Künstliche Intelligenz spielt Wirtschaftskriminellen zunehmend in die Hände. Social-Engineering-Betrugsmaschen, bei denen Mitarbeitende gezielt manipuliert werden, nehmen weiter zu und verursachen deutlich höhere Schäden. 2025 steigen die Schäden aus allen Social-Engineering-Delikten um 60 Prozent. Angreifer agieren dabei professioneller, individueller und mit höherer Erfolgsquote. Das zeigt die aktuelle Schadensstatistik von Allianz Trade.
Besonders stark wächst der Fake-President-Betrug. Die Schäden verdreifachen sich bereits 2024 um 200 Prozent und legen 2025 trotz rückläufiger Fallzahlen um weitere 81 Prozent zu. Die Zahl der Fälle sinkt zwar sowohl 2024 als auch 2025 jeweils zweistellig, doch der finanzielle Schaden pro Angriff steigt erheblich.
Auch beim Bestellerbetrug zeigt sich eine neue Dynamik. 2025 erlebt diese Masche ein deutliches Comeback. Die Schäden mehr als verdoppeln sich um 139 Prozent, während die Fallzahlen um 61 Prozent steigen. Damit löst der Bestellerbetrug den Zahlungsbetrug als häufigste Social-Engineering-Variante ab.
KI verschärft das Katz-und-Maus-Spiel zwischen Tätern und Unternehmen
„Es ist ein Katz-und-Maus-Spiel: Die Kriminellen perfektionieren ihre Betrugsmaschen mittel KI und die Unternehmen versuchen, mit ihren Schutzmechanismen Schritt zu halten“, sagt Marie-Christine Kragh, Globale Leiterin Vertrauensschadenversicherung bei Allianz Trade. „Das wird allerdings immer schwerer: E-Mails sind inzwischen makellos und Deepfakes täuschend echt.“
Laut Kragh nutzen Täter künstlich erzeugte Stimmen, Bilder und passgenaue E-Mails mit internen Details gezielt zur Vertrauensbildung. „Das Ausnutzen von künstlich erzeugten Stimmen und Bildern für die Vertrauensbildung ist ein mächtiges Werkzeug, das in vielen Fällen auch bei geschulten Mitarbeitenden alle Zweifel verschwinden lässt“, sagt sie. Die Statistik zeige deutlich: „Wenn es knallt, dann richtig.“
Die durchschnittlichen Schäden liegen inzwischen im einstelligen Millionenbereich. Großschäden erreichen teilweise sogar deutlich zweistellige Millionenbeträge. Ein Niveau, das zuletzt beim ersten Aufkommen dieser Betrugsform Anfang der 2010er Jahre zu beobachten war.
Zwei Schritte reichen: Erst Systemzugang, dann Geldfluss
Technisches Spezialwissen ist für viele Täter nicht mehr erforderlich. „Kriminelle brauchen in vielen Fällen keine größeren IT- oder Coding-Kenntnisse“, sagt Dirk Koch, Certified Ethical Hacker und Partner der Kanzlei ByteLaw. Entsprechende Werkzeuge seien im Darknet leicht verfügbar und vergleichsweise günstig.
Häufig gehen Täter zweistufig vor. Über Phishing- oder Vishing-Angriffe verschaffen sie sich zunächst Zugang zu internen Systemen. „Das öffnet für die dann folgenden Social-Engineering-Angriffe Tür und Tor“, sagt Koch. Erst danach zielen die Angriffe gezielt auf Zahlungsprozesse und interne Freigaben.
Diese Kombination aus technischer Vorbereitung und psychologischer Manipulation erhöht die Erfolgswahrscheinlichkeit erheblich. Unternehmen geraten dadurch in eine Lage, in der klassische Sicherheitsmechanismen allein nicht mehr ausreichen.
Innentäter verursachen die größten Schäden
Eine oft unterschätzte Gefahr kommt aus dem Inneren der Unternehmen. „Es ist eine unbequeme und oft unterschätzte Wahrheit für Unternehmen: Die eigenen Mitarbeitenden richten die meisten 60 Prozent und 2025 auch wieder die größten Schäden 65 Prozent an“, sagt Kragh.
2024 liegen interne und externe Täter bei den Schadenssummen noch gleichauf. 2025 verschiebt sich das Bild erneut zugunsten der Innentäter, die 65 Prozent der Schäden verursachen, während externe Täter auf 35 Prozent kommen. Die internen Täter agieren dabei auffallend kreativ, etwa durch den Diebstahl hochwertiger Designerkleidung oder den systematischen Abverkauf veruntreuter Arbeitsgeräte.
Diese Fälle zeigen, dass Wirtschaftskriminalität nicht nur von außen droht. Fehlende Kontrollen, zu große Vertrauensvorschüsse und unzureichende Trennung von Zuständigkeiten erhöhen das Risiko erheblich.
Technik allein reicht nicht gegen Social Engineering
Aus Sicht der Experten müssen technische und organisatorische Maßnahmen eng verzahnt sein. „Technisch ist eine Phishing-resistente Multi-Faktor-Authentifizierung ein Must-Have, ebenso wie verifizierte E-Mail-Signatur-Verfahren“, sagt Koch. Auch KI-basierte Filter und eine Zero-Trust-Architektur können helfen, Angriffe frühzeitig zu erkennen.
Organisatorisch kommt es vor allem auf klare Zahlungsprozesse an. Laufend überprüfte Freigaben, das Vier-Augen-Prinzip und zusätzliche telefonische Bestätigungen bei Änderungen von Zahlungsdaten gelten als zentrale Schutzmechanismen. Im Ernstfall entscheiden schnelle Reaktionszeiten darüber, ob sich Gelder zumindest teilweise zurückholen lassen.
Doch selbst gut abgesicherte Systeme stoßen an Grenzen. „Der Mensch bleibt hier die Schwachstelle“, sagt Kragh. Social Engineering funktioniere über Emotionen, Zeitdruck und das bewusste Abweichen von Standards. Eine offene Unternehmenskultur, in der Rückfragen ausdrücklich erwünscht sind, könne viele Betrugsversuche frühzeitig stoppen. Eine einzige Nachfrage reiche oft aus, um ein ganzes Betrugskonstrukt zum Einsturz zu bringen.
