CEO Doppelgänger Injection: Überlistung der "Live" Video-Verifizierung

Das Ende des “Ich glaube es, wenn ich es sehe”

Seit Jahrzehnten galt der Live-Videoanruf als Goldstandard digitaler Vertrauenswürdigkeit. Wenn ein CEO in einem Zoom-Call auftauchte, Hallo winkte und eine Überweisung autorisierte, galt die Transaktion als verifiziert. Diese Ära ist vorbei.

Mit Blick auf 2026 hat eine ausgeklügelte Angriffsmethode namens CEO Doppelgänger Injection die herkömmliche Videoverifikation gefährlich veraltet gemacht. Angreifer verlassen sich nicht mehr auf vorab aufgenommene Deepfake-Videos oder statische Masken. Stattdessen nutzen sie Low-Latency, Echtzeit-generative gegnerische Netzwerke (GANs), um Live-Kamerafeeds zu hijacken und effektiv eine synthetische Persona in eine sichere Verifizierungssitzung zu “injizieren”.

In diesem Artikel analysieren wir die Mechanismen dieser Angriffe, betrachten den Landmark-Fall Arup, den Vorfall in Singapur im März 2025 sowie die Explosion von Echtzeit-Sprachbetrug und untersuchen die Injection Attack Detection-Technologien, die heute die kritische Verteidigungslinie gegen Gesichter bilden, die genau wie dein Chef aussehen, sich bewegen und sprechen.

---

Die Zahlen lügen nicht

Bevor wir in die Mechanik eintauchen, verdient die Größenordnung des Problems eine eigene Betrachtung.

Finanzielle Verluste durch Deepfake-gestützten Betrug überstiegen im ersten Quartal 2025 allein 200 Millionen USD — und diese Zahl umfasst nur gemeldete Fälle. Deepfake-bezogene Vorfälle stiegen im ersten Halbjahr 2025 auf 580, fast viermal so viele wie im gesamten Jahr 2024. Deloitte-Prognosen zufolge wird AI-gestützter Betrug von etwa 12,3 Milliarden USD in 2024 auf 40 Milliarden USD bis 2027 wachsen, bei einer jährlichen Wachstumsrate von 32 %. CEO-Betrug betrifft täglich mindestens 400 Unternehmen durch synthetische Medien, und eine Studie von iProov aus 2025 zeigt, dass nur 0,1 % der Teilnehmer alle gefälschten und echten Medien in Tests korrekt identifizierten. Statistisch gesehen sind wir fast blind.

Die Barriere für die Erstellung dieser Angriffe ist ebenfalls effektiv gefallen. Moderne KI-Tools können eine Stimme mit nur 3–5 Sekunden klarem Audio klonen. Überzeugende Video-Deepfakes, die Mitarbeitende täuschen, lassen sich mit frei verfügbarer Open-Source-Software auf einer High-End-Gamer-GPU generieren. Das ist kein Territorium mehr von Nationen.

---

Die Entwicklung: Von Präsentationsangriffen zu digitaler Injection

Um die Bedrohung zu verstehen, müssen wir zwischen den beiden primären Methoden des biometrischen Betrugs unterscheiden, die sich in den letzten fünf Jahren parallel entwickelt haben.

Presentation Attacks (Der alte Weg): Dabei wird ein hochauflösendes Foto, ein Tablet mit einem Video oder eine 3D-gedruckte Silikonmaske vor eine Webcam gehalten. Sicherheitssysteme reagierten darauf mit “Liveness Detection” — sie forderten die Nutzer auf, zu blinzeln, zu lächeln oder den Kopf zu drehen. Tiefensensoren und Texturanalyse konnten den Glanz auf einem Bildschirm oder das Fehlen natürlicher Hauttextur in einer Silikonmaske erkennen.

Digital Injection Attacks (Der neue Weg): Diese umgehen die physische Kamera vollständig. Der Angreifer steht nicht vor einer Webcam. Stattdessen nutzt er Virtual Camera-Software oder Malware, um einen synthetischen digitalen Videostream direkt in die Anwendung — Zoom, Microsoft Teams oder eine KYC-Verifizierungs-App — einzuspeisen. Da die Daten digital in das System gelangen, gibt es keinen Bildschirmglanz, keine Auflösungsverlust und keine typischen Artefakte einer physischen Präsentation. Für die Verifizierungssoftware sieht der Feed aus wie ein makelloser, hochauflösender Stream von einer Premium-Webcam. Das Gesicht auf der anderen Seite ist nur zufällig jemand anderes, in Echtzeit gerendert.

---

Fallstudien: Die Multi-Millionen-Dollar-Weckrufe

Der Arup-Vorfall — 25,6 Mio. USD bei einem gefälschten “All-Hands”-Call

Der Betrugsfall bei der Arup Engineering-Firma, der Anfang 2024 öffentlich wurde, bleibt die maßgebliche Fallstudie für Doppelgänger Injection im großen Stil. Ein Finanzmitarbeiter in Hongkong erhielt eine Nachricht, die scheinbar vom CFO des Unternehmens stammte, bezüglich einer vertraulichen Transaktion. Verdächtig, der Mitarbeiter forderte einen Videoanruf zur Verifizierung an.

Bei diesem Anruf sah der Mitarbeiter nicht nur den CFO, sondern auch externe Rechtsberater und andere bekannte Kollegen — alle anwesend, alle natürlich sprechend, alle autorisierend. Jeder einzelne war ein Deepfake. Die Angreifer hatten öffentlich verfügbare Aufnahmen von Arup-Führungskräften genutzt, um Modelle für Echtzeit-Gesichtstausch zu trainieren. Auf Fragen antwortete der Deepfake-CFO in Echtzeit. Der Mitarbeiter genehmigte fünfzehn Überweisungen in Höhe von HK$200 Millionen — etwa 25,6 Mio. USD — auf fünf separate Hongkonger Bankkonten.

Rob Greig, CIO von Arup, kommentierte den Vorfall mit den Worten: “Die Anzahl und Raffinesse dieser Angriffe steigt rapide.” Das psychologische Muster, das die Angreifer ausnutzten, ist das sogenannte “Sicherheit in der Masse”-Bias: Wir können uns vorstellen, dass ein Deepfake möglich ist, aber eine Gruppe überzeugender, interaktiver Deepfakes erscheint uns unmöglich. Ist es aber nicht.

Der Vorfall in Singapur im März 2025 — 499.000 USD und eine bewusste Vertrauensfalle

Bis März 2025 hatten die Angreifer von Arup gelernt und ihre Social Engineering-Methoden weiterentwickelt. Ein Finanzdirektor eines multinationalen Unternehmens in Singapur erhielt Kontakt von jemandem, der sich als CFO des Unternehmens ausgab, bezüglich einer dringenden Überweisung für eine vertrauliche Akquisition. Der Finanzdirektor, der Deepfake-Bedrohungen kannte, zögerte. Die Angreifer, die dies vorausgesehen hatten, schlugen proaktiv einen Videoanruf vor, um die Anfrage zu verifizieren — und verwandelten so die Verifizierungsmechanik selbst in eine Waffe.

Der Finanzdirektor nahm an einem Zoom-Call teil, bei dem der CFO und andere Führungskräfte auf dem Bildschirm erschienen. Alles sah richtig aus. Alles klang richtig. Der Direktor genehmigte eine Überweisung von 499.000 USD. Jedes Gesicht in diesem Call war KI-generiert, basierend auf öffentlich verfügbaren Medien der tatsächlichen Führungskräfte.

Diese Entwicklung ist entscheidend: Der Angriff basiert nicht mehr auf einem Opfer, das die Verifizierung verweigert. Er nutzt die Verifizierung selbst als Waffe. Die Bereitschaft, “schnell einen Anruf zu machen”, ist jetzt ein Warnsignal, kein Sicherheitsnetz.

Der Ferrari-Nahe-Miss — Eine Frage, die Millionen rettete

Nicht jeder Angriff gelingt. Bei einem weithin bekannten Vorfall versuchten Betrüger, Ferrari-CEO Benedetto Vigna durch einen KI-klonierten Sprachanruf zu imitieren, der, nach allem, was bekannt ist, seine markante süditalienische Akzent perfekt replizierte. Der Anruf wurde erst beendet, nachdem ein Ferrari-Manager dem Anrufer eine Frage stellte, die nur Vigna selbst hätte wissen können. Es war eine Frage, auf die kein Trainingsdatensatz hätte vorbereitet sein können. Ähnliche Versuche wurden gegen WPP-CEO Mark Read und Führungskräfte in verschiedenen Branchen dokumentiert.

Diese Beinahe-Missgeschicke bestätigen den menschlichen Out-of-Band-Verifizierungsansatz — zeigen aber auch, wie knapp der Rand ist.

---

Technischer Einblick: Wie Doppelgänger Injection funktioniert

Der Angriff basiert auf einem Stack von Technologien, die zusammenarbeiten, um Latenz zu minimieren und Realismus zu maximieren.

Der Motor: Echtzeit-Gesichtstausch

Angreifer verwenden Software wie Deep-Live-Cam, DeepFaceLive oder proprietäre Tools, die auf der InsightFace-Bibliothek basieren. Diese Tools nehmen ein “Zielbild” (den CEO) und einen “Quellstream” (den Live-Feed des Angreifers). Die KI kartiert die Gesichtspunkte — Augen, Nase, Mundgeometrie — des Live-Gesichts des Angreifers auf die Texturkarte des Ziels. Moderne Consumer-GPUs wie die NVIDIA RTX 4090 oder 5090 können diese Tausche bei 30+ Frames pro Sekunde mit unter 50ms Latenz durchführen, was in einem Standard-Zoom- oder Teams-Call kaum wahrnehmbar ist, da Netzwerkjitter kleine Synchronisationsfehler oft verdeckt.

Recherchen von 404 Media haben bestätigt, dass Betrüger jetzt Tools wie DeepFaceLive, Magicam und Amigo AI verwenden, um während Live-Videoanrufen ihr Gesicht, ihre Stimme, ihr Geschlecht und ihre Rasse in Echtzeit, interaktiv und ohne spezielles Hardware über ein Gaming-PC zu verändern.

Der Vektor: Virtual Camera Injection

Der Deepfake-Video-Stream wird über Virtual Camera-Treiber in den Anruf eingespeist. Auf PC oder Mac nutzen Angreifer OBS (Open Broadcaster Software), ManyCam oder eigene virtuelle Kamera-Treiber, die als Video-Input in Zoom oder Teams ausgewählt werden, genau wie ein legitimer Nutzer seine Webcam auswählt.

Auf mobilen Geräten — ein Vektor, der direkt Bank- und KYC-Anwendungen bedroht — ist der Angriff invasiver. Angreifer verwenden Hooking-Frameworks wie Frida oder Xposed auf gerooteten Android-Geräten, um den android.hardware.camera2-Systemaufruf abzufangen und den Kamera-Puffer durch ihren eigenen synthetischen Videostream zu ersetzen. Die Bank- oder Verifizierungs-App glaubt, direkt mit der Kamera-Hardware zu kommunizieren. Das tut sie aber nicht.

Das Audio: Echtzeit-Sprachkonvertierung

Der visuelle Feed ist nur die halbe Angriffsfläche. Angreifer nutzen RVC (Retrieval-based Voice Conversion)-Modelle zusammen mit der Video-Pipeline. Der Angreifer spricht in ein Mikrofon, und die KI verwandelt seine Stimme in Echtzeit in den Timbre, die Tonhöhe und den Rhythmus des Ziels. Plattformen, die auf dunklen Web-Foren dokumentiert sind — inklusive Tools wie Xanthorox AI — automatisieren diese Pipeline, sodass ein Operator zwischen mehreren synthetischen “Stimmen” bei verschiedenen Anrufen auf derselben Konferenz wechseln kann.

---

Warum traditionelle Liveness-Tests komplett versagen

Die meisten aktiven Liveness-Tests basieren auf Challenge-Response: “Bitte blinzle zweimal”, “Dreh den Kopf nach links”, “Lies diese Zahlen laut vor”. Doppelgänger Injection überlistet all diese Tests trivial, aus einem einfachen und unumstößlichen Grund: Der Angreifer ist ein echter, lebender Mensch. Der Deepfake ist nicht autonom. Ein menschlicher Operator sitzt hinter der synthetischen Maske und führt jede geforderte Aktion aus. Wenn die App den Deepfake auffordert, zweimal zu blinzeln, blinzelt der Mensch zweimal, und das Echtzeit-Gesichtstausch-Programm überträgt dieses Blinzeln perfekt auf das Ziel. Das System erkennt eine lebende Person, die die biologischen Aktionen korrekt ausführt. Es ist nur eine Person in einer fotorealistischen digitalen Maske.

Dies ist der fundamentale Konstruktionsfehler der Challenge-Response-Liveness-Detection bei Injection-Angriffen. Gartner bestätigt diesen Wendepunkt und prognostiziert, dass bis 2026 30 % der Unternehmen kein Vertrauen mehr in auf Gesichtsbioverifikation basierende Identitätsprüfungen haben werden — nicht, weil die Tools schlecht sind, sondern weil das Bedrohungsmodell, für das sie entwickelt wurden, nicht mehr existiert.

---

Die neue Verteidigung: Injection Attack Detection (IAD)

Wenn das Auge getäuscht werden kann, müssen wir auf den Code vertrauen. Die Sicherheitsbranche vollzieht einen Paradigmenwechsel von “Ist das eine echte Person?” zu “Ist die Kamera echt?”

Virtuelle Kamera erkennen

Sicherheits-SDKs von Anbietern wie Mitek, FaceTec und iProov prüfen heute die Quelle des Videostreams selbst, nicht nur den Inhalt. Das umfasst Treiber-Inspektion — etwa, ob der Gerätename Begriffe wie “Virtual”, “OBS” oder “ManyCam” enthält — sowie die Überprüfung der Treibersignatur, um festzustellen, ob der Kamera-Treiber kryptografisch von bekannten Hardware-Herstellern wie Logitech, Apple oder Realtek signiert ist, im Gegensatz zu einem generischen Software-Publisher.

Moderne Verteidigungstools, zusammengefasst im AKATI Sekurity Enterprise Defense Guide, analysieren sowohl, ob der Videofeed von einem physischen Kamera-Treiber oder einem virtuellen Software-Treiber stammt, als auch Pixel-Compression-Artefakte, die das menschliche Auge nicht wahrnehmen kann.

Fotografisches Rauschen und Sensor-Artefaktanalyse

Echte Kamera-Hardware ist naturgemäß unvollkommen. Physische Sensoren erzeugen ISO-Rauschen, Fokus-Breathing (leichte Vergrößerungsänderungen beim Fokussieren) und chromatische Aberration (subtile Farbfransen an den Objektkanten). Generative KI produziert dagegen mathematisch “perfekte” Pixel. Injection-Detection-Algorithmen prüfen Video-Frames auf das Fehlen natürlicher Sensor-Rauschmuster oder das Vorhandensein von GAN-Artefakten — inkonsistente subsurface lighting auf Zähnen, Unschärfen in der Nähe des Haaransatzes und der Ohren oder wiederholte Texturmuster in der Haut.

Challenge-Response 2.0: Umgebungslichtreflexion

Die robustesten passiven Liveness-Tests interagieren heute mit der physischen Umgebung, nicht mit den Gesichtsmuskeln des Nutzers. Bei einem “Blitz-Test” sendet das Telefon oder der Bildschirm eine schnelle, zufällige Farbreihenfolge — Rot, Blau, Grün — und das Kamerasystem prüft, ob die entsprechenden Lichtreflexionen auf der Haut und in der Umgebung in Echtzeit erscheinen. Ein vorab injizierter synthetischer Stream kann das Licht vom echten Bildschirm des Nutzers nicht in Echtzeit reflektieren. Es sei denn, ein Angreifer baut einen aufwändigen physischen Simulator, erkennt diese Lichtreflexionen, und diese Analyse erkennt, dass der Stream nicht mit der physischen Realität des Geräts übereinstimmt.

Der C2PA-Standard: Kryptografische Video-Provenienz

Die Coalition for Content Provenance and Authenticity (C2PA) — ursprünglich gegründet von Adobe, Arm, Intel, Microsoft und Truepic, inzwischen mit über 200 Mitgliedsorganisationen wie Deloitte, Sony, BBC und New York Times — hat eine offene Spezifikation entwickelt, um kryptografische Provenienz direkt in digitale Inhalte einzubetten.

Der Standard arbeitet durch das Verpacken kryptografischer Signaturen, Dateimetadaten und einer vollständigen Bearbeitungshistorie in ein manipulationssicheres Manifest, das die Inhalte begleitet. Wird der Inhalt verändert, bricht die Signatur. Im Januar 2025 veröffentlichten NSA und NSS Leitlinien, die C2PA Content Credentials als zentrale Schicht der Medienverteidigung empfehlen. Das EU-KI-Gesetz, das im August 2025 in Kraft tritt, verlangt, dass KI-generierte oder -bearbeitete Inhalte maschinenlesbare Authentifizierungsmarkierungen tragen.

In naher Zukunft werden Unternehmens-Video-Konferenz-Tools wie Microsoft Teams und Zoom auf “Verified Capture”-Unterstützung geprüft, bei der ein Video-Stream hardwareseitig mit dem Trusted Platform Module (TPM) kryptografisch signiert wird, um zu bestätigen, dass der Feed direkt von einer bestimmten Kamera stammt und nicht durch eine Zwischensoftware verändert wurde. Bei breiter Einführung würde ein nicht signierter Stream automatisch verdächtig sein.

---

Strategische Maßnahmen für Organisationen

Wenn Sie CFO, CISO oder Sicherheitsleiter sind, reicht es nicht mehr, nur die ID zu prüfen. Sie brauchen Protokolle, die komplett auf menschliche Wahrnehmung verzichten.

Richten Sie Out-of-Band-Authentifizierung für alle hochsensiblen Aktionen ein. Überweisungen, Genehmigungen auf Führungsebene oder Credential-Änderungen sollten niemals nur auf Basis eines Videoanrufs erfolgen, egal wie überzeugend. Das Protokoll ist einfach und unumstößlich: Jede Anfrage via Video muss durch einen zweiten, unabhängigen, vorher festgelegten Kanal bestätigt werden — eine verschlüsselte Nachricht an eine verifizierte persönliche Nummer, ein Bestätigungstoken im ERP-System des Unternehmens oder ein separater Anruf an eine bekannte Nummer, die unabhängig vom verdächtigen Anruf ist. Nicht eine Nummer, die während des verdächtigen Calls angegeben wurde.

Setzen Sie Erkennungstools ein, die den Stream, nicht das Gesicht, analysieren. Arbeiten Sie mit KYC- und Verifizierungsanbietern zusammen, die virtuelle Kamera-Erkennung, Treibersignatur-Überprüfung und Sensor-Artefaktanalyse implementiert haben. Fragen Sie gezielt, ob ihre Plattform Injection-Angriffe erkennen kann, nicht nur Präsentationsangriffe.

Engagieren Sie sich bei der C2PA-Adoption. Dokumentieren Sie intern, wie Ihr Unternehmen Video-Authorisierungen handhabt, und prüfen Sie, wo C2PA-signierte Inhalte eine Provenienzschicht zu offiziellen Kommunikationen hinzufügen könnten. Große Banken und Fintechs setzen bereits kryptografische Signaturprüfungen bei Dokumenteneingaben um; Firmenkommunikation sollte folgen.

Schulen Sie Mitarbeitende darin, Passivität bei Calls herauszufordern. Im Fall Arup waren die Deepfakes überzeugend, aber relativ passiv. Mitarbeitende sollten darin geschult werden, spontane, spezifische und unvorhersehbare Herausforderungen zu stellen — “Kannst du das heutige Zeitungsheadline hochhalten?” oder “Was war das Thema der Nachricht, die ich dir heute Morgen zum Sydney-Projekt geschickt habe?” — das ist überraschend effektiv, weil Echtzeit-GANs noch Schwierigkeiten mit komplexer Hand-Objekt-Interaktion und echten, neuen Gesprächsthemen haben.

Implementieren Sie eine eskalierende Skepsis-Kultur bei Dringlichkeitsanfragen. Sowohl bei Arup als auch in Singapur basierten die Angriffe stark auf vorgetäuschte Dringlichkeit — vertrauliche Akquisitionen, zeitkritische Überweisungsfenster — um die Zeit für Verifikation zu verkürzen. Eine festgelegte Regel, dass jede dringende und vertrauliche Anfrage in einem Videoanruf eine automatische Out-of-Band-Verzögerung auslöst, ist eine kostengünstige, hochwirksame Maßnahme.

---

Die nahe Zukunft: Vollautomatisiertes Vishing in großem Stil

Die nächste Grenze ist ohne menschlichen Operator. Es zeichnen sich bereits KI-gesteuerte Deepfake-Bots ab, bei denen eine autonome KI-Agentur sowohl das synthetische Video als auch die Gesprächsantworten in Echtzeit generiert, basierend auf einem Skript oder einem sich kontinuierlich anpassenden Sprachmodell.

Die Auswirkungen auf die Skalierung sind enorm. Aktuelle Angriffe erfordern einen geschulten menschlichen Operator, der eine CEO-Persona durch einen einzelnen Anruf steuert. Ein autonomes System könnte theoretisch denselben Angriff — mit demselben Gesicht, derselben Stimme, basierend auf abgefangenen internen Kommunikationen für Kontextauthentizität — gegen Tausende von mittleren Managern gleichzeitig durchführen, ohne menschliches Eingreifen außer bei der Erstbereitstellung.

Das ist kein ferner hypothetischer Fall. Die Konvergenz der Tools — Echtzeit-Gesichtstausch, Stimmklonen, große Sprachmodelle und virtuelle Kamera-Injektion — wurde bereits in einzelnen Komponenten demonstriert. Die Integration ist eine Frage des Engineering-Aufwands, nicht der Forschung.

---

Fazit: Vertrauen Sie nicht mehr auf das Gesicht

Die Ära der Video-Liveness als alleiniger Identitätsnachweis ist vorbei. Die Technologie, um eine realistische, Echtzeit-synthetische Persona in einen Live-Videoanruf zu injizieren, ist heute für Verbraucher zugänglich, Open Source und wird aktiv gegen Organisationen jeder Größe eingesetzt.

Sicherheit im Jahr 2026 erfordert das, was die Branche zunehmend “Zero Trust Video” nennt: eine Standardannahme, dass jeder Videofeed synthetisch sein könnte, es sei denn, er ist kryptografisch nachgewiesen. Wir müssen aufhören, das Gesicht zu betrachten, und anfangen, den Datenstrom zu hinterfragen. Wir müssen aufhören, den Wunsch, “schnell einen Anruf zu machen”, als Vertrauenssignal zu sehen, und ihn als potenziellen Angriffsvektor behandeln.

Der Verlust von 25,6 Mio. USD bei Arup geschah, weil ein Mitarbeiter vertraute, was er in einem Videoanruf sah und hörte. Der Finanzleiter in Singapur verlor eine halbe Million USD aus demselben Grund. Der Ferrari-Manager, der die eine Frage stellte, die die KI nicht beantworten konnte, hatte Glück.

Glück ist keine Sicherheitsstrategie.

---

Quellen: World Economic Forum, Keepnet Labs Deepfake Statistics 2026, Brightside AI Blog, iProov, Gartner, AKATI Sekurity Enterprise Defense Guide, Axis Intelligence, Deloitte Deepfake Disruption Analysis, NSA/NSS C2PA Guidance (Januar 2025), C2PA.org, Australian Cyber Security Centre Content Credentials Guidance, EU AI Act (August 2025), 404 Media investigative reporting.