Zwei Minuten bis zum Klon: Der Stand der KI-Video-Deepfakes 2026 — und was Unternehmen jetzt tun müssen

Es dauert ungefähr zwei Minuten. So lange braucht Googles neues Modell Gemini Omni, um aus ein paar Gesichtsaufnahmen und vorgelesenen Sätzen einen digitalen Klon zu bauen, der einen selbst in jeder erdenklichen Szene zeigt. Ein Tester von Chrome Unboxed brachte es im Mai auf den Punkt: „Die Gesichtsverfolgung, die Mikro-Expressionen und das Lippensync sind erschreckend gut für so wenig Trainingsmaterial.“ Und The Verge demonstrierte am 23. Mai, wie banal der Missbrauch wäre: Mit einem Google-Konto und einer Kreditkarte montiert man sich in Minuten in einen Flug nach Maui — überzeugend genug, dass selbst nahe Angehörige getäuscht werden.

Was vor zwei Jahren noch ein Spezialwerkzeug mit sichtbaren Artefakten war, ist 2026 zur Massenware geworden. Für Unternehmen ist das keine Spielerei am Rand, sondern ein handfestes Sicherheits-, Compliance- und Reputationsthema. Ein Deepfake — mit KI synthetisch erzeugtes Bild-, Video- oder Audiomaterial, das eine reale Person täuschend echt darstellt — ist heute ein Werkzeug der organisierten Kriminalität. Diese Reportage ordnet ein, wo die Technik wirklich steht, warum die vermeintlichen Schutzmechanismen weniger taugen als gehofft, was Regulierer ab diesem Sommer verlangen — und was Geschäftsführung und IT konkret tun sollten.

Vom Spezialwerkzeug zur Centware: Wo die Modelle 2026 stehen

Die Grundlage all dieser Werkzeuge ist das Diffusionsmodell: eine KI-Architektur, die aus zufälligem Bildrauschen schrittweise ein kohärentes Bild oder Video „herausrechnet“. 2026 konkurrieren vier Schwergewichte um die Spitze. Googles Gemini Omni (und das Schwestermodell Veo) erzeugt Video aus beliebigen Eingaben und lässt sich konversationell bearbeiten. OpenAIs Sora 2 punktet mit physikalisch glaubwürdiger Simulation und Kinokamera-Bewegungen. ByteDances Seedance 2.0 ist das erste vereinte Audio-Video-Modell mit phonem-genauem Lippensync in über acht Sprachen. Und Kuaishous Kling 3.0 gilt als Preis-Leistungs-Sieger, der selbst komplexe menschliche Bewegungen ohne „Spaghetti-Gliedmaßen“ meistert.

Der qualitative Sprung gegenüber 2024 ist messbar. Sichtbare Artefakte gingen laut Branchenvergleichen um rund zwei Drittel zurück; Kleidung und Hintergründe „morphen“ nicht mehr zwischen den Einzelbildern. Statt reiner Diffusion setzen die Modelle nun auf Hybrid-Architekturen mit expliziter Zustandsrepräsentation, weshalb die Physik in den Clips stabil bleibt. Ton wird gleichzeitig mit dem Bild generiert statt nachträglich „geraten“. Und die Auflösung erreicht bei den Top-Modellen 4K. Eine Grenze bleibt: Selbst die besten Systeme degradieren nach etwa 20 bis 60 Sekunden — Langform-Video ist noch nicht gelöst.

Entscheidend für die Risikobewertung ist aber nicht die maximale Qualität, sondern der Preis. Ein zehnsekündiger 1080p-Clip kostet je nach Anbieter zwischen rund 50 Cent und 2,50 Dollar. Die Kombination aus fotorealistischem Bild, synchron geklonter Stimme, Echtzeit-Verfügbarkeit und Centpreisen ist es, die Deepfakes vom Werkzeug einiger Spezialisten zur skalierbaren Waffe für jeden Betrüger macht.

25 Millionen Dollar in einem Videocall: Wenn der CFO ein Phantom ist

Der Leitfall steht stellvertretend für die neue Bedrohung. Anfang 2024 überwies ein Mitarbeiter im Hongkong-Büro der britischen Ingenieursfirma Arup insgesamt 25,6 Millionen Dollar in fünfzehn Tranchen — nach einer Videokonferenz, in der der Finanzchef und mehrere Kollegen Deepfakes waren. Der Mitarbeiter war zunächst skeptisch gegenüber einer Phishing-Mail gewesen; erst der scheinbar echte Videocall stellte das nötige Vertrauen her. Die Angreifer hatten ihr Material aus frei verfügbaren Firmenvideos und Online-Konferenzen der Führungskräfte trainiert. Festgenommen wurde niemand, das Geld ist weg.

Arup ist kein Einzelfall. In Singapur überwies ein Finanzdirektor Anfang 2025 nach einem Zoom-Call, bei dem alle Teilnehmer Fälschungen waren, knapp eine halbe Million Dollar. Ein überzeugender Stimmklon lässt sich heute aus nur drei Sekunden Audio erzeugen. Die Zahlen dahinter sind alarmierend: Das Deloitte Center for Financial Services erwartet, dass GenAI-gestützte Betrugsverluste allein in den USA von 12,3 Milliarden Dollar (2023) auf 40 Milliarden Dollar (2027) steigen — ein jährliches Wachstum von 32 Prozent. 85 Prozent der Organisationen hatten binnen zwölf Monaten mindestens einen Deepfake-Vorfall. Und Deepfake-„Vishing“ — betrügerische Anrufe mit geklonter Stimme — stieg im ersten Quartal 2025 gegenüber dem Vorquartal um über 1.600 Prozent.

Bemerkenswert für eine nüchterne Einordnung: Das vielfach befürchtete „Wahl-Armageddon“ blieb 2024 aus — laut Meta machte KI-Desinformation weniger als ein Prozent der faktengeprüften Fälle aus. Der quantifizierbare Schaden entsteht heute nicht in der Politik, sondern in der Buchhaltung. Für Unternehmen heißt das: Die größte Deepfake-Gefahr ist nicht das gefälschte Politiker-Video, sondern die manipulierte Zahlungsanweisung.

Das Wettrüsten, das keiner gewinnt: Wasserzeichen und die 65-Prozent-Falle

Die naheliegende Hoffnung lautet: Wenn KI die Fälschungen erzeugt, kann KI sie auch erkennen — und Wasserzeichen machen synthetische Inhalte ohnehin nachweisbar. Beide Annahmen halten der Realität 2026 nur bedingt stand. Ein Wasserzeichen wie Googles SynthID ist ein unsichtbares, in die Pixel oder Audiodaten eingebettetes Signal. Es ist das genaueste verfügbare Verfahren — deckt aber nur einen Bruchteil der zirkulierenden Inhalte ab und überlebt gründliches Umkodieren oft nicht. Ein dokumentierter Angriff namens DeMark senkte die Wasserzeichen-Erkennung im Schnitt von 100 auf 32,9 Prozent, bei erhaltener Bildqualität.

Der zweite Baustein, C2PA Content Credentials, ist eine Art kryptografisch signierte „Nährwerttabelle“ einer Datei: Sie dokumentiert Herkunft und Bearbeitungshistorie in den Metadaten. Das Problem: Metadaten lassen sich durch einen simplen Screenshot oder eine Neukodierung entfernen. Beide Verfahren ergänzen sich — SynthID übersteht Edits, liefert aber wenig Information; C2PA liefert viel Kontext, ist aber fragil — doch keines schützt allein. Immerhin gibt es Bewegung: Am 19. Mai trat OpenAI dem C2PA-Steering-Committee bei und verpflichtete sich, zusätzlich SynthID einzubetten; Google brachte C2PA-Verifikation und SynthID-Erkennung nativ in Suche und Chrome.

Am ernüchterndsten ist die Erkennung selbst. Gegen reale, zirkulierende Deepfakes verloren modernste Detektoren in einer Studie 45 bis 50 Prozent ihrer Leistung; in der Praxis sinkt die Genauigkeit teils auf 65 Prozent. Forscher der University of Edinburgh zeigten, wie angreifbar die Verfahren sind. Die Konsequenz für Unternehmen ist unbequem, aber klar: Wer sich allein auf Detektoren und Wasserzeichen verlässt, hat keinen verlässlichen Schutz. Provenance-Technik hilft vor allem dabei, die eigenen legitimen Inhalte als echt auszuweisen — nicht dabei, böswillige Fakes abzuwehren.

August rückt näher: Was Brüssel, Washington und Peking vorschreiben

Parallel zur technischen Eskalation zieht die Regulierung an — und für Unternehmen wird Kennzeichnung damit vom Reputations- zum Compliance-Thema. In der EU greifen ab dem 2. August 2026 die Transparenzpflichten aus Artikel 50 des AI Acts: Anbieter generativer KI müssen ihre Outputs maschinenlesbar als KI-generiert markieren, und wer realistische synthetische Inhalte (Deepfakes) erstellt, muss das offenlegen. Ein begleitender „Code of Practice“ mit einem einheitlichen EU-weiten Hinweis wird für Juni 2026 erwartet und dürfte faktisch zum Compliance-Maßstab werden. Jedes Unternehmen, das KI-Video produziert oder verbreitet, fällt damit in wenigen Wochen unter Kennzeichnungspflichten.

In den USA ist der Flickenteppich größer, aber er verdichtet sich. Der TAKE IT DOWN Act (unterzeichnet im Mai 2025) kriminalisiert nicht-einvernehmliche intime Bilder einschließlich „digitaler Fälschungen“ und verpflichtet Plattformen zu schnellem Entfernen; die einjährige Schonfrist läuft im Mai 2026 aus, erste Verurteilungen liegen vor. Der überparteiliche NO FAKES Act soll ein bundesweites Recht an der eigenen Stimme und am eigenen Abbild gegen unautorisierte „digitale Repliken“ schaffen — er ist noch nicht verabschiedet, genießt aber breite Unterstützung. China wiederum verlangt seit dem 1. September 2025 verbindlich zweierlei Kennzeichnung: ein für Nutzer sichtbares Label und ein implizites in den Metadaten.

Das Playbook: Rückruf, Codewort, Vier-Augen — und kein Vertrauen in bewegte Bilder

Die wichtigste organisatorische Erkenntnis ist zugleich die unbequemste: Stimme und Bewegtbild sind keine Identitätsnachweise mehr. Aus diesem Satz folgt ein konkretes Maßnahmenbündel, das jede Geschäftsführung kurzfristig umsetzen kann — und das wirksamer ist als jede Erkennungssoftware.

An erster Stelle steht die Out-of-Band-Verifikation bei Zahlungen: Jede sensible Zahlungsanweisung wird über eine zuvor hinterlegte, verifizierte Nummer rückbestätigt — niemals über den Kontakt, der im verdächtigen Call oder in der Mail genannt wird. Großbeträge brauchen ein Vier-Augen-Prinzip mit Zweitfreigabe. Eine klare Kanal-Policy hält fest, dass Zahlungsanweisungen über WhatsApp oder private Handynummern grundsätzlich nie gültig sind — und dass Mitarbeiter solche Anfragen ohne Konsequenzen ablehnen dürfen. Ergänzend helfen rotierende Codewörter: vorab vereinbarte Phrasen zur Authentifizierung mündlicher Anfragen, die nur über interne, sichere Kanäle geteilt werden und die ein Stimmklon nicht kennt.

Hinzu kommen drei flankierende Maßnahmen. Erstens Schulung: simulationsbasiert, rollenspezifisch und regelmäßig wiederholt — Anbieter generieren inzwischen sogar Trainings-Deepfakes der eigenen Führungskräfte, um den Ernstfall erfahrbar zu machen. Eine neue Angriffsfläche sind Deepfake-Bewerber in Video-Interviews, weshalb Recruiting Liveness-Checks braucht. Zweitens eine Provenance-Strategie für die eigenen Inhalte: Wer seine offiziellen Videos mit C2PA und SynthID signiert, schafft einen Echtheitsnachweis — ab August in der EU ohnehin Pflicht. Drittens ein Incident-Response-Playbook für synthetische Medien, das vor dem Ernstfall klärt, wer entscheidet, wer kommuniziert und wie forensisch gesichert wird.

Die Quintessenz für Entscheider lautet: Detektoren und Wasserzeichen sind sinnvolle Schichten, aber kein Fundament. Das Fundament sind Prozesse, die nicht auf das vertrauen, was man sieht und hört. Gemini Omni hat in dieser Woche gezeigt, wie billig und überzeugend der Klon geworden ist. Die gute Nachricht ist, dass die wirksamste Abwehr nichts mit Hochtechnologie zu tun hat — sondern mit einem Rückruf, einem Codewort und der schlichten Disziplin, einem bewegten Bild nicht mehr blind zu glauben.