Alle Insights

Deepfake-Statements und der Trust-Layer, den Krisenkommunikation jetzt braucht.

Gefälschte Video-Statements einer C-Level-Person sind 2026 in unter einer Stunde produzierbar — und in unter zehn Minuten viral. Was das für die ersten 90 Minuten einer PR-Krise bedeutet: signierte Statements, verifizierbare Sprecher-Kanäle und ein Trust-Baseline-Statement, das euer Playbook vor der Krise definiert.

Ende 2024 war ein überzeugender Deepfake eines CEOs noch eine mehrtägige Produktion mit professionellem Setup. Mitte 2026 kann eine mittelmäßig geübte Person mit Consumer-Hardware und drei öffentlichen Videos einer Ziel-Person eine Video-Aussage mit passender Stimme, Mundbewegung und Kontext in unter einer Stunde erzeugen. Die Qualität reicht für einen Boulevard-Screenshot-Screengrab, für einen viralen Social-Media-Clip, für die ersten zwei Zyklen einer Nachrichten-Kaskade.

Reicht sie für ein sauberes forensisches Gutachten? Nein. Aber die forensische Prüfung kommt Tage nach der Krise. Der Schaden entsteht in den ersten drei Stunden. Und in den ersten drei Stunden ist ein plausibles Fake nicht von einem echten Statement zu unterscheiden — wenn eure Marke keinen Trust-Layer hat.

Diese Notiz beschreibt, was Trust-Layer 2026 konkret bedeutet, wie er in bestehende Krisen-Playbooks integriert wird und welche drei bis fünf Vorarbeiten Marken jetzt machen sollten — nicht wenn der Anruf kommt, sondern in einer ruhigen Woche davor.

Warum jetzt und nicht vor drei Jahren.

Der qualitative Sprung passierte in zwei Schritten. Zuerst wurden die Modelle multimodal genug, dass Lippen-Synchronisation und Stimmklang aus wenigen Sekunden Referenzmaterial rekonstruiert werden konnten. Dann wurden diese Modelle als Open-Source-Familien verfügbar — und in Consumer-Toolchains verpackt, die keine ML-Kenntnisse verlangen.

Der wirtschaftliche Effekt: Deepfake-Produktion ist keine finanzielle Hürde mehr. Ein motivierter Angreifer mit einem Notebook produziert ein 30-Sekunden-Video für unter 100 Euro Rechenzeit. Motivierte Angreifer haben Marken immer schon gehabt: verärgerte Ex-Mitarbeiter, aktivistische Gruppen, Wettbewerber im Grenzbereich, staatliche Akteure in bestimmten Sektoren. Was neu ist, ist die Verfügbarkeit des Werkzeugs — und die Verfügbarkeit auch für Angreifer, die vor einem Jahr die Schwelle nicht überwunden hätten.

Meine Rechenregel für 2026: für jede Marke mit über 50 Millionen Euro Umsatz und einer öffentlich sichtbaren C-Level-Person ist Deepfake-Risiko keine Wenn-Frage mehr, sondern eine Wann-Frage. Für Marken in regulierten Sektoren (Finanz, Gesundheit, Energie) ist die Antwort auf „wann?" oft schon: diese Woche noch nicht, aber in diesem Quartal wahrscheinlich.

Was Trust-Layer konkret bedeutet.

Trust-Layer ist der Sammelbegriff für die Vorarbeiten, die eine Marke leistet, damit ein echtes Statement in einer Krise als echt und ein gefälschtes als gefälscht identifiziert werden kann — innerhalb der ersten 30 Minuten. Er besteht aus drei bis fünf Bausteinen, die einzeln unspektakulär und zusammen entscheidend sind.

Baustein eins ist der autorisierte Sprecher-Kanal. Eure Marke hat einen eindeutig identifizierbaren Ort, an dem offizielle Statements erscheinen. Kein LinkedIn- Persönliches-Profil einer C-Level-Person, das gestern anders aussah als heute. Ein eigener Kommunikations-Kanal — eine Newsroom-URL auf der Firmen-Domain, ein Presse-Postfach mit stabiler Verifikations-Kette, ein LinkedIn-Firmen-Account mit dokumentierten Freigabe-Rechten.

Baustein zwei ist die Content-Signierung. Video- und Audio-Statements werden mit Content Credentials (C2PA-Standard, ursprünglich Adobe/Microsoft/Intel-Initiative) signiert, bevor sie den Kommunikations-Kanal verlassen. Adobe Premiere Pro, DaVinci Resolve und die aktuelle iOS/macOS-Kamera-App unterstützen den Standard bereits nativ. Journalist:innen und Verifikations-Tools können signierten Content in Sekunden gegen die Kette prüfen.

Baustein drei ist das Trust-Baseline-Statement. Ein einseitiges Dokument auf eurer eigenen Domain, das sagt: „Offizielle Statements dieser Marke erscheinen an diesen Orten, in dieser Form, unter dieser Signatur. Alles andere ist nicht offiziell, auch wenn es überzeugend aussieht." Dieses Dokument wird nicht in der Krise geschrieben. Es wird in einer ruhigen Woche geschrieben, an einer sichtbaren URL gespeichert (eure-domain/newsroom/authenticity oder ähnlich) und in jedem Presse-Kit referenziert.

Baustein vier — für regulierte Sektoren und Marken mit direktem Verbraucher-Kontakt — ist der Verifikations-Rückkanal. Eine Telefonnummer oder ein Signal-Handle, an dem Journalist:innen in Verdachtsfällen echte Statements verifizieren können. Nicht das öffentliche Presse-Postfach — eine separate, direkt zum Krisen-Team führende Route, mit veröffentlichten Erreichbarkeitszeiten.

Optionaler Baustein fünf ist die Zeitstempel-Signatur auf Live-Statements. Bei Video-Statements mit hoher Krisen-Priorität wird ein Trusted-Timestamp aus einer externen Autorität in die Signatur eingebettet — das macht rückdatierte Fälschungen deutlich schwieriger. Für die meisten Marken ist das Overkill; für börsennotierte Unternehmen mit ad-hoc-Publizitätspflicht kann es ins Standard-Playbook.

Wie das in die ersten 90 Minuten integriert wird.

Ein gut aufgesetztes Krisen-Playbook 2025 hatte vier Schritte in den ersten 90 Minuten: Anruf entgegennehmen, Lage-Assessment, Holding-Statement, Sprecher-Briefing. 2026 werden diese vier zu fünf, mit einem eingeschobenen Schritt vor dem Holding-Statement: Authentizitäts-Anker setzen.

Konkret: bevor euer Holding-Statement in Minute 60 an die Presse geht, wird es nicht nur formuliert, sondern signiert und in den autorisierten Sprecher-Kanal gepostet. Die Presse-Aussendung enthält einen expliziten Verweis auf den Original-Standort mit Content-Credentials. Journalist:innen können in Echtzeit prüfen, dass das Statement von euch kommt und nicht von einem parallel operierenden Deepfake-Kanal.

Zweite Integration: bei der Sprecher-Aktivierung in Minute 90 wird nicht nur der Sprecher gebrieft — sondern auch die kurze Formel geübt, mit der er auf Deepfake-Anfragen reagiert. „Ich habe dieses Statement nicht abgegeben. Meine echten Statements erscheinen ausschließlich unter [autorisierter Kanal]. Ich verifiziere gerne kurz über [Rückkanal]." Kein Streit über Echtheit im Interview, kein „aber der Ton klingt so wie ich" — sondern Verweis auf den Trust-Layer.

Dritte Integration: interne Kommunikation. Mitarbeiter:innen müssen wissen, wie sie auf ein Deepfake-Video eures CEOs auf ihrem Handy reagieren. Standard-Antwort im Playbook: „Wir prüfen. Bis dahin: Trust-Baseline auf eurer Newsroom-Seite ist die Quelle der Wahrheit." Ohne diese Anweisung entstehen interne Slack-Kaskaden mit Halbwissen, die die externe Kommunikation destabilisieren.

Ein anonymisiertes Fallbeispiel — DACH, Q1 2026.

Mittelständisches Unternehmen im DACH-Raum, mit medialer Sichtbarkeit in einer politischen Debatte. Am Sonntagabend erscheint auf einer der bekannten Video-Plattformen ein 90-Sekunden-Clip, in dem die Geschäftsführerin scheinbar eine kompromittierende Aussage zu einem aktuellen Thema macht. Der Clip verbreitet sich Sonntagabend viral, Montag um 6:30 Uhr steht die erste Presseanfrage im Eingang, Montag 9:00 Uhr ist das Thema Top-Nachricht bei drei Boulevard-Kanälen.

Was gut gelaufen ist: die Marke hatte im Vorjahr einen Trust-Layer aufgesetzt. Die Geschäftsführerin hatte keine öffentlichen Solo-LinkedIn-Statements zum Thema; alle offiziellen Statements liefen über eine Newsroom-URL. Innerhalb 90 Minuten nach dem ersten Anruf war ein signiertes Kurz-Statement auf der Newsroom-URL — mit Content-Credentials und Zeitstempel. Der Verifikations-Rückkanal war mit einem Krisen-Team-Handy besetzt.

Die Boulevard-Kanäle machten ihre erste Runde mit dem Fake-Zitat. In der zweiten Redaktions-Runde am Nachmittag verlangten die Ressort-Chefs eine Verifikation. Der Trust-Layer lieferte sie in Sekunden. Ab 17:00 Uhr Montag war die Story in der seriösen Presse: „Deepfake-Kampagne gegen [Unternehmen] — Marke reagiert mit verifizierbarem Statement." Das ist eine schlechte Story, aber die andere Story („Skandalöses CEO-Statement") war weg. Reputationsschaden minimiert.

Was hätte den Fall ohne Trust-Layer bedeutet: das Fake-Zitat wäre 24 bis 48 Stunden in der Nachrichten-Kaskade geblieben, bis die forensische Prüfung öffentlich verfügbar wurde. In 24 bis 48 Stunden entstehen die Zitate, die zwei Jahre später von ChatGPT und Perplexity als „Aussage von [Person]" ausgegeben werden. Der Trust-Layer verhindert nicht die Krise. Er verhindert die stille Verlängerung der Krise in den generativen Suchsystemen.

Was diese Woche noch passieren sollte.

  1. Autorisierte Sprecher-Kanäle definieren. Für jede C-Level-Person eine Antwort auf die Frage: wo erscheinen offizielle Statements? Ein Ort, nicht fünf. Wenn die Antwort „LinkedIn und Newsroom und X und interne Blogposts" ist, konsolidieren.
  2. Content-Credentials (C2PA) in Video-Workflow einbauen. Adobe Premiere Pro, DaVinci Resolve, aktuelle iOS-Camera unterstützen das nativ. Ein Nachmittag Konfiguration mit der Content-Produktions-Person eures Vertrauens. Kein Custom-Code, kein Enterprise-Vertrag.
  3. Trust-Baseline-Statement schreiben und veröffentlichen. Ein Absatz. Auf eurer Domain, unter einer stabilen URL. In jedes Presse-Kit als Referenz aufnehmen.
  4. Krisen-Playbook um „Authentizitäts-Anker" ergänzen. Schritt vor Holding-Statement. Bei signifikanter Krise wird das Statement zuerst im signierten Kanal, dann in die Presse-Aussendung eingebaut, mit expliziter Verifikations-URL.
  5. Sprecher-Coaching um Deepfake-Reaktions-Formel erweitern. Eine eingeübte Antwort auf „aber es klingt wie Sie". Nicht diskutieren — verweisen.

Diese Notiz baut auf dem Krisenkommunikations-Playbook auf und erweitert es für die Deepfake-Ära. Wenn ihr Trust-Layer als Standardprozess in euer Krisen-Setup einbauen wollt: Erstgespräch — 30 Minuten reichen für eine erste Situationsanalyse. Bei akuter Krise: Krisen-Hotline +43 660 700 3703, Reaktion binnen 30 Minuten.

Trust-Layer als Standardprozess statt als Feuerwehr-Improvisation.

30-Minuten-Erstgespräch, kostenlos. Wir prüfen euren aktuellen Setup gegen die fünf Bausteine und identifizieren die zwei bis drei Änderungen mit dem höchsten Schutz-ROI. Bei akuter Verdachtslage: Krisen-Hotline binnen 30 Minuten.

Erstgespräch besprechen →