Deepfake-Betrug: Deutsche Personalabteilungen im Visier von KI-Kriminellen

Die digitale Einstellung neuer Mitarbeiter wird zum Sicherheitsrisiko. Während deutsche Unternehmen verstärkt auf vollständig digitale Bewerbungsprozesse setzen, nutzen Betrüger KI-generierte Identitäten, um die Kontrollen auszuhebeln. Gleichzeitig verschärft der EU AI Act den Druck auf die Personalabteilungen.

Die Zahlen sind alarmierend: Jeder fünfte biometrische Identitätscheck könnte mittlerweile eine Fälschung sein. Das zeigen aktuelle Daten des Cybersecurity-Unternehmens Entrust vom 1. Dezember. Die Personalabteilungen deutscher Firmen stehen vor einer paradoxen Situation: Sie sollen schnell neue Talente gewinnen – aber dabei niemanden durchwinken, der gar nicht existiert.

Die neueste Bedrohung hat einen Namen: Deepfake-Selfies. Laut dem globalen Betrugsreport von Entrust machen diese manipulierten Bilder bereits 20 Prozent aller biometrischen Betrugsversuche aus. Im Vergleich zum Vorjahr entspricht das einem Anstieg von 58 Prozent.

Besonders perfide: Die sogenannten Injection-Angriffe. Betrüger umgehen dabei die Kamera komplett und speisen stattdessen vorab aufgezeichnete oder KI-generierte Videos direkt in die Verifizierungssoftware ein. Diese Attacken haben in den vergangenen zwölf Monaten um 40 Prozent zugenommen. Klassische „Lebenderkennungs-Tests” – etwa wenn Bewerber blinzeln oder den Kopf drehen sollen – laufen damit zunehmend ins Leere.

Passend zum Thema EU AI Act: Viele HR-Teams sind unsicher, welche konkreten Pflichten jetzt für Recruiting- und Onboarding-KI gelten. Ein kostenloser Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt praxisnah Risikoklassen, Kennzeichnungspflichten und welche Dokumentation Sie von Ihren Onboarding‑Anbietern verlangen sollten. Inklusive Checklisten für Anbieter‑Audits und Vorlagen zur sofortigen Umsetzung – ideal für Personaler, Datenschutzbeauftragte und IT‑Verantwortliche. KI‑Verordnung: Umsetzungsleitfaden herunterladen

„Wir fragen nicht mehr nur, ob der Ausweis echt ist”, erklärt Tony Ball, Präsident für Zahlungen und Identität bei Entrust. „Die Frage lautet jetzt: Ist die Person vor der Kamera überhaupt anwesend? Betrugsnetzwerke arbeiten wie organisierte Unternehmen und nutzen frei zugängliche KI-Tools, um synthetische Identitäten zu schaffen.”

Für deutsche Arbeitgeber, die auf VideoIdent- oder AutoIdent-Verfahren bei der Neueinstellung setzen, bedeutet das: Die bisherigen Sicherheitsvorkehrungen reichen nicht mehr aus.

EU AI Act: Personalwesen als Hochrisikobereich

Verschärft wird die Situation durch den EU AI Act. Seit Dezember 2025 gelten Recruiting- und HR-Systeme offiziell als „Hochrisiko-KI-Anwendungen”. Das unterwirft sie strengen Transparenz- und Aufsichtspflichten.

Zwar tritt die vollständige Durchsetzung dieser Hochrisiko-Vorgaben erst im August 2026 in Kraft. Doch zentrale Bestimmungen sind bereits aktiv: Seit Februar 2025 müssen deutsche Arbeitgeber nachweisen, dass ihre Mitarbeiter über „KI-Kompetenz” verfügen, wenn sie solche Tools einsetzen (Artikel 4). Die Bundesnetzagentur (BNetzA), die Anfang des Jahres als zentrale Marktüberwachungsbehörde für Arbeitsplatz-KI benannt wurde, hat angekündigt, genauer hinzuschauen.

Rechtsexperten warnen: Gelingt es einem Hochstapler, sich mithilfe eines Deepfake einzuschleusen, drohen nicht nur Sicherheitslücken. Unternehmen riskieren empfindliche GDPR- und AI-Act-Strafen, wenn sie keine „robusten und widerstandsfähigen” Systeme implementiert haben.

Techkonzerne rüsten auf: Neue Tools gegen neue Bedrohungen

Die großen Technologieanbieter reagieren. Am 3. Dezember stellte Amazon Web Services auf der Konferenz AWS re:Invent 2025 die sogenannten „Lambda Durable Functions” vor. Diese neue Funktion soll speziell lang laufende Workflows wie Mitarbeiter-Onboarding absichern. Verifizierungsprozesse können damit über Wochen hinweg sicher unterbrochen und fortgesetzt werden – etwa für mehrstufige Hintergrundchecks bei Schufa, Führungszeugnissen oder Universitätsabschlüssen.

Parallel dazu setzen spezialisierte Anbieter auf fortgeschrittene „Lebendigkeits-Technologie”. Anders als simple Videochecks analysieren diese Systeme Lichtreflexionen auf Pixel-Ebene, um zwischen einem lebenden Menschen und einer hochauflösenden KI-Generation oder 3D-Maske zu unterscheiden. Fintechs, die oft Vorreiter bei HR-Sicherheitstrends sind, haben diese „deepfake-resistente” Biometrie bereits Ende 2025 als Standard eingeführt.

Vom Speed zum Security: Das Ende der 60-Sekunden-Bewerbung?

Was bedeutet das für die Praxis? Jahrelang stand bei digitalen Bewerbungsprozessen die User Experience im Vordergrund: Je schneller und reibungsloser, desto besser im „War for Talent”. Doch diese Ära könnte vorbei sein.

„Die Zeit der nahtlosen 60-Sekunden-Einstellung steht vor einem Realitätscheck”, sagt Branchenanalyst Gerome Alvarez. „Wenn einer von fünf biometrischen Checks möglicherweise ein Deepfake ist, kann Geschwindigkeit nicht mehr das einzige Kriterium sein.”

Besonders brisant ist das für deutsche Remote-First-Branchen wie IT und Beratung, wo Mitarbeiter sensible Kundendaten bearbeiten – ohne je ein Büro zu betreten. Das Risiko sogenannter „Beschäftigungs-Maultiere” – gefälschte Mitarbeiter, die Arbeit auslagern oder geistiges Eigentum stehlen – ist längst keine theoretische Gefahr mehr.

Ausblick 2026: Mehrschichtige Kontrollen werden Pflicht

Was erwartet HR-Verantwortliche im ersten Quartal 2026?

Erstens: Einfache Video-Uploads gehören der Vergangenheit an. Hybride Modelle werden Standard – biometrische Scans kombiniert mit Echtzeit-Datenbankabgleichen, etwa durch sofortige Prüfung der Steuer-ID beim Finanzamt.

Zweitens: Verschärfte Anbieter-Audits. Mit Blick auf die Hochrisiko-Deadline im August 2026 müssen Unternehmen ihre Onboarding-Software-Anbieter aggressiv auf AI-Act-Konformität prüfen.

Drittens: Der Aufstieg digitaler Identitäts-Wallets. Die EU Digital Identity Wallet soll künftig eine standardisierte Lösung bieten. Bis zur flächendeckenden Einführung bleiben private „Lebendigkeits-Erkennungen” die wichtigste Verteidigungslinie.

Die Botschaft an deutsche Personalabteilungen ist eindeutig: Die digitale Tür steht offen – doch die Wächter brauchen bessere Ausrüstung. Wer jetzt nicht nachrüstet, riskiert nicht nur Betrug, sondern auch juristische Konsequenzen.

Übrigens: Die Fristen und Dokumentationspflichten der EU‑KI‑Verordnung betreffen jetzt auch Ihr Recruiting. Dieses kostenlose E‑Book fasst die wichtigsten Pflichten für HR‑Tools zusammen, nennt Übergangsfristen und liefert sofort einsetzbare Checklisten, mit denen Sie VideoIdent‑ und Onboarding‑Anbieter auditieren können. Schützen Sie Ihr Unternehmen vor Bußgeldern und regulatorischen Risiken. Jetzt kostenlosen KI‑Act‑Guide sichern