Zscaler-Analysten zeigen, wie Cyberkriminelle KI- und ML-Tools nutzen

ThreatLabz 2025 AI Security Report von Zscaler In nur 5 Prompts zur perfekten Phishing-Seite

18.04.2025 Quelle: Pressemitteilung 3 min Lesedauer

Anbieter zum Thema

Zscaler Germany GmbH

Vogel IT-Medien GmbH

sysob IT-Distribution GmbH & Co. KG

FTAPI Software GmbH

Ein Bericht von Zscaler zeigt, dass der Einsatz von KI und ML enorm zugenommen hat – doch nicht nur, um die Effizienz legitimer Prozesse zu erhöhen. Die Analysten stellen nach, wie Kriminelle die Tools nutzen können, um spielend leicht Phishing-Seiten aufzusetzen.

Anhand des Beispiels von DeepSeek zeigten Sicherheitsanalysten von Zscaler, wie einfach es sein kann, Phishing-Webseiten mit KI zu erstellen und sich Code liefern zu lassen, der Sicherheitsmaßnahmen umgeht.(Bild: Blue Planet Studio - stock.adobe.com) — Anhand des Beispiels von DeepSeek zeigten Sicherheitsanalysten von Zscaler, wie einfach es sein kann, Phishing-Webseiten mit KI zu erstellen und sich Code liefern zu lassen, der Sicherheitsmaßnahmen umgeht.
(Bild: Blue Planet Studio - stock.adobe.com)

Die Nutzung von KI- und Machine-Learning-Tools (ML) ist um 3.000 Prozent gestiegen. Dies geht aus dem „ThreatLabz 2025 AI Security Report“ von Zscaler hervor, für den der Security-Hersteller im Jahr 2024 von Februar bis Dezember 536,5 Milliarden KI- und ML-Transaktionen aus seiner Zero-Trust-Exchange-Plattform analysiert hat. Zscaler zufolge nutzen Unternehmen solche Tools hauptsächlich für die Erstellung von Inhalten und um ihre Produktivität zu steigern.

Cyberkriminelle eröffnen ein echtes Microsoft-Konto und teilen mit ihren Opfern Dateien, die Malware enthalten. Damit die Empfänger diese auch wirklich anklicken, nutzen die Angreifer legitime Systemnachrichten von Microsoft als Köder. (Bild: Andrey Popov - stock.adobe.com)

ChatGPT am meisten genutzt und am häufigsten geblockt

Während des Untersuchungszeitraums haben Unternehmen insgesamt 3.624 Terabyte an Daten von KI-Tools gesendet. Diese zunehmende Akzeptanz von KI und ML gehe allerdings auch mit erhöhten Sicherheitsanforderungen einher. Zscaler gibt an, 59,9 Prozent der KI- und ML-Transaktionen blockiert zu haben. Dies verdeutliche, dass sich Unternehmen der Risiken der Tools bewusst seien, einschließlich Datenlecks, unbefugtem Zugriff und Compliance-Verstößen.

Am weitesten verbreitet ist Zscaler zufolge ChatGPT. Die Anwendung sei für 45,2 Prozent der KI/ML-Transaktionen verantwortlich gewesen. Gleichzeitig sei ChatGPT auch das am häufigsten geblockte Tool gewesen, da Unternehmen zunehmend Bedenken hinsichtlich der Offenlegung sensibler Daten hätten. Doch auch, weil Mitarbeitende Tools wie ChatGPT, Grammarly, Microsoft Copilot, QuillBot und Wordtune ohne Genehmigung für die Arbeit nutzten, seien diese Tools häufig sanktioniert worden.

Dieser Beitrag beleuchtet, wie KI-Modelle sowohl zur Bedrohung als auch zum Bollwerk gegen Cyberangriffe werden können, und stellt innovative Abwehrstrategien vor. (Bild: Aghavni - stock.adobe.com)

Phishing-Seiten mit KI erstellt

Auch Bedrohungsakteure nutzen KI, um die Geschwindigkeit und Auswirkungen ihrer Angriffe zu erhöhen. Gerade der Einsatz agentenbasierter KI sowie das Open Source Tool DeepSeek erleichtert Zscaler zufolge das Skalieren von Cyberangriffen. Anhang von DeepSeek haben die Analysten von Zscaler gezeigt, wie einfach es sei, sich mithilfe eines Large Language Models (LLM) eine Phishing-Webseite erstellen zu lassen. Dafür hätten sie nur fünf Prompts benötigt:

1. Generieren einer einfachen Anmeldeseite: Zuerst fragten die Analysten DeepSeek, ob die KI in der Lage sei, einen HTML-Code für eine Anmeldeseite zu generieren. Dies war ohne Probleme möglich.

2. Imitieren einer legitimen Anmeldeoberfläche: Auch das Anpassen der Anmeldeseite, damit diese Live.com, dem News Center von Microsoft, ähnelt, war für DeepSeek kein Problem gewesen. DeepSeek ergänzte dafür den HTML-Code um CSS-Code.

3. Realistischer Authentifizierungsablauf: Als nächstes forderten die Analysten DeepSeek dazu auf, einen Login einzubauen. Live.com fragt Benutzernamen und Passwort ab. DeepSeek fügte seinem Code die gleiche Funktionalität hinzu.

4. Verbesserung von Branding und UI-Elementen: Damit die gefälschte Anmeldeseite der echten Seite noch ähnlicher wurde, lautete die nächste Aufforderung an DeepSeek, das Anmeldefeld quadratischer zu gestalten und ein Outlook-Bild darüber einzufügen. Neben dem Authentifizierungsablauf sollten auch diese Branding-Elemente die Glaubwürdigkeit der Phishing-Webseite erhöhen.

5. Implementierung von Client-Side-Cloaking: Als letzten Schritt fragten die Analysten von Zscaler, ob DeepSeek in der Lage sei, Client-Side-Cloaking zu integrieren, damit die Anmeldeseite User-Agent, Browser-Fingerprinting, IP-Checks und Verhaltensmuster prüfe. DeepSeek integrierte diese Technik, die bei der Erstellung von Phishing-Webseiten eingesetzt wird, um Sicherheitsmechanismen zu umgehen. Im Gegensatz zum klassischen Server-Side-Cloaking, bei dem unterschiedliche Inhalte je nach Benutzeragent oder IP-Adresse vom Server ausgeliefert werden, wird schädlicher Inhalt ausgewählten Besucher der Phishing-Seite angezeigt. Sicherheitsbots oder Sandboxen sehen entweder eine leere Seite oder eine harmlose Alternative.

Bildergalerie

Zuerst ließen sich die Forscher eine simple Anmeldeseite erstellen.(Bild: Zscaler 2025)

Im nächsten Schritt sollte DeepSeek die Seite optisch anpassen, damit sie möglichst ähnlich zum News Center von Microsoft ist.(Bild: Zscaler 2025)

Auf der Anmeldeseite sollten dann noch Nutzername und Passwort abgefragt werden. Diese Abfrage sollte genauso aussehen wie bei Microsoft. Um dies umzusetzen speisten die Analysten ein Bild des originalen Abfragefensters ein.(Bild: Zscaler 2025)

Der HTML-Code von DeeSeek sollte außerdem die Anweisung erhalten, die Server auf bestimmte Kriterien zu prüfen, die aufzeigen können, ob Sicherheitsmechanismen im Einsatz sind.(Bild: Zscaler 2025)

Bildergalerie mit 5 Bildern

Damit die gefälschte Anmeldeseite nur Besuchern angezeigt wird, bei denen keine Sicherheitslösung im Einsatz ist, prüfte DeepSeek die Server anhand der vier angefragten Kriterien:

User-Agent: Überprüfung der Browser-Legitimität

Browser-Fingerprinting: Überprüfung auf Inkonsistenzen in den Browsereigenschaften

IP-Adresse: Validierung der IP-Adresse

Verhaltensmuster: Erkennung menschlichen Verhaltens, wie zum Beispiel Mausbewegungen und Klicks

DeepSeek ist praktisch: Man kann sich unkompliziert Fragen beantworten lassen, Bilder generien oder damit komplizierte Matheaufgaben lösen. Doch ist DeepSeek sicher? Und was macht das chinesische Unternehmen mit unseren Daten? (Bild: Midjourney / KI-generiert)

Schutz vor KI-Angriffen

Techniken wie diese würden Unternehmen zwingen, ihre Sicherheitsstrategien zu überdenken. Zero Trust ist Zscaler zufolge die Grundlage für die Minimierung der externen Angriffsfläche. Zugriffsrechte sollten kontinuierlich überprüft und neu vergeben werden. Um die wertvollsten Daten zu identifzieren und schützen zu können, empfiehlt der Hersteller zudem die Datenbestände KI-gesteuert zu klassifizieren und – ebenfalls mithilfe von Künstlicher Intelligenz – die Bedrohungslange kontinuierlich zu überwachen.

Neue Integration soll die Qualität und Vertrauenswürdigkeit von quelloffenen ML-Modellen erheblich verbessern, was zu einer sichereren, verantwortungsvolleren KI für alle führt. (Bild: JFrog)

(ID:50380100)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.