OpenAI- und andere generative KI-Werkzeuge verändern auch Betrugsversuche. Gefälschte Rechnungen, nachgeahmte Stimmen, überzeugende Mails und präzise formulierte CEO-Anweisungen werden für KMU realistischer. Das Problem ist nicht nur Technik. Das Problem ist Geschwindigkeit: Eine Nachricht klingt plausibel, nennt ein echtes Projekt, passt zum Ton einer Führungsperson und fordert eine kleine Abweichung vom normalen Prozess. Genau dort braucht der Betrieb eine Stopplinie.
Die aktuelle Recherche zu KI, Phishing und Rechnungsbetrug zeigt: Sicherheitsregeln müssen näher an die alltäglichen Büroprozesse rücken. Ein Awareness-Poster reicht nicht. Entscheidend ist, ob die Person im Moment der Zahlung, Adressänderung oder Kundenzusage eine einfache Prüfroutine hat, die stärker ist als Druck, Hierarchie und Eile.
Für die Geschäftsführung ist das eine operative Nachricht: Nicht jede Mail muss misstrauisch gelesen werden, aber wenige Vorgänge müssen grundsätzlich anders laufen. Sobald Geld, Bankdaten, Zugangsdaten oder vertrauliche Unterlagen betroffen sind, zählt nicht mehr der Stil der Nachricht, sondern der bestätigte Prozess außerhalb dieser Nachricht.
Das neue Risiko ist nicht die schlechte Fälschung
Früher waren viele Betrugsmails leicht zu erkennen: falsche Sprache, merkwürdige Absender, grobe Fehler. Mit KI werden sie sauberer. Eine Mail kann die bisherige Kommunikation zusammenfassen, einen glaubwürdigen Grund nennen und eine kleine Änderung verlangen. Gerade kleine Unternehmen sind anfällig, weil die Wege kurz sind und Vertrauen oft informell funktioniert.
Das Ziel ist nicht Misstrauen gegen jede Nachricht. Das Ziel ist ein fester Prüfpunkt für wenige Hochrisiko-Aktionen. Neue Bankverbindung, ungewöhnlicher Betrag, eilige Zahlung, Änderung eines Lieferantenkontos, vertrauliche Unterlagen oder Bitte um Geheimhaltung: Diese Signale brauchen immer einen zweiten Kanal.
Die Zweikanal-Regel für KMU
Eine Zweikanal-Regel ist einfach: Was per E-Mail verlangt wird, wird nicht über denselben E-Mail-Verlauf bestätigt. Eine neue IBAN wird telefonisch über eine bekannte Nummer geprüft. Eine Zahlungsfreigabe wird im bestehenden Prozess bestätigt. Eine angebliche Führungsanweisung wird nicht über eine Antwort auf die verdächtige Nachricht abgesichert. Diese Regel wirkt banal, bis sie gebraucht wird.
- Nie: neue Bankdaten nur aus einer Mail übernehmen.
- Nie: eine eilige Zahlung wegen Hierarchiedruck außerhalb des Prozesses freigeben.
- Immer: bekannte Kontaktdaten aus Stammdaten nutzen, nicht aus der aktuellen Nachricht.
- Immer: Abweichung kurz protokollieren, auch wenn sie sich als harmlos erweist.
- Immer: Mitarbeitende loben, wenn sie bei Druck stoppen statt schnell zu gehorchen.
Ein realistischer Betrugsfall
Eine Buchhaltungsmitarbeiterin erhält eine Mail eines bekannten Lieferanten. Der Ton passt, die Signatur wirkt korrekt, die Rechnung bezieht sich auf ein echtes Projekt. Die einzige Änderung: eine neue Bankverbindung und die Bitte, noch heute zu zahlen. Ohne Stopplinie entsteht Druck. Mit Stopplinie ist der Ablauf klar: Zahlung pausieren, Lieferantenstammdaten öffnen, bekannte Nummer anrufen, Änderung im Vier-Augen-Prinzip erfassen, erst danach freigeben.
KI kann sogar helfen, solche Fälle vorzubereiten: Sie darf Mails nach Risikosignalen markieren, fehlende Belege nennen und eine interne Prüfliste anzeigen. Sie darf aber keine Zahlung als sicher bewerten und keine neue Bankverbindung übernehmen. Sicherheits-KI bleibt Assistenz, nicht Freigabeinstanz.
Der wichtigste Sicherheitsbeschluss dieser Woche
Ein KMU braucht dafür keine große Cyberstrategie. Es braucht einen Beschluss: Hochrisiko-Änderungen werden nie im Ursprungskanal bestätigt. Danach werden fünf Beispiele ins Team gegeben: IBAN, Eilzahlung, Lieferantenkonto, Kundendaten, vertraulicher Anhang. Wenn diese Beispiele sitzen, sinkt das Risiko deutlich. Die beste Reaktion auf KI-Betrug ist nicht Angst vor jeder Mail, sondern ein Prozess, der auch unter Druck hält.
Recherchebasis: Google-News-Recherche zu KI-Phishing, Rechnungsbetrug und KMU-Sicherheit.
Das könnte dich auch interessieren
Nächster Schritt
Was heisst das für Ihre Büroarbeit?
- Zeitfresser wählen: E-Mail, Offerten, Rechnungen, Ablage oder Kundenantworten.
- Wirtschaftlich prüfen: CHF 79 lohnen sich schon, wenn rund eine Stunde Bürozeit besser priorisiert wird.
- Bezahlten Start nutzen: Der Detailreport macht aus dem Artikel einen konkreten Startplan.
DACH-Hinweis: 10min KI Brief bleibt für KMU im gesamten DACH-Raum lesbar; konkrete Praxisangebote sind zuerst CH-first formuliert.