Inhalt in Kürze
- KI-gesteuerte Phishing-Angriffe sind laut BSI um 300 Prozent gestiegen — 78 Prozent der deutschen Unternehmen waren betroffen
- Phishing ist das Einfallstor Nummer eins für Ransomware und Datendiebstahl
- Phishing-as-a-Service (PhaaS) macht Angriffe für Kriminelle so einfach wie ein Online-Einkauf
- Technischer Schutz allein reicht nicht — geschulte Mitarbeiter sind die beste Verteidigung
Freitagnachmittag, 15:30 Uhr. Eine E-Mail von „Ihrem Geschäftsführer” an die Buchhaltung: „Bitte überweisen Sie sofort 23.000 Euro an folgenden Lieferanten. Dringend, bin im Meeting, kann nicht telefonieren.” Die E-Mail sieht echt aus. Der Betreff passt. Sogar die Signatur stimmt. Nur: Der Geschäftsführer hat diese E-Mail nie geschrieben.
Phishing 2026: KI macht Angriffe unsichtbar
Vergessen Sie Phishing-E-Mails mit Rechtschreibfehlern und nigerianischen Prinzen. Das war gestern. Heute erstellt KI perfekte deutsche E-Mails, analysiert Social-Media-Profile für personalisierte Angriffe und imitiert Schreibstile von echten Kollegen.
Laut BSI-Lagebericht und Security-Analysen sind KI-gesteuerte Phishing-Angriffe um 300 Prozent gestiegen. Der Schaden durch Cyberkriminalität in Deutschland liegt bei über 200 Milliarden Euro pro Jahr.
Die häufigsten Angriffsarten im Überblick
Massen-Phishing
Massenhaft versendete E-Mails, die sich als bekannte Marken ausgeben: DHL-Paketbenachrichtigungen, Microsoft-Passwortrücksetzungen, Bankmitteilungen. Ziel: Login-Daten abgreifen.
Spear-Phishing
Gezielte Angriffe auf einzelne Personen. Der Angreifer kennt Ihren Namen, Ihre Position, aktuelle Projekte — oft aus LinkedIn oder der Firmenwebsite. Die E-Mail wirkt, als käme sie von einem Kollegen oder Geschäftspartner.
CEO-Fraud (Business Email Compromise)
Der Angreifer gibt sich als Geschäftsführer aus und fordert per E-Mail oder SMS eine dringende Überweisung. Beliebt: Freitagnachmittag, wenn der echte Chef schwer erreichbar ist.
Smishing und Vishing
Phishing per SMS (Smishing) oder Telefon (Vishing). „Hier ist die IT-Abteilung, wir brauchen Ihr Passwort für ein wichtiges Update.” Klingt absurd — funktioniert aber erschreckend oft.
Laut einer gemeinsamen Warnung von BSI und BfV führen staatliche Akteure zunehmend Phishing-Angriffe über Messenger-Dienste wie Signal durch. Nicht nur E-Mail, sondern alle Kommunikationskanäle sind betroffen.
Phishing erkennen: 7 Warnsignale
- Dringlichkeit. „Sofort handeln", „Ihr Konto wird gesperrt", „Letzte Mahnung". Seriöse Unternehmen setzen selten Zeitdruck per E-Mail.
- Absenderadresse prüfen. Nicht den angezeigten Namen, sondern die tatsächliche E-Mail-Adresse. „support@micros0ft-hilfe.com" ist nicht Microsoft.
- Links vor dem Klicken prüfen. Mauszeiger über den Link halten (nicht klicken!) und die URL lesen. Führt sie zur erwarteten Domain?
- Unerwartete Anhänge. Rechnungen, die Sie nicht erwarten. ZIP-Dateien von unbekannten Absendern. Office-Dokumente mit Makro-Aufforderung.
- Emotionale Manipulation. Angst, Gier, Neugier, Hilfsbereitschaft — Phishing spielt mit Emotionen. „Ihr Paket konnte nicht zugestellt werden" (Neugier). „Herzlichen Glückwunsch zum Gewinn" (Gier).
- Ungewöhnliche Anfragen. Ihr „Chef" bittet per E-Mail um eine Überweisung? Ihr „IT-Support" braucht Ihr Passwort? Rückfrage per Telefon — immer.
- Perfektes Deutsch ist kein Beweis. KI schreibt heute fehlerfreie E-Mails. Sprachqualität allein ist kein Erkennungsmerkmal mehr.
Ob Sie 5 oder 500 Mitarbeiter haben — einem KI-gesteuerten Massenangriff ist das völlig egal. Die verschlüsseln Sie automatisiert, einfach weil sie können. Deshalb braucht heute jedes Unternehmen einen Grundschutz.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Schutzmaßnahmen auf drei Ebenen
Technischer Schutz
| Maßnahme | Wirkung | Aufwand |
|---|---|---|
| SPF/DKIM/DMARC | Verhindert E-Mail-Spoofing | Einmalig 2-4 Stunden |
| E-Mail-Filter (Exchange Online Protection) | Blockt bekannte Phishing-Mails | In M365 enthalten |
| MFA aktivieren | Verhindert Accountübernahme | 5 Minuten pro Nutzer |
| Safe Links & Safe Attachments | Prüft Links und Anhänge in Echtzeit | In M365 Defender enthalten |
| DNS-Filtering | Blockt bekannte Phishing-Domains | Ab 2 €/Nutzer/Monat |
Organisatorischer Schutz
- Vier-Augen-Prinzip für Überweisungen. Keine Zahlung über 1.000 Euro ohne Gegenzeichnung.
- Rückruf-Regel. Bei ungewöhnlichen E-Mail-Anfragen immer telefonisch beim Absender nachfragen — über eine bekannte Nummer, nicht über die in der E-Mail.
- Klare Prozesse. Wie werden Passwörter geändert? Wie werden neue Lieferanten angelegt? Wer genehmigt was?
Menschlicher Schutz
- Phishing-Simulationen. Monatlich simulierte Phishing-E-Mails an alle Mitarbeiter. Wer klickt, bekommt sofort eine Schulung.
- Kurzschulungen. 15 Minuten pro Quartal reichen. Aktuelle Beispiele zeigen, Warnsignale besprechen, Verhalten trainieren.
- Kultur des Nachfragens. „Lieber einmal zu viel gefragt als einmal zu viel geklickt.” Niemand wird bestraft, der eine verdächtige E-Mail meldet.
Ransomware: Was Phishing anrichten kann
Phishing ist oft nur der erste Schritt. Ein Klick auf einen Link, ein geöffneter Anhang — und die Ransomware ist im Netzwerk. Dann wird verschlüsselt.
„Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage." — Bernd Kühn, Geschäftsführer, Sanitärbetrieb, 20-25 Mitarbeiter
IT-Sicherheit ist Chefsache. Sprechen Sie mit uns.
15 Minuten. Kostenlos. Ihre aktuelle Sicherheitslage — ehrlich bewertet.
Erstgespräch buchen →Ihr nächster Schritt
Wie gut sind Ihre Mitarbeiter gegen Phishing geschützt? Wir testen es — mit einer simulierten Phishing-Kampagne und anschließender Schulung.
