Der gefälschte Bewerber:
wenn KI-Deepfakes ins Vorstellungsgespräch kommen
Ein Mensch im Video ist nicht mehr automatisch der Mensch in den Unterlagen. Gesicht und Stimme lassen sich in Echtzeit fälschen — das verändert, worauf sich ein Bewerbungsgespräch verlassen kann.
Ein Kandidat erscheint zweimal im Video-Gespräch, beantwortet die Fragen souverän, der Lebenslauf passt — und Wochen später, im Onboarding, stellt sich heraus, dass die Person eine andere ist als die im Gespräch. Solche Fälle sind kein Science-Fiction-Szenario mehr. Im Remote-Recruiting treten Bewerber auf, deren Gesicht und Stimme im laufenden Video künstlich erzeugt oder verändert sind.
Für Unternehmen, die Stellen ortsunabhängig besetzen, verschiebt das eine stille Annahme: dass die Person, die man im Video sieht und hört, die Person ist, die sich beworben hat. Diese Annahme trägt nicht mehr zuverlässig. Dieser Beitrag ordnet ein, wie der Betrug funktioniert, woran er sich erkennen lässt und wie ein Bewerbungsprozess aufgebaut sein muss, der ihn ins Leere laufen lässt — ohne echte Bewerber unter Generalverdacht zu stellen.
Die Verifizierungs-Strecke im Remote-Recruiting
Vier Prüfpunkte, an denen ein gefälschter Bewerber auffällt
Wer keinen dieser Prüfpunkte einbaut, verlässt sich allein auf den Eindruck im Video
Wie der gefälschte Bewerber funktioniert
Im Kern ist die Masche einfach beschrieben: Während des Video-Gesprächs wird das Bild der Webcam in Echtzeit manipuliert. Über das echte Gesicht der sprechenden Person legt sich ein fremdes — das Gesicht aus dem Lebenslauf oder ein vollständig erfundenes. Parallel kann die Stimme über eine künstlich erzeugte Klangfarbe verändert werden. Was die Gegenseite sieht und hört, wirkt wie eine reale Person, die auf ihre Fragen antwortet.
In der Praxis treten zwei Varianten auf. In der ersten existiert die gezeigte Person gar nicht: Profilbild, Lebenslauf und Auftritt sind konstruiert. In der zweiten gehört die Identität einem realen Menschen, dessen Daten missbraucht werden — der Lebenslauf einer echten, qualifizierten Person dient als Fassade, während im Gespräch jemand anderes sitzt. Die zweite Variante ist die gefährlichere, weil sie eine spätere Hintergrundprüfung übersteht.
Die technische Grundlage dafür ist dieselbe wie bei künstlichen Avataren und synthetischen Sprechern, die inzwischen auch in der Unternehmenskommunikation auftauchen. Wie weit diese Technik gediehen ist und wo ihre rechtlichen Grenzen liegen, haben wir im Beitrag zu KI-Avataren und synthetischen Sprechern ausführlich eingeordnet.
„Wir haben die Person ja im Video gesehen." Ein Video-Gespräch belegt, dass jemand spricht — nicht, wer spricht. Solange im gesamten Auswahlprozess kein Punkt vorgesehen ist, an dem die Identität tatsächlich geprüft wird, bleibt der sichtbare Eindruck die einzige „Prüfung". Und genau die lässt sich fälschen.
Warum das Problem gerade jetzt entsteht
Drei Entwicklungen treffen aufeinander. Erstens ist die Remote-Bewerbung zum Normalfall geworden: Erstgespräche finden per Video statt, ein persönliches Treffen verschiebt sich oft auf einen späten Zeitpunkt oder entfällt ganz. Zweitens sind die Werkzeuge zur Bild- und Stimmfälschung von spezialisierten Anwendungen zu breit verfügbarer Software geworden, die in Echtzeit arbeitet.
Drittens genügt für eine überzeugende Stimm-Fälschung bereits eine kurze Tonaufnahme. Dieselbe Technik, die hinter dem Betrug am Telefon steht, wirkt auch im Bewerbungsgespräch. Wie schnell aus wenigen Sekunden Material eine täuschend echte Stimme wird, beschreibt unser Beitrag zum Stimmklon-Betrug am Telefon — die Mechanik ist dieselbe, nur der Anlass ein anderer.
Hinzu kommt ein struktureller Faktor: Recruiting steht unter Zeitdruck. Offene Stellen sollen schnell besetzt werden, der Bewerbermarkt ist eng, und ein freundlicher, gut vorbereiteter Kandidat weckt selten Misstrauen. Genau diese Kombination aus Tempo und Wohlwollen ist die Lücke, auf die der Betrug setzt.
Worauf es die Täter abgesehen haben
Ein gefälschter Bewerber ist kein Selbstzweck. Hinter dem Aufwand steht in der Regel eines von drei Zielen — und je nach Ziel ist der angerichtete Schaden unterschiedlich.
- Zugang zu Systemen und Daten: Die Anstellung ist nur das Mittel. Das eigentliche Ziel ist der legitime Zugriff auf interne Systeme, Kundendaten oder Entwicklungsumgebungen.
- Lohn- und Abrechnungsbetrug: Eine bezahlte Remote-Stelle, deren Arbeit kaum oder durch Dritte erbracht wird — teils mehrere Anstellungen parallel unter verschiedenen Identitäten.
- Umgehung von Prüfungen: Eine reale, unbescholtene Identität dient als Fassade, um Hintergrund- und Qualifikationsprüfungen zu bestehen, die die tatsächlich handelnde Person nicht bestehen würde.
Besonders das erste Motiv verdient Aufmerksamkeit, weil der Schaden erst nach der Einstellung entsteht — über Zugänge, die man dem neuen Kollegen selbstverständlich einräumt. Damit reiht sich der gefälschte Bewerber in dieselbe Logik ein wie andere Formen des Social Engineering, etwa die Chef-Masche mit gefälschten Eil-Überweisungen: Nicht eine technische Lücke wird ausgenutzt, sondern ein eingespielter, vertrauensvoller Ablauf.
Anders als bei einer Phishing-Mail, die sofort auffliegt oder ins Leere läuft, wirkt ein gefälschter Bewerber langsam: Er wird eingestellt, eingearbeitet und mit Zugängen ausgestattet. Die kritische Schwelle ist deshalb nicht das Gespräch, sondern der Moment, in dem aus einem Kandidaten ein Mensch mit Systemzugriff wird.
Warnsignale im Video-Gespräch
Echtzeit-Fälschungen sind gut, aber nicht perfekt. Die Schwächen zeigen sich dort, wo die Software mit unvorhergesehenen Bewegungen oder schwierigen Bildsituationen zurechtkommen muss. Wichtig vorab: Ein einzelnes Anzeichen kann auch eine schlechte Verbindung oder eine günstige Webcam sein. Erst die Häufung gibt einen belastbaren Hinweis.
Technische Auffälligkeiten
- Lippen und Ton: eine leichte, wiederkehrende Verzögerung zwischen Mundbewegung und gesprochenem Wort
- Ränder am Gesicht: Flackern oder Verzerrung, sobald eine Hand, eine Brille oder ein Mikrofon vor das Gesicht gerät
- Mimik und Blinzeln: ungewöhnlich starre Partien, unnatürliches oder ausbleibendes Blinzeln
- Licht und Kanten: Beleuchtung im Gesicht, die nicht zum übrigen Raum passt, oder unscharfe Übergänge am Haaransatz
Auffälligkeiten im Verhalten
- Ausweichen, wenn um eine spontane Bewegung gebeten wird (Kopf drehen, aufstehen, näher an die Kamera)
- Hartnäckiges Festhalten an einer starren Kameraposition und festem Bildausschnitt
- Antworten, die auswendig gelernt wirken und bei Nachfragen außerhalb des Skripts ins Stocken geraten
- Weigerung, kurzfristig auf einen anderen Kanal oder eine Tonverbindung zu wechseln
Warnsignale in Unterlagen und Ablauf
Nicht jeder Hinweis liegt im Bild. Häufig fällt schon vor oder neben dem Gespräch etwas aus dem Rahmen — wenn man systematisch darauf achtet, statt es als Einzelheit abzutun.
- Berufsprofile, die erst kürzlich angelegt wurden und kaum Verbindungen oder Verlauf aufweisen
- Widersprüche zwischen den Angaben im Lebenslauf und den Antworten im Gespräch
- Eine Auszahlungs- oder Kontoverbindung, die nicht zum angegebenen Namen oder Wohnort passt
- Ein konsequentes Vermeiden jedes persönlichen Termins, auch wenn er naheläge
- Wechselnde oder schwer überprüfbare Erreichbarkeiten und Referenzen
Keiner dieser Punkte ist für sich ein Beweis — ein frisch erstelltes Profil etwa ist bei Berufseinsteigern normal. Entscheidend ist das Muster: Treten mehrere Auffälligkeiten gemeinsam mit Signalen aus dem Video auf, ist das der Moment, den Prozess bewusst zu verlangsamen statt zu beschleunigen.
Wie sich Identität im Remote-Prozess prüfen lässt
Die gute Nachricht: Man muss kein Technik-Experte sein, um den Betrug zu erschweren. Die wirksamsten Mittel sind organisatorisch und für jeden Bewerber gleich zumutbar.
Spontane Live-Elemente
Eine Echtzeit-Fälschung lebt von vorhersehbaren Bildsituationen. Eine kurze, unangekündigte Bitte durchbricht das: die Hand langsam vor dem Gesicht vorbeiführen, den Kopf deutlich zur Seite drehen, aufstehen oder den Bildausschnitt verändern. Diese Aufgaben sind harmlos und für echte Bewerber unproblematisch — eine manipulierte Übertragung gerät dabei sichtbar an ihre Grenzen.
Der Medienbruch
Ein zweiter, nicht vorbereiteter Kanal ist eine der stärksten Gegenproben: ein kurzer, unangekündigter Rückruf zu einem späteren Zeitpunkt, ein Wechsel der Gesprächsform oder eine spontane Tonverbindung. Wer eine aufwändig vorbereitete Inszenierung betreibt, kommt mit dem Unerwarteten schlechter zurecht als mit dem geplanten Termin.
Formale Identitätsprüfung am richtigen Punkt
Eine dokumentierte Identitätsprüfung über ein etabliertes Verfahren gehört nicht ins erste Kennenlern-Gespräch, sondern an die Schwelle zum Vertragsschluss — datensparsam, verhältnismäßig und nachvollziehbar dokumentiert. Welche Daten dabei erhoben werden dürfen, ist eine datenschutzrechtliche Frage, die mit der eigenen Rechtsberatung abzustimmen ist.
Gestufte Zugänge beim Onboarding
Der wirksamste Schutz greift dort, wo der eigentliche Schaden droht: Systemzugänge werden erst eingeräumt, nachdem die Identität bestätigt ist, und auch dann schrittweise statt auf einen Schlag. Das ist dieselbe saubere Zugangs-Logik, die auch beim Austritt eines Mitarbeiters zählt.
Legen Sie eine einzige spontane Live-Aufgabe als festen Bestandteil jedes Video-Gesprächs fest — für alle Bewerber gleich, freundlich formuliert und nicht vorab angekündigt. So wird die Prüfung zur Routine statt zur Ausnahme, niemand fühlt sich vorgeführt, und eine Fälschung trifft genau an ihrer schwächsten Stelle auf Widerstand.
Den Bewerbungsprozess widerstandsfähig aufstellen
Einzelne Tricks helfen wenig, wenn sie von der Tagesform abhängen. Belastbar wird der Schutz erst, wenn er Teil eines festen Ablaufs ist — eines Ablaufs, der für jeden Bewerber gleich gilt und damit auch rechtlich und menschlich fair bleibt.
- Einheitlicher, dokumentierter Ablauf: Derselbe Prozess für alle Kandidaten. Abweichungen fallen nur auf, wenn es eine Norm gibt.
- Mindestens ein Live-Element je Stufe: In jeder Gesprächsrunde eine spontane Interaktion, die sich nicht vorab proben lässt.
- Ein Medienbruch vor der Zusage: Spätestens vor der Entscheidung ein zweiter, unangekündigter Kontakt über einen anderen Kanal.
- Identitätsprüfung an der Vertragsschwelle: Formale Prüfung, wenn ein Abschluss ansteht — datensparsam und dokumentiert.
- Vier-Augen-Prinzip bei Schlüsselrollen: Stellen mit Zugriff auf Systeme, Daten oder Finanzen werden nie von einer einzelnen Person allein entschieden.
- Identitäts-Gate vor dem ersten Zugang: Systemzugänge erst nach bestätigter Identität, gestuft statt auf einmal.
Dieser Aufbau ist kein Misstrauensvotum gegen Bewerber, sondern Teil eines professionellen Recruitings — so wie eine durchdachte Karriereseite und ein klarer Bewerbungsweg ohnehin zum Auftritt gehören. Wie ein solcher Weg aufgebaut wird, beschreibt unser Beitrag zur Karriereseite als Recruiting-Motor.
Spontane Interaktion in jedem Video-Gespräch, für alle gleich
Unangekündigte Gegenprobe vor der Zusage
Etabliertes Verfahren, datensparsam und dokumentiert
Gestufte Freigabe statt Vollzugriff am ersten Tag
Die häufigsten Lücken im Remote-Recruiting
Wo der Betrug gelingt, fehlt fast immer dieselbe Handvoll Prüfpunkte. Die ersten drei betreffen den Kern: dass Identität und Zugang nie aneinander gekoppelt werden.
Nur vorbereitete oder aufgezeichnete Antworten ohne spontane Interaktion
Der sichtbare Eindruck im Video bleibt die einzige „Prüfung"
Vollzugriff auf Systeme und Daten ab dem ersten Tag
Jedes Gespräch läuft anders — Abweichungen fallen nicht auf
Stellen mit Systemzugriff ohne zweite prüfende Person besetzt
Punkte 1 bis 3 sind die eigentliche Lücke: Solange Identität und Systemzugang nie verknüpft werden, entscheidet allein der Eindruck im Video.
Was bei konkretem Verdacht zu tun ist
Verdichten sich die Anzeichen, ist der erste Reflex oft der falsche: die Person im laufenden Gespräch zur Rede stellen. Sinnvoller ist ein geordnetes Vorgehen, das den Fall dokumentiert und die eigene Position nicht durch eine vorschnelle Konfrontation schwächt.
- Ruhe bewahren, nicht konfrontieren: Das Gespräch sachlich beenden, ohne den Verdacht offenzulegen.
- Sachstand schriftlich festhalten: Auffälligkeiten, Zeitpunkte und vorhandene Unterlagen dokumentieren.
- Zugänge prüfen und sichern: Falls bereits Zugriff bestand, betroffene Zugänge nach einem geordneten Verfahren aussetzen.
- Verantwortliche einbinden: Personalverantwortung, IT-Sicherheit und gegebenenfalls Geschäftsführung intern informieren.
- Rechtliche Bewertung einholen: Arbeits-, datenschutz- und strafrechtliche Fragen gehören in fachkundige Hände.
Der entscheidende Punkt ist nicht der einzelne Schritt, sondern dass es ihn vorher schon gibt. Ein definierter Ablauf für den Verdachtsfall verhindert, dass im Ernstfall unter Druck improvisiert wird — und dass aus Unsicherheit entweder überreagiert oder weggesehen wird.
Häufig gestellte Fragen
Das Risiko betrifft vor allem Stellen, die ortsunabhängig und ohne persönliches Treffen besetzt werden — und solche mit Zugriff auf Systeme, Daten oder Zahlungsprozesse. Genau diese Konstellation ist im Mittelstand längst verbreitet. Sicherheitsbehörden warnen seit einigen Jahren vor gefälschten Identitäten in Remote-Bewerbungen, und die nötigen Werkzeuge sind heute breit verfügbar. Ein Unternehmen muss kein Großkonzern sein, um betroffen zu sein; ausschlaggebend ist, ob im Auswahlprozess überhaupt geprüft wird, ob die Person im Video die Person in den Unterlagen ist.
Verräterisch sind meist die Übergänge: eine leichte Verzögerung zwischen Ton und Lippenbewegung, flackernde Ränder, wenn eine Hand vor das Gesicht geführt wird, unnatürliches Blinzeln oder Licht, das nicht zum Raum passt. Mindestens ebenso aussagekräftig ist das Verhalten. Wer einer spontanen, nicht angekündigten Aufgabe ausweicht — den Kopf zur Seite zu drehen, aufzustehen oder den Bildausschnitt zu ändern — gibt einen deutlichen Hinweis. Ein einzelnes Anzeichen beweist nichts, aber mehrere zusammen rechtfertigen eine genauere Prüfung über einen zweiten Kanal.
Eine Identitätsprüfung ist im Einstellungsprozess grundsätzlich möglich, sie muss aber verhältnismäßig und im Ablauf richtig platziert sein. Üblich und datensparsam ist es, eine formale Prüfung erst dann vorzunehmen, wenn ein Vertragsschluss konkret ansteht — nicht bereits im ersten Kennenlern-Gespräch. Welche Daten dabei erhoben und wie lange sie gespeichert werden dürfen, richtet sich nach dem Datenschutzrecht und sollte dokumentiert sein. Das ist eine Einordnung, keine Rechtsberatung: Die konkrete Ausgestaltung gehört mit der eigenen Rechtsberatung abgestimmt.
Ein persönliches Treffen schließt den geschilderten Betrug zuverlässig aus, ist aber für viele Stellen nicht praktikabel und verschenkt die Reichweite ortsunabhängiger Besetzung. Sinnvoller als die Rückkehr zum reinen Vor-Ort-Termin ist ein Remote-Prozess mit eingebauten Prüfpunkten: spontane Live-Elemente im Video, ein Wechsel des Kanals zur Gegenprobe und eine dokumentierte Identitätsprüfung vor dem ersten Systemzugang. So bleibt die Reichweite erhalten, ohne die Lücke offenzulassen.
Dann zählt zuerst Ruhe und Dokumentation, nicht die Konfrontation im laufenden Telefonat. Halten Sie den Sachstand schriftlich fest, prüfen Sie, auf welche Systeme und Daten bereits Zugriff bestand, und setzen Sie betroffene Zugänge nach einem geordneten Verfahren aus. Die arbeits- und datenschutzrechtliche Bewertung — ebenso wie die Frage einer Anzeige — gehört in fachkundige Hände. Entscheidend ist, dass es für diesen Fall überhaupt einen definierten Ablauf gibt, statt im Ernstfall zu improvisieren.
Nicht das Bauchgefühl entscheidet, sondern der Prozess
Der gefälschte Bewerber ist kein Argument gegen Remote-Recruiting — und kein Grund, jeden Kandidaten misstrauisch zu beäugen. Er ist ein Argument dafür, den Auswahlprozess so aufzubauen, dass er nicht allein vom Eindruck im Video abhängt. Spontane Live-Elemente, ein Medienbruch zur Gegenprobe, eine Identitätsprüfung an der richtigen Stelle und Zugänge, die erst nach bestätigter Identität freigegeben werden: vier Punkte, die zusammen die Lücke schließen.
Die eigentliche Frage lautet deshalb nicht „Können wir einen Deepfake erkennen?", sondern „Hängt bei uns irgendetwas Wichtiges allein daran, wie jemand im Video wirkt?". Wo die Antwort nein lautet, läuft der Betrug ins Leere — und ehrliche Bewerber merken von der zusätzlichen Sorgfalt kaum etwas.
Ein Deepfake-Bewerber fällt nur in einem geprüften Prozess auf. Wir zeigen Ihnen, wo Ihr Recruiting heute angreifbar ist.
Ein KI-Thema pro Woche – bis ins Detail.
Fundiertes Wissen über Künstliche Intelligenz, direkt nutzbar. Vollständig in Ihrem Postfach, werbefrei.
Zu den KI-News