13 Min.
Führungskraft in einer Videokonferenz — beim Deepfake-Betrug sind alle Teilnehmer per künstlicher Intelligenz manipuliert und täuschend echt gefälscht

Deepfake-Videokonferenz: Wenn der ganze Videocall gefälscht ist

Jens Hagel
Jens Hagel in IT-Sicherheit

Inhalt in Kürze

  • Beim Ingenieurunternehmen Arup war in einer Videokonferenz jeder Teilnehmer außer dem Opfer ein Deepfake — der Mitarbeiter überwies daraufhin rund 25 Millionen US-Dollar (ca. 23 Mio. Euro).
  • Die manipulierte Bild- und Tonspur wurde mithilfe von künstlicher Intelligenz erstellt — aus früheren echten Videocall- und Audioaufnahmen erzeugte Fälschungen, deren Quellmaterial in fast jedem Unternehmen herumliegt.
  • Deepfakes erkennen Sie live nur unzuverlässig (Hand vors Gesicht, Profilansicht). Der einzige sichere Schutz ist es, jede Anweisung über einen zweiten Kanal zu verifizieren.
  • Der wirksamste Hebel für den Mittelstand ist organisatorisch: eine schriftliche Zahlungsfreigabe-Richtlinie mit Vier-Augen-Prinzip, Codewort und Pflicht-Rückruf.

Ein Mitarbeiter wird zu einer Videokonferenz eingeladen. Der Finanzvorstand ist dabei, mehrere Kollegen sitzen sichtbar mit am Tisch. Es geht um eine vertrauliche Transaktion. Am Ende überweist er 25 Millionen Dollar. Das Problem: Außer ihm selbst war in diesem Call niemand echt. Jeder Teilnehmer war ein Deepfake. Genau so verlor das Ingenieurunternehmen Arup Anfang 2024 in Hongkong umgerechnet rund 23 Millionen Euro. Betrug per Videokonferenz, bei dem Künstliche Intelligenz ganze Personen in Echtzeit fälscht, ist keine Science-Fiction und kein reines Konzernproblem — die Methode ist günstig, skalierbar und längst beim Mittelstand angekommen. Wer die potenziellen Gefahren unterschätzt, riskiert sechs- bis siebenstellige Schäden. Wer Zahlungen freigibt, braucht ab sofort einen Prozess, der auch dann hält, wenn das Gesicht im Call überzeugt.

Der Arup-Fall: Ein Videocall, in dem nur das Opfer echt war

Beim Deepfake-Videokonferenz-Betrug gegen Arup war buchstäblich jede Person im Call außer dem Mitarbeiter gefälscht — und der finanzielle Schaden lag bei rund 25 Millionen US-Dollar. Der Angriff lief in Hongkong, der Mitarbeiter tätigte 15 separate Überweisungen auf fünf lokale Bankkonten. Der vermeintliche britische Finanzvorstand und mehrere „Kollegen” im Meeting waren samt Bild und Stimme mit künstlicher Intelligenz erzeugt. Mithilfe von Deepfake-Technologie konnten die Kriminellen eine echte Führungskraft — den Chief Executive Officer und seine Kollegen — so präzise imitieren, dass selbst vertraute Mimik und Stimme täuschend echt wirkten. Solche Fälschungen sind eine erhebliche Gefahr, weil sie Personen in Situationen zeigen, die nie stattgefunden haben.

Bestätigt ist der Fall von der Hongkonger Polizei und von Arups eigenem IT-Chef. heise hat ihn im Detail dokumentiert: eine Videokonferenz voller KI-Klone, die einen Angestellten zu Millionenüberweisungen brachte. Auch der Guardian-Bericht zum Arup-Deepfake-Betrug in Hongkong nennt dieselben Eckdaten. Lehrreich ist der Fall, weil das Opfer nicht naiv war: Es war zunächst misstrauisch — und genau die realistische Videokonferenz mit den vertrauten Gesichtern räumte die Zweifel aus.

Wie der Angriff ablief, Schritt für Schritt

Der entscheidende Hebel war nicht die Technik allein, sondern die Kombination aus gefälschtem Bild und dem klassischen Druckmuster „vertraulich, dringend, von oben”. Der Ablauf folgte einem Drehbuch, das sich in jedem Unternehmen nachstellen lässt.

  1. Der Köder: Eine Phishing-Nachricht, angeblich vom Finanzvorstand, lädt zu einer „vertraulichen Transaktion" ein. Der Mitarbeiter ist zunächst skeptisch, weil der Vorgang nach einem Geheimnis klingt.
  2. Der Vertrauensbruch: In der Videokonferenz erscheinen der CFO und mehrere bekannte Kollegen — alle Deepfakes. Die vertrauten Gesichter beseitigen die Zweifel des Mitarbeiters.
  3. Die Ausführung: Unter dem Druck von Autorität und Dringlichkeit gibt der Mitarbeiter 15 Überweisungen auf fünf Konten frei. Erst beim späteren Rückkontakt mit der Zentrale fliegt der Betrug auf.
Mitarbeiter in einem Videocall — manipulierte, KI-generierte Deepfakes erkennen die wenigsten, weil die Fälschungen täuschend echt wirken
Ein überzeugender Videocall ersetzt keine Verifikation: Bei Arup beseitigten gerade die vertrauten Gesichter die letzten Zweifel des Opfers.

Das Quellmaterial für die Fälschung war banal: frühere echte Videocall-Aufnahmen, öffentlich verfügbare Audioaufnahmen und Medieninhalte aus dem Netz. Aus diesen Schnipseln entstanden in Echtzeit überzeugend wirkende, KI-generierte Gesichter und Stimmen. Mit den KI-generierten Modellen kann man eine Person beliebige Aussagen treffen lassen. Um daraus neue Audioaufnahmen zu erstellen, genügt ein kurzes Sample — der Einsatz von Deepfake-Technologie braucht nur wenige Minuten Material. Niemand musste die Firma hacken. Es reichte, was ohnehin im Umlauf war.

Kein Einzelfall: WPP, Ferrari, LastPass

Arup ist der bekannteste, aber nicht der einzige Fall — Angriffe auf CEOs kommen immer häufiger vor, und die übrigen Beispiele zeigen, dass Wachsamkeit funktioniert. Bei der Werbeholding WPP scheiterte 2024 ein Deepfake-Versuch gegen den CEO in einem Teams-Meeting. Bei Ferrari flog ein Deepfake-Anruf auf, weil ein Mitarbeiter eine persönliche Kontrollfrage stellte, die die KI nicht beantworten konnte. Und bei LastPass erkannte ein Mitarbeiter einen Audio-Deepfake des CEO über WhatsApp an den Warnzeichen und ignorierte ihn.

25 Mio.
US-Dollar Schaden bei Arup
15
Überweisungen auf 5 Konten
0
echte Teilnehmer außer dem Opfer

Das Muster ist immer gleich: Autorität, Dringlichkeit, ein ungewöhnlicher Kanal und Druck zur Geheimhaltung. Mal sollen Mitarbeiter Geld überweisen, mal sensible Daten oder vertrauliche Informationen preisgeben — der Einsatz von Deepfakes reicht vom CEO-Fraud über Erpressung bis hin zur Verbreitung von Desinformation. Die Deepfake Technologie eignet sich ebenso für Kampagnen, die über verschiedene Kommunikationskanäle gezielt falsche Informationen zu verbreiten versuchen, um das Vertrauen in eine Marke zu untergraben und das Unternehmen zu schädigen. Wer dieses Muster kennt, hat schon die halbe Abwehr — die Methode ist länderunabhängig und macht an der Hamburger Stadtgrenze nicht halt.

Bedrohungsszenarien: Warum Kriminelle gerade den Mittelstand ins Visier nehmen

Der Mittelstand ist kein zu kleines Ziel — im Gegenteil: flache Hierarchien und kurze Wege machen schnelle Einzelfreigaben möglich, und genau die wollen die Kriminellen. Eine Deepfake-Erstellung mit Deepfake-Technologie ist heute günstig und braucht nur wenig öffentliches Quellmaterial. Norddeutsche Betriebe mit internationalen Zahlungen — Spedition, Maschinenbau, Großhandel — sind damit ein lohnendes Ziel, denn ein einziger erfolgreicher Angriff kann ein Unternehmen finanziell erheblich schädigen.

Dass die Bedrohung durch Deepfakes real ist, zeigt die Wirtschaftsschutz-Studie 2025 von Bitkom und Verfassungsschutz: 11 Prozent der Unternehmen berichten bereits von Deepfake-Angriffen, und bei 4 Prozent ist daraus schon ein Schaden entstanden — Tendenz steigend, da KI-Werkzeuge immer breiter verfügbar werden. Besonders gefährdet sind Führungskräfte, deren Bild und Stimme öffentlich auffindbar sind, weil sich genau diese Person leicht imitieren lässt. Insgesamt waren laut Bitkom 87 Prozent der deutschen Unternehmen von Angriffen betroffen. Noch ein bitterer Punkt: Die Cyberversicherung hilft hier oft nicht. CEO-Fraud durch Täuschung ist in vielen Standardpolicen ausgeschlossen — der „freiwillige” Abfluss von Vermögenswerten gehört meist in eine Vertrauensschadenversicherung.

Versicherungslücke prüfen:

Viele Geschäftsführer gehen davon aus, ihre Cyberpolice fange einen solchen Schaden auf. Häufig ist das ein Irrtum: Wird Geld nach einer Täuschung freiwillig überwiesen, greift der Cyber-Schutz oft nicht. Lassen Sie sich von Ihrem Versicherer schriftlich bestätigen, ob Social Engineering und CEO-Fraud abgedeckt sind — bevor der Ernstfall die Antwort liefert.

Deepfakes erkennen: Woran Sie einen manipulierten Videocall live bemerken

Was die Gefahren von Deepfakes so heimtückisch macht: Die künstliche Intelligenz dahinter wird Monat für Monat besser, und es ist heute trivial, überzeugende Fälschungen zu erstellen. Es gibt zwar Live-Tests, mit denen Sie Deepfakes erkennen können — aber Sie dürfen sich nicht darauf verlassen, weil bessere Modelle sie bereits bestehen. Versuchen Sie trotzdem, Deepfakes zu erkennen, achten Sie auf die folgenden Merkmale. Aktuelle, KI-generierte Fälschungen versagen oft, wenn das Gesicht teilweise verdeckt oder ins Profil gedreht wird, weil die künstlich erzeugte Mimik vor allem auf die Frontalansicht trainiert ist. Dasselbe gilt für manipulierte Audioaufnahmen: Eine geklonte Stimme klingt in ruhigen Sätzen perfekt, gerät aber bei spontanen, dynamischen Rückfragen ins Stocken.

ErkennungsmerkmalWorauf Sie live achtenVerlässlichkeit
Hand vors Gesicht / ProfilansichtBild flackert, Gesicht „verrutscht” oder löst sich aufmittel, sinkt mit besseren Modellen
Blinzeln & MimikUnnatürlich selten, starr oder zeitversetztmittel
Lippen-SynchronisationTon und Mundbewegung laufen auseinandermittel
StimmeRoboterhaft, monoton, seltsame Betonungniedrig bis mittel
Latenz / ReaktionAuffällige Verzögerung, fällt nicht spontan ins Wortniedrig
Vorsicht Falle:

Diese Tricks sind eine unterstützende Hilfe, kein Beweis. Wer sich nur auf „Das sah echt aus" verlässt, hat denselben Fehler gemacht wie das Opfer bei Arup. Die Live-Erkennung ersetzt niemals die Verifikation über einen zweiten Kanal — sie ergänzt sie höchstens.

Auch das BSI, das Bundesamt für Sicherheit in der Informationstechnik, weist in seinen Empfehlungen zu Deepfakes darauf hin, dass Angreifer mit per Deep Learning geklonten Stimmen und Gesichtern gezielt Geldtransaktionen auslösen — und dass technische Erkennung allein nicht ausreicht. Damit sind Deepfakes längst ein Kernthema der Informationssicherheit.

Der eigentliche Schutz: Out-of-Band-Verifikation

Der einzige verlässliche Schutz ist eine einfache Regel: Die Identität wird niemals über denselben Kanal geprüft, über den die Anweisung kam. Klingt banal, hätte aber jeden der genannten Fälle verhindert. Das nennt man Out-of-Band-Verifikation — Sie verifizieren die Identität über einen zweiten, unabhängigen Kommunikationskanal. Sobald jemand zu einer Zahlung drängt oder sensible Informationen abfragt, ist genau dieser Kanalwechsel sensibel zu handhaben und die Verifizierung Pflicht. Ein gefälschter Videocall kann Sie unter Druck setzen, sensible Informationen preiszugeben — der zweite Kanal stoppt ihn trotzdem.

  • Rückruf über die bekannte Nummer. Rufen Sie zurück — aber über eine im System hinterlegte Nummer, niemals über die Nummer aus der Mail oder der Kalendereinladung.
  • Vereinbartes Codewort. Für heikle Anweisungen ein gemeinsames Codewort festlegen, das nur echte Personen kennen und das nicht öffentlich auffindbar ist.
  • Persönliche Kontrollfrage. Eine Frage, die nur die echte Person beantworten kann — genau so vereitelte Ferrari den Angriff auf den eigenen CEO.
  • Zweiter Kanal Pflicht. Bei jeder ungewöhnlichen Zahlung oder Bankdaten-Änderung: ein Kanalwechsel ist nicht optional, sondern Vorschrift.

Diese vier Punkte kosten kein Werkzeug und keine Lizenz — nur die Disziplin, sie auch unter Druck durchzuziehen. Wie eine technisch saubere Identitätsprüfung dazu passt, zeigen unsere effektiven Strategien für Multi-Faktor-Authentifizierung in Unternehmen — denn die vorgelagerte Phishing-Mail scheitert oft schon an einer gut gehärteten Anmeldung.

Schutzmaßnahmen gegen Deepfake-Betrug: die Zahlungsfreigabe-Richtlinie, die jeder Betrieb braucht

Eine Zahlungsfreigabe-Richtlinie ist die schriftliche Antwort auf die Frage „Wer darf ab welchem Betrag wie freigeben?” — und sie ist die wirksamste Einzelmaßnahme gegen Deepfake-Betrug. Technik allein reicht nicht; gegen die Manipulation des Menschen hilft eine Kombination aus technischen und organisatorischen Maßnahmen.

Konkret gehören vier Bausteine in die Richtlinie: das Vier-Augen-Prinzip ab einem definierten Schwellenwert, feste Freigabe-Schwellen mit klarem Eskalationsweg, ein Pflicht-Rückruf bei jeder Änderung von Bankverbindungen oder bei Dringlichkeit — und eine Kultur, in der Mitarbeiter Anweisungen „von oben” hinterfragen dürfen, ohne Konsequenzen zu fürchten. Die technische Flanke (MFA, gehärtete Microsoft-365-Umgebung, Phishing-Training) senkt die Trefferquote der vorgelagerten Mail; die laufende Sensibilisierung der Belegschaft schließt die menschliche Lücke; den Rest erledigt der Prozess.

Ob Sie 5 oder 500 Mitarbeiter haben — einem KI-gesteuerten Massenangriff ist das völlig egal. Die verschlüsseln Sie automatisiert, einfach weil sie können. Deshalb braucht heute jedes Unternehmen einen Grundschutz.

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

Das Sympathische an dieser Policy: Sie ist kein IT-Projekt, sondern eine Geschäftsführer-Entscheidung. Den technischen Unterbau richten wir im Rahmen unserer Cybersecurity für den Mittelstand in Hamburg ein, der laufende Schutz läuft über unsere Managed IT Services zum Festpreis. Wer eine eigene IT-Abteilung hat, kann den fehlenden Security-Teil über Co-Managed IT gezielt ergänzen.

Aus der Praxis

Hinter dem Deepfake steckt immer dieselbe Mechanik — Social Engineering, also die gezielte Manipulation von Menschen statt von Technik. Mein Kollege Philip bringt es im Kern auf den Punkt:

Die meisten Menschen sind in der Regel neugierig oder haben bestimmte Ängste und bauen manchmal zu schnell Vertrauen auf.

Philip Kraatz Philip KraatzGeschäftsführer, hagel IT-Services GmbH

Genau dieses zu schnelle Vertrauen ist die Schwachstelle, auf die ein gefälschter Videocall zielt. In Erstgesprächen hören wir oft eine ehrliche Selbsteinschätzung, die jedem Geschäftsführer bekannt vorkommt:

Wir wären ein leichtes Opfer — das weiß ich. Da hätte ich gerne einen verlässlichen Partner, der davon mehr versteht als ich als Laie.

Frank Schröder · Maschinenbau/Hydraulik, 35 Mitarbeiter

Das ist keine Schwäche, sondern Realismus. Niemand muss Deepfake-Experte werden. Man muss nur einen Prozess haben, der greift, bevor das Geld weg ist. Mehr zur Mechanik dahinter steht in unserem Überblick zu den 7 gängigen Arten von Social Engineering und im Beitrag, wie Sie Phishing erkennen und Social Engineering abwehren.

In drei Schritten startklar

Der schnellste Weg von „könnte uns auch treffen” zu „läuft ins Leere” sind drei konkrete Schritte — und der dritte ist der wichtigste. Ein Prozess, den niemand geübt hat, hält dem Druck eines echten Anrufs selten stand.

  1. Prozess schriftlich festlegen. Zahlungsfreigabe inklusive Rückruf-Pflicht und Schwellenwerten dokumentieren — kurz, klar, für jeden im Finanzbereich verbindlich.
  2. Codewort und Rückrufnummern hinterlegen. Bekannte Nummern und ein vereinbartes Codewort festlegen und im Team kommunizieren, ohne sie öffentlich auffindbar zu machen.
  3. Einmal real durchspielen. Ein Testanruf, der absichtlich Druck und Dringlichkeit macht — so merken Sie, ob der Prozess im Ernstfall trägt oder nur auf dem Papier steht.

Wer beim Thema Compliance und Meldepflichten ohnehin schon prüft, wo das eigene Unternehmen steht, kombiniert das sinnvoll mit unserem NIS2-Betroffenheits-Check und der NIS2- & Compliance-Beratung für KMU — denn ein dokumentierter Freigabeprozess ist genau die Art organisatorischer Maßnahme, die Aufsicht und Versicherer sehen wollen. Auch für klassische Telefonbetrugsmaschen lohnt der Blick in unseren Beitrag dazu, was Sie über VoIP-Phishing wissen sollten.

Das Wichtigste: Ein Deepfake-Videocall kann jedes vertraute Gesicht perfekt nachbauen — aber er kann keinen Rückruf über eine bekannte Nummer und kein vereinbartes Codewort fälschen. Der Schutz liegt nicht im Hinsehen, sondern in einer schriftlichen Zahlungsfreigabe-Policy mit Vier-Augen-Prinzip und Pflicht-Verifikation über einen zweiten Kanal.

Ihr nächster Schritt

Ein gefälschter Videocall läuft ins Leere, sobald drei Dinge stehen: ein schriftlicher Freigabeprozess, eine Rückruf-Pflicht über bekannte Nummern und ein Team, das auch unter Druck nachfragen darf. Das ist in wenigen Tagen aufgesetzt — für Unternehmen in Hamburg und ganz Norddeutschland. Wir prüfen gemeinsam Ihre Zahlungsfreigabe-Prozesse und Ihre Microsoft-365-Härtung und richten Vier-Augen-Prinzip, Rückruf-Verifikation und Phishing-Training so ein, dass die Fälschung folgenlos bleibt. Mehr zu unserem Heimatmarkt finden Sie unter IT-Service Hamburg, einen Gesamtüberblick gibt die Startseite von hagel IT.

Zahlungsfreigabe-Prozess absichern, bevor der nächste Videocall überzeugt.

15 Minuten, kostenlos, ohne Vertriebsdruck. Wir sehen uns Ihre Freigabe-Prozesse und M365-Härtung an und sagen Ihnen, wo ein Deepfake bei Ihnen durchkäme.

Erstgespräch buchen →
Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Thorsten Eckel

„Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.“

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
Case Study Hamburg: Von heterogener IT zur sicheren Kanzlei-Umgebung in 30 Tagen
Fallstudie · Rechtsanwaltskanzlei
Case Study Hamburg: Von heterogener IT zur sicheren Kanzlei-Umgebung in 30 Tagen
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Sicherheit

Sicher — ohne dass Sie Experte sein müssen.

Verschlüsselung, Backup und Zwei-Faktor laufen im Hintergrund und werden monatlich geprüft. Fragt jemand nach — Versicherung, Kunde oder Behörde — haben Sie den Nachweis auf Knopfdruck.

Kjello · Sicherheits-Report
Geprüft & lückenlos dokumentiert
Sicherheits-Vertrauensanker im Portal: Audit-Trail lückenlos geprüft und Zugriffs-Delegation aktiv — beide grün bestätigt
Ergebnis
Nachweis auf Knopfdruck
Was Sie tun
Nichts
Was wir & die Automatik tun
Einrichten · überwachen · monatlich prüfen · nachweisen
Früher — Sicherheit auf Hoffnung
  • Hoffen, dass nichts passiert
  • Backup nie wirklich getestet
  • Kein Nachweis, wenn jemand fragt
  • Blindflug bei Verschlüsselung und Co.
Ein Risiko, das keiner sehen will

„Muss ich Security verstehen?“ — Nein. Sie müssen nichts einstellen und nichts überwachen. Das ist unser Job — Sie bekommen nur den grünen Haken.

Häufig gestellte Fragen

Ein Mitarbeiter wurde zu einer Videokonferenz eingeladen, in der der vermeintliche Finanzvorstand und mehrere Kollegen mitwirkten. Alle außer ihm selbst waren Deepfakes, erstellt aus früheren echten Videocalls. Er tätigte 15 Überweisungen über zusammen rund 25 Mio. US-Dollar auf fünf Konten in Hongkong.

Deepfakes erkennen Sie live nicht zuverlässig. Tricks wie das Gegenüber bitten, die Hand vors Gesicht zu bewegen oder sich ins Profil zu drehen, helfen — sind aber kein sicherer Test, weil bessere Modelle mit künstlicher Intelligenz sie bestehen. Auch spezielle Software zur Deepfake-Erkennung hinkt der Fälschung meist hinterher. Der verlässliche Schutz ist es, die Identität über einen unabhängigen Kanal zu verifizieren, nicht das Hinsehen.

Sie prüfen die Identität über einen anderen Kanal als den, über den die Anweisung kam. Praktisch: Rückruf über eine bekannte, hinterlegte Nummer, ein vereinbartes Codewort oder eine Kontrollfrage, die nur die echte Person beantworten kann. Niemals über die Nummer aus der Mail oder Einladung.

Meist nicht aus der Standardpolice. Die freiwillige Überweisung nach Täuschung fällt häufig unter den Ausschluss „Abfluss von Vermögenswerten“. Dafür braucht es in der Regel eine Vertrauensschadenversicherung oder einen Zusatzbaustein gegen Social Engineering. Sprechen Sie das mit Ihrem Versicherer durch.

Auch für den Mittelstand. Deepfakes sind günstig zu erstellen, brauchen wenig öffentliches Material und treffen oft Betriebe mit flachen Hierarchien und schnellen Einzelfreigaben. Kriminelle imitieren dabei gezielt eine Führungskraft, deren Bild und Stimme online auffindbar sind. Internationale Zahlungen erhöhen das Risiko, ein Unternehmen finanziell zu schädigen, zusätzlich.

Eine schriftliche Zahlungsfreigabe-Richtlinie mit Vier-Augen-Prinzip, festen Schwellenwerten und Pflicht-Rückruf bei Dringlichkeit oder Geheimhaltung. Flankiert wird sie durch technische und organisatorische Maßnahmen wie MFA bzw. Zwei-Faktor-Authentisierung und die laufende Sensibilisierung der Mitarbeiter. Danach das Ganze einmal real durchspielen — am besten mit einem Testanruf, der absichtlich Druck macht.