unstimmigkeiten in Mimik, Betonung oder Darstellung erkennbar sind, ist davon auszugehen, dass diese Merkmale zunehmend verschwinden.

Unternehmen sollten sich daher frühzeitig um angemessene und wirksame Anpassungen bei Prozessen und Kontrollen kümmern und ihre Mitarbeiter*innen frühzeitig hinsichtlich der Gefahren schulen, um das Risiko wirksam zu mindern. Deepfakes sind damit kein isoliertes IT-Thema, sondern ein integraler Bestandteil der Fraud-Risikolandschaft, das für Unternehmen von erheblicher Relevanz ist.  

Aber auch für die Abschlussprüfung stellen Deepfakes ein hohes Risiko dar. Die Verantwortung des Wirtschaftsprüfers liegt weiterhin nicht in der technischen Detektion von Deepfakes, sondern in der konsequenten Beibehaltung der kritischen Grundhaltung, einer risikoorientierten Prüfungsplanung und der Einholung angemessener und geeigneter Prüfungsnachweise.

Deepfakes angemessen zu begegnen bedeutet, bestehende Kontrollannahmen kritisch zu prüfen und Prüfungsansätze weiterzuentwickeln – im Interesse der Prüfungsqualität und der Verlässlichkeit von Abschlüssen. Somit stehen sowohl Unternehmen, als auch die Abschlussprüfung vor der Anpassung der Prozesse, um auf die aus Deepfake resultierenden Risiken angemessen zu reagieren.

Für weitere Themen rund um die Wirtschaftsprüfung und Forvis Mazars folgen Sie uns auch auf LinkedIn.

Das könnte Sie auch interessieren
Digitalisierung und KI: Herausforderungen für die Wirtschaftsprüfer-Ausbildung

Digitalisierung und KI: Herausforderungen für die Wirtschaftsprüfer-Ausbildung

Die Wirtschaftsprüfung erlebt die tiefgreifendste Transformation seit Jahrzehnten, getrieben von Digitalisierung und Künstlicher Intelligenz (KI). Die Einsatzmöglichkeiten von KI-Tools reichen über den gesamten Prüfungsprozess – von der automatisierten Analyse großer Datenmengen bis zur KI-gestützten Berichterstattung. Dieser Wandel betrifft alle Facetten des Berufs: Künstliche Intelligenz verändert den Prüfungs- und Beratungsalltag – und damit auch die Anforderungen […]

Weiterlesen
Prüfungssicherheit im Fokus: Zwischen ERP-Daten und KI-Modellen

Prüfungssicherheit im Fokus: Zwischen ERP-Daten und KI-Modellen

KI-gestützte Reports, Forecasts und Simulationen prägen zunehmend das Rechnungswesen von Unternehmen. Damit verschieben sich auch die Maßstäbe der Abschlussprüfung: Entscheidend ist nicht mehr nur die formale Richtigkeit von Zahlen, sondern die nachvollziehbare Entstehung automatisiert erzeugter Ergebnisse. Im Interview ordnet KI-Experte Timo Husemann, Partner bei Forvis Mazars, ein, wie sich Prüfungsansätze verändern, wo neue Risiken liegen […]

Weiterlesen
Hybrides Computing: Der Königsweg zur digitalen Transformation?

Hybrides Computing: Der Königsweg zur digitalen Transformation?

Hybrides Computing verbindet lokale IT-Systeme mit externen Cloud-Diensten. Der Ansatz gilt als zukunftsweisend für Unternehmen, die bei der Datenauswertung Flexibilität, Effizienz und Sicherheit miteinander vereinen möchten. Auch in der Wirtschaftsprüfung eröffnet er Chancen – doch es gibt auch Risiken. Die Menge an Informationen steigt von Tag zu Tag. Mit der Datenflut wachsen auch die Anforderungen […]

Weiterlesen
KI-Audit: Chancen und Risiken des neuen ISO-Standards

KI-Audit: Chancen und Risiken des neuen ISO-Standards

Die Künstliche Intelligenz (KI) steuert zunehmend auch rechnungslegungsrelevante Prozesse in den Unternehmen – was die Prüfung der KI-Systeme beim Audit zur Pflicht macht. Die Unternehmen müssen dazu frühzeitig eine robuste KI-Governance etablieren. Der Standard ISO/IEC 42001 gilt hierbei als wegweisend – unproblematisch ist er nicht. Die meisten Unternehmen haben den Mehrwert der KI erkannt und […]

Weiterlesen
Blockchain in der Wirtschaftsprüfung – Chance oder Risiko?

Blockchain in der Wirtschaftsprüfung – Chance oder Risiko?

Immer mehr Unternehmen erproben den Einsatz der Blockchain in ihren Prozessen – auch Wirtschaftsprüfungsgesellschaften. Die Technologie verspricht mehr Transparenz und Effizienz, birgt jedoch auch Risiken. Zudem erfordert sie neue Kompetenzen bei den Prüfer*innen. Vereinfacht gesagt, handelt es sich bei der Blockchain um eine Art digitales Notizbuch. Einträge in das Notizbuch sind nur in chronologischer Reihenfolge […]

Weiterlesen
Fake News: Herausforderung für Wirtschaft und Prüfungspraxis

Fake News: Herausforderung für Wirtschaft und Prüfungspraxis

Sie manipulieren Börsenkurse und bedrohen die Reputation integrer Unternehmen – Fake News sind in der Wirtschaft kaum mehr wegzudenken. Längst beeinflussen sie sogar Finanzberichte und Abschlussprüfungen. Kann man den Geist zurück in die Flasche bringen? Zumindest das Risiko ließe sich eindämmen – mit dem Know-how der Wirtschaftsprüfer*innen. Falschmeldungen waren schon immer in der Lage, die […]

Weiterlesen
ERP-Systeme: Chancen und Risiken für die Abschlussprüfung

ERP-Systeme: Chancen und Risiken für die Abschlussprüfung

Die Einführung eines ERP-Systems (ERP: Enterprise Resource Planning) kann Abschlussprüfungen langfristig effizienter machen. Kurzfristig bringt es für Prüfer*innen aber oftmals Herausforderungen mit sich. Hilfreich ist ein Change Management, das prüferische Themen frühzeitig adressiert und Expert*innen in den Transformationsprozess einbindet. Ein ERP-System ist eine Softwarelösung, die zentrale Geschäftsprozesse wie Buchhaltung, Personalwesen, Logistik, Produktion und Vertrieb integriert und automatisiert. Es […]

Weiterlesen
Digitale Identitäten: Ein Blick auf die nordischen Pioniere

Digitale Identitäten: Ein Blick auf die nordischen Pioniere

Die nordischen Länder sind Vorreiter bei der Nutzung elektronischer Identitäten (eIDs). Was ist der Grund für die hohe Akzeptanz der digitalen Authentifizierung in Norwegen, Schweden und Dänemark? Und was können Deutschland und europäische Wirtschaftsprüfer*innen von den Erfahrungen der digitalen Pioniere lernen? Im Jahr 2010 hat Deutschland den elektronischen Personalausweis (ePA) eingeführt. Mittlerweile sind hierzulande 70 Millionen […]

Weiterlesen
Krypto in der Wirtschaft: Wie bilanziert man Bitcoin?

Krypto in der Wirtschaft: Wie bilanziert man Bitcoin?

Der Wahlsieg Donald Trumps hat den Bitcoin auf ein neues Allzeithoch steigen lassen. Nicht nur in der Politik, auch in der Wirtschaft dürfte die Digitalwährung daher an Bedeutung gewinnen. Doch wie bilanziert man Bitcoin? Und welche zusätzlichen Berichtspflichten ergeben sich für die Unternehmen? Auf rund 108.000 Dollar stieg der Bitcoin nach der Wahl Donald Trumps. […]

Weiterlesen
KI-Verordnung der EU: Warum Unternehmen jetzt handeln sollten

KI-Verordnung der EU: Warum Unternehmen jetzt handeln sollten

Die KI-Verordnung beinhaltet Chancen und Risiken für die Unternehmen. Ihre Umsetzung schafft Vertrauen in KI-Systeme und sorgt für ein gutes Unternehmensimage. Doch Regelverletzungen werden mit hohen Bußgeldern sanktioniert. Die neue ISO-Norm 42001 kann durch Strukturvorgaben bei der Umsetzung der Verordnung helfen. Am 1. August 2024 ist die europäische Verordnung über künstliche Intelligenz (KI-Verordnung) in Kraft getreten. Für Unternehmen, […]

Weiterlesen

Kommentare

Antwort

Ihre E-Mail Adresse wid nicht veröffentlicht. Pflichtfelder sind markiert*.