von Die 83/47-Lücke: Warum der Mittelstand gegen KI-Angriffe immer verwundbarer wird
Cybersecurity-Reports des Jahres 2026 zeichnen ein alarmierendes Bild: Der deutsche Mittelstand erkennt die Bedrohung durch KI-gestützte Angriffe — investiert aber nicht dagegen. Diese Diskrepanz zwischen Bewusstsein und Handlung öffnet Angreifern Tür und Tor.
Die Zahlen, die niemand ignorieren kann
83 Prozent der kleinen und mittleren Unternehmen stufen das Bedrohungslevel durch künstliche Intelligenz als erhöht ein. So weit, so erwartbar. Doch die zweite Zahl macht den Befund brisant: 47 Prozent dieser Unternehmen haben kein dediziertes Cybersecurity-Budget.
Lassen Sie das sacken. Fast die Hälfte aller KMUs sagt gleichzeitig: „Ja, KI-Angriffe bedrohen uns“ — und: „Nein, wir geben kein gezieltes Geld für Schutz aus.“
Diese 83/47-Lücke ist kein statistisches Kuriosum. Sie ist eine offene Einladung.
Deepfakes: Vom Kuriosum zur Waffe
Wer bei Deepfakes noch an manipulierte Promi-Videos denkt, hat die Entwicklung der letzten zwölf Monate verpasst. Die relevanten Kennzahlen:
+1.633 Prozent Anstieg bei Deepfake-Vishing im ersten Quartal 2025 gegenüber dem Vorquartal. Das ist kein Tippfehler. Deepfake-basierte Telefonbetrugsversuche haben sich nicht verdoppelt oder verdreifacht — sie haben sich versechzehnfacht.
3 Sekunden Audio reichen heute aus, um eine Stimme mit 85-prozentiger Übereinstimmung zu klonen. Drei Sekunden. Ein Satz auf der Mailbox. Ein kurzes LinkedIn-Video. Ein Podcast-Snippet.
66 Prozent der Security-Profis sind 2026 bereits auf Deepfakes gestoßen — ein Anstieg von 13 Prozentpunkten gegenüber dem Vorjahr.
Der konkrete Angriffsvektor: Ihr CFO am Telefon
Stellen Sie sich folgendes Szenario vor: Ihr Finanzbuchhalter erhält einen Anruf. Die Stimme klingt exakt wie die Ihres Geschäftsführers. „Ich bin gerade beim Notar, wir müssen heute noch die Anzahlung für die Übernahme leisten. Überweisen Sie 180.000 Euro an folgendes Konto. Die Details schicke ich per SMS.“
Der Buchhalter kennt die Stimme seit Jahren. Der Ton stimmt, die Sprechweise passt. Die Anweisung kommt telefonisch — also persönlich, also vertrauenswürdig. Die SMS mit der IBAN folgt Sekunden später.
Das ist kein hypothetisches Szenario. Es ist die häufigste Variante des sogenannten Deepfake-Vishing — Voice Phishing mit KI-geklonten Stimmen. Und es trifft den Mittelstand überproportional, weil dort persönliche Beziehungen und kurze Entscheidungswege zum Geschäftsmodell gehören.
Warum klassische Schutzmaßnahmen versagen
Ihr Antivirus erkennt keinen Deepfake-Anruf. Ihre Firewall filtert keine manipulierte Stimme. Ihr Spam-Filter greift nicht, wenn der Angriff über das Telefon kommt.
Die 47 Prozent ohne dediziertes Security-Budget verlassen sich häufig auf genau diese technischen Basismaßnahmen. Gegen die neue Generation KI-gestützter Angriffe sind sie wirkungslos.
Was stattdessen hilft:
Prozessuale Absicherung. Keine Überweisung über 10.000 Euro ohne Vier-Augen-Prinzip und schriftliche Bestätigung über einen zweiten Kanal. Kein Ausnahme-Szenario, das diese Regel aushebelt — auch nicht „der Chef ist beim Notar“.
Awareness-Training mit Deepfake-Demos. Mitarbeitende müssen erleben, wie überzeugend eine geklonte Stimme klingt. Erst dann nehmen sie die Bedrohung ernst.
Verifizierungscodes. Ein vereinbartes Codewort für telefonische Anweisungen mit finanzieller Tragweite. Simpel, kostenlos, wirksam.
Technische Ergänzung. Deepfake-Detection-Tools für Telefonie und Videokonferenzen existieren, sind aber noch nicht im Massenmarkt angekommen. Für besonders exponierte Positionen — Geschäftsführung, Finanzabteilung — lohnt sich die Evaluierung bereits heute.
Die strategische Dimension: Trust als Angriffsfläche
74 Prozent der Security-Leader bewerten Deepfake-Scams als Top-5-Emerging-Risk. 2022 waren es noch 38 Prozent. Die Fachwelt hat verstanden, was kommt.
Der eigentliche Angriff zielt nicht auf Systeme. Er zielt auf Vertrauen. Auf die Annahme, dass eine bekannte Stimme am Telefon tatsächlich der Mensch ist, den wir kennen. Auf die Gewissheit, dass ein Videocall mit dem Geschäftspartner auch wirklich ein Gespräch mit dem Geschäftspartner ist.
Wenn diese Grundannahmen fallen, verändert sich Geschäftskommunikation fundamental. Jeder Anruf wird potenziell zweifelhaft. Jede dringende Anweisung braucht eine Gegenprüfung. Das klingt nach Paranoia — ist aber die logische Konsequenz aus drei Sekunden Audio für 85 Prozent Voice-Match.
Was der Mittelstand jetzt tun sollte
Die gute Nachricht: Der erste Schritt kostet kein sechsstelliges Security-Budget.
Fazit
Die 83/47-Lücke ist das definierende Cybersecurity-Problem des Mittelstands 2026. Die Bedrohung ist erkannt, die Investition fehlt. Deepfake-Vishing mit über 1.600 Prozent Wachstum zeigt, dass Angreifer diese Lücke bereits systematisch ausnutzen.
Die Frage ist nicht mehr, ob Ihr Unternehmen einem KI-gestützten Angriff ausgesetzt wird. Die Frage ist, ob Ihre Prozesse und Menschen darauf vorbereitet sind, wenn es passiert.
