SentinelOne warnt: Deepfakes machen Video-Calls zur Sicherheitsfalle

Cybersicherheit-Experten erklären das Vertrauen in Video-Identitäten für gescheitert. Ihre Lösung für 2026: Jede kritische Anfrage muss über einen zweiten, separaten Kanal bestätigt werden.

Die Ära, in der man seinen Augen trauen konnte, ist vorbei. Das ist die alarmierende Kernbotschaft des aktuellen Lageberichts „Cybersecurity 2026“ des Sicherheitsunternehmens SentinelOne. Angesichts nahezu perfekter Deepfake-Videos warnt der Report vor dem Ende der „Single-Layer“-Sicherheit. Die neue Überlebensregel für Unternehmen lautet: Out-of-Band-Verifizierung (OOBV).

Das Ende des blinden Vertrauens in Video-Identitäten

Die Warnung kommt zu einer Zeit, in der Betrugsfälle durch täuschend echte Video-Fälschungen explodieren. Gregor Steward, Chief AI Officer bei SentinelOne, stellt klar: Die Erkennungstechnologie für Deepfakes verliert das technologische Wettrennen. „Die klügsten Unternehmen werden 2026 über reine Erkennung hinausgehen“, so Steward. Die Gefahr sei zu groß, dass Angreifer mit minimalen Kosten unendlich viele Versuche unternehmen könnten, bis eine Fälschung durchkommt.

Das grundlegende Problem nennt der Report „In-Band“-Vertrauen. Vertraut ein Mitarbeiter allein den visuellen und akustischen Informationen eines Videoanrufs – etwa vom vermeintlichen CFO –, ist er angreifbar. Wird dieser Stream live manipuliert, fällt die Verifizierung in sich zusammen. „Erkennung bleibt wichtig, aber sie reicht nicht mehr aus“, betont Steward.

CEO-Fraud und Deepfake-Anrufe führen bereits heute zu Millionenschäden. Wenn Video-Identitäten gefälscht werden, reicht klassische Erkennung nicht mehr — Unternehmen brauchen konkrete Prozesse für Out‑of‑Band‑Verifizierung. Das kostenlose Anti‑Phishing‑Paket erklärt in einer kompakten 4‑Schritte‑Anleitung, wie Sie CEO‑Fraud erkennen, psychologische Angriffsprofile entschärfen und technische OOB‑Checks einbauen. So reduzieren Sie Überweisungsrisiken und schützen Ihre Finanzprozesse mit pragmatischen Maßnahmen. Anti‑Phishing‑Paket jetzt gratis anfordern

So funktioniert die Rettung: Verifizierung über einen zweiten Kanal

Die Lösung klingt simpel, erfordert aber ein radikales Umdenken in Geschäftsprozessen: Out-of-Band-Verifizierung. Dabei wird die Identität nicht über den ursprünglichen Kommunikationskanal („Band A“), sondern über einen vollständig separaten, unabhängigen Kanal („Band B“) geprüft.

Ein Praxisbeispiel: Fordert die vermeintliche CEO in einer Zoom-Konferenz eine dringende Überweisung an, genügt ein „Ja“ nicht mehr. Stattdessen löst der Finanzchef eine automatisierte OOB-Anfrage aus – etwa eine Push-Benachrichtigung auf das registrierte Biometrie-Gerät der echten CEO oder eine verschlüsselte Nachricht im firmeninternen Messenger. Nur wenn diese sekundäre Anfrage im separaten Kanal bestätigt wird, gilt die Anweisung als legitim. Egal, wie realistisch die Person im Video erscheint.

Der Druck zum Handeln wächst. Laut dem Veriff Identity Fraud Report 2025 war bereits jeder zwanzigste Identitätsbetrugsfall auf Deepfakes zurückzuführen. Die Angriffe werden raffinierter: von einfachen Gesichtstäuschungen hin zu Echtzeit-Avataren, die auch Verhaltensnuancen perfekt imitieren.

Der „Arup-Effekt“: 25 Millionen Euro Verlust als Weckruf

Die Branche reagiert auf traumatische Vorfälle. Sicherheitsexperten verweisen regelmäßig auf den „Arup-Fall“ als „Patient Zero“ dieser neuen Bedrohungslage: Das Ingenieurbüro verlor umgerechnet 25 Millionen Euro, nachdem ein Mitarbeiter in einer Videokonferenz auf deepgefakte Kollegen hereinfiel.

Doch die Angriffe entwickeln sich weiter. „Wir sehen einen Wandel von gezielten Kampagnen hin zu opportunistischen Massenangriffen“, erklärt Floris Dankaart von der NCC Group. Automatisierte KI-Agenten könnten nun tausende überzeugende Phishing-Anrufe gleichzeitig generieren. Die menschliche Abwehr sei damit überfordert.

Die Konsequenz laut SentinelOne: Der Mensch muss aus dem ersten Verifizierungsschritt entfernt werden. KI-Modelle sollen den Großteil der prozeduralen Sicherheitsarbeit übernehmen. Die Herausforderung für 2026 liege darin, den „Goldlöckchen-Punkt“ zwischen hoher Automatisierung und menschlicher Verantwortung zu finden.

Regulatorischer Rückenwind und die Zukunft der KI-Identitäten

Die Forderung nach OOB-Verifizierung erhält auch regulatorischen Zuspruch. Der Trust-Anbieter DigiCert prognostiziert, dass post-quantum-taugliche Identitäts-Frameworks in vielen Bereichen verpflichtend werden. Bis 2026 müssten Organisationen nicht nur Menschen, sondern auch den für sie handelnden KI-Agenten verifizierbare, kryptografische Identitäten zuweisen.

„In Märkten wie Australien treiben Zero-Trust-Programme die Automatisierung der Identitätsprüfung voran“, sagt James Cook, Vizepräsident von DigiCert für Asien-Pazifik. Dieses Zero-Trust-Prinzip – „niemals vertrauen, immer verifizieren“ – ist die philosophische Grundlage von OOBV. Und zwar: Immer woanders verifizieren.

Der Markt reagiert bereits. Partnerschaften, wie die kürzlich zwischen Reality Defender und 1Kosmos bekanntgegebene, integrieren Deepfake-Erkennung direkt in blockchain-basierte Authentifizierungsplattformen. So entsteht eine hybride Verteidigung aus Signalanalyse („Ist dieses Video echt?“) und kryptografischer Verifizierung („Ist dieses Gerät autorisiert?“).

2026: Der Sicherheitsexperte wird zum Aufseher

Für Cybersicherheitsteams bedeutet dieser Wandel eine neue Rolle: vom manuellen Prüfer zum supervisorischen Kontrolleur. Sie überwachen künftig KI-Systeme, die Identitäten automatisch hinterfragen und verifizieren. „Menschen treffen dann eine rechenschaftspflichtige, auditable Richtlinienentscheidung anstelle von tausenden potenziell inkonsistenten Einzelentscheidungen“, erläutert Steward.

Die Botschaft dieser Prognosen ist eindeutig: Der Videoanruf als vertrauenswürdiges Medium ist gebrochen. Die Sprachnachricht ist kompromittiert. Wer 2026 wissen will, mit wem er es wirklich zu tun hat, muss auflegen – und „Out-of-Band“ prüfen.

PS: Deepfakes und gefälschte Videoanrufe sind keine Zukunftsmusik – sie treffen Unternehmen jetzt. Das Anti‑Phishing‑Paket liefert praxiserprobte Checklisten, psychologische Erkennungsmerkmale und technische Gegenmaßnahmen, inklusive Empfehlungen für Out‑of‑Band‑Verifizierungen, damit Finanz‑ und Security‑Teams sofort handeln können. Kurz, präzise und sofort umsetzbar. Jetzt Anti‑Phishing‑Guide herunterladen