Cyberkriminelle nutzen heute Tools, die Phishing-Angriffe deutlich vereinfachen und die potenziellen Auswirkungen deutlich erhöhen. Phishing-as-a-Service-Kits, automatisierte Phishing-Tools und kuratierte Ziellisten sind mittlerweile leicht zugänglich und ermöglichen auch technisch wenig versierten Angreifern, Phishing-Kampagnen durchzuführen. Die technischen Einstiegshürden sind, auch dank generativer KI, so gering wie nie zuvor.
Phishing wird für Cyber-Angreifer immer einfacher. KI-basierte Sicherheitssysteme können künftig helfen, schädliche Mails frühzeitig zu identifizieren und verdächtige Aktivitäten schnell zu erkennen.
(Bild: mpix-foto - stock.adobe.com)
Noch vor wenigen Jahren war das Erstellen einer glaubwürdigen Phishing-Mail eine mühsame Aufgabe. Sie erforderte Kreativität, Zeit sowie ein gutes Verständnis der Kultur und Sprache, in der die Opfer geködert werden sollten. Heute hingegen erleichtert generative KI (GenAI) diesen Prozess erheblich. Freizugängliche KI-Modelle wie ChatGPT haben zwar Sicherheitsmechanismen, doch mit ein wenig Erfahrung können Angreifer diese aushebeln und sich in wenigen Minuten den Inhalt täuschend echter Phishing-Mails verfassen lassen – beispielsweise ein angebliches Gewinnspiel oder einen 20-Prozent-Rabatt für Mitarbeitende bei einem tatsächlichen Partner. Fehlerfrei, sprachlich angepasst, genau zugeschnitten auf vorher ausgewählte Zielpersonen und schnell in weitere Sprachen übersetzt. Zudem gibt es spezialisierte GenAI-Anwendungen, die gezielt für Phishing-Zwecke entwickelt wurden. So tauchte bereits 2023 etwa Worm GPT auf, ein GenAI-Interface, dem sämtliche Ethik- und Schutzmechanismen fehlten.
Doch Phishing geht heute weit über einen reinen E-Mail-Betrugsversuch hinaus. Gepaart mit Social Engineering ergibt sich eine hochgefährliche Kombination. Über öffentlich zugängliche Informationen wie die Unternehmenswebsite oder Corporate Social Accounts verschaffen sich Angreifer ein umfassendes Bild von ihrem Ziel und identifizieren Mitarbeitende als Einfallstor. Während die herkömmlichen, eher breit gestreuten Betrugsversuche in der Vergangenheit über die pure Masse versuchten, Erfolge zu erzielen, sind die KI-gestützten Phishing-Angriffe heute hochpersonalisiert.
Die Strategie der Angreifer ist in der Regel darauf ausgelegt, sich möglichst lange unentdeckt in den Systemen eines Unternehmens zu bewegen und Informationen für ein großes Finale zu sammeln. Diese letzte Angriffsphase kann eine vollständige Verschlüsselung der Unternehmensdaten oder ein Betrug sein. Ein häufiger Ansatz ist das gezielte Eindringen in den E-Mail-Account eines Geschäftsführers, einer Geschäftsführerin oder einer anderen Führungskraft. Hier sammeln die Cyberkriminellen zunächst vertrauliche Informationen, um diese anschließend entweder zu verkaufen oder für Erpressungsversuche zu nutzen. In einem weiteren Schritt könnten sie beispielsweise eine Person in der Buchhaltung per gefälschtem Auftrag anweisen, einen hohen Betrag an ein vorgeblich vertrauenswürdiges Konto zu überweisen.
Die Angreifer setzen dabei entweder auf psychologischen Druck oder locken mit Gewinnversprechen, um das kritische Urteilsvermögen der Betroffenen außer Kraft zu setzen. Solche gezielten Social-Engineering-Techniken machen es Cyberkriminellen leichter, das Vertrauen ihrer Opfer zu gewinnen und deren Reaktionen zu manipulieren.
Hacker können dafür mittels GenAI-Tools binnen Minuten ganze Fake-Identitäten auf sozialen Netzwerken wie LinkedIn erstellen. Diese nutzen sie, um Stück für Stück das Vertrauen ihrer Zielpersonen zu gewinnen und dabei unauffällig weitere Informationen zu sammeln. Parallel dazu bauen die Kriminellen eine täuschend echt wirkende Website. Mit Hilfe generativer KI-Modelle, die sogar die nötigen Grafiken und Formulare bereitstellen können, ist das nahezu ein Kinderspiel. Sobald ein günstiger Zeitpunkt erreicht ist, schicken die Angreifer ihr Opfer auf die fingierte Website und lassen die Falle zuschnappen.
Eine weitere Dimension gewinnt die Bedrohung, wenn die Kriminellen zusätzliche Angriffsvektoren nutzen, wie etwa Voice Phishing (Vishing). Hierbei täuschen sie beispielsweise Telefonanrufe aus dem IT-Support vor, oder nutzen KI, um zum Beispiel die Stimme des CEOs zu klonen. Die Kombination unterschiedlicher Methoden lässt die Anfragen einerseits plausibel erscheinen und ermöglicht es den Angreifern so andererseits, Druck auf die Zielperson auszuüben. Zudem erschwert sie es erheblich, die Phishing-Angriffe rechtzeitig zu erkennen und ihnen entgegenzuwirken. Ein erfolgreicher Angriff kann gravierende Folgen für das ganze Unternehmen haben, von finanziellen Verlusten über Reputationseinbrüchen bis hin zu massivem Datenabfluss.
Für Sicherheitsverantwortliche und IT-Teams gilt es, sich auf diese neue Generation der Cyberkriminalität einzustellen und entsprechende Schutzmaßnahmen zu etablieren – sowohl technisch als auch organisatorisch und prozessual. Zu ersteren gehören unter anderem spezialisierte Security-Tools für E-Mail-Programme. Diese können Mails auf verdächtige Merkmale prüfen, zum Beispiel auffällige Absenderadressen, einen suspekten Mailinhalt sowie die Legitimität der eingebetteten Links bestätigen. Regelmäßige Updates und Weiterentwicklungen in der E-Mail-Sicherheit bieten dabei die beste technische Grundlage, um auf die wachsenden Cyber-Bedrohungen vorbereitet zu sein. Doch auch die besten Sicherheitsprogramme bieten keinen hundertprozentigen Schutz. Aus diesem Grund sind zusätzliche Sicherheitsmaßnahmen unverzichtbar.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Verdächtige Anhänge und Dateien sind immer in einer kontrollierten, gesicherten Umgebung zu öffnen, um potenzielle Risiken zu minimieren. Darüber hinaus kann es sinnvoll sein, nur den Empfang von E-Mails aus bekannten Quellen zuzulassen, um die Angriffsfläche deutlich zu verringern. Um die Abwehr zu stärken, sollten Unternehmen ihre Mail-Security grundsätzlich so scharf konfigurieren, dass möglichst alle Phishing Mails geblockt werden, noch bevor sie in den Inboxen landen.
Auf der organisatorischen Seite sollten Unternehmen sehr genau prüfen, welche Informationen sie nach außen geben. Insbesondere Bilder und andere visuelle Inhalte können Anhaltspunkte für Social Engineering bieten oder im schlimmsten Fall für den Einsatz als Deepfake missbraucht werden. Ergänzend dazu lassen sich auch prozessuale Schutzmaßnahmen ergreifen, die das Angriffspotenzial verringern können. Dazu können klare Richtlinien gehören bezüglich der Kommunikationswege bei kritischen Entscheidungen, also beispielsweise wichtiges nur im persönlichen Gespräch zu klären oder in Telefongesprächen als Rückversicherung bestimmte Fragen zu stellen.
Schöpft etwa jemand den Verdacht, dass die Person im Video-Call gegenüber gar nicht der eigene Chef ist, kann schon eine einfache Rückfrage den Betrug auffliegen lassen. So geschehen ist das jüngst bei Ferrari. Ein Manager erhielt einen Anruf, angeblich von CEO Benedetto Vigna, der für eine geheime Übernahme Unterstützung benötige. Diverse Faktoren, darunter eine neue, unbekannte Telefonnummer sowie metallische Töne in der Stimme, schürten jedoch das Misstrauen des Managers. Daher bat er um eine Verifizierung der Identität durch eine persönliche Frage – die der falsche Vigna nicht beantworten konnte.
Um die Mitarbeitenden für diese Bedrohungen zu sensibilisieren, sind interne Aufklärungskampagnen enorm wichtig. Diese sollen einerseits helfen, Phishing Mails zu erkennen und andererseits lernen, auch dann einen klaren Kopf zu behalten, wenn jemand sie künstlich unter Handlungsdruck setzen will. Solche Security Awareness Maßnahmen können entscheidend dazu beitragen, die Resilienz gegenüber immer komplexeren und KI-gestützten Phishing-Bedrohungen zu erhöhen. Den Erfolg ihrer Schulungsmaßnahmen können Unternehmen schließlich mittels simulierter Phishing-Angriffe testen.
Starke Sicherheitskultur als Antwort auf KI-gestütztes Phishing
Tatsächlich existieren bislang keine sicherheitstechnischen Maßnahmen, die Phishing-Angriffe vollständig abwehren können. Doch die rasanten Fortschritte im Bereich der Künstlichen Intelligenz versprechen wertvolle Unterstützung: KI-basierte Sicherheitssysteme können künftig helfen, schädliche Mails frühzeitig zu identifizieren und verdächtige Aktivitäten schnell zu erkennen. So wird KI zunehmend zur wichtigen Stütze im Bereich der Cybersicherheit, indem sie schadhafte Muster erkennt und die Sicherheitsteams bei der Analyse und Abwehr unterstützt. Für Unternehmen bedeutet dies, dass sie sich bereits heute auf eine ganzheitliche Strategie stützen sollten, die sowohl auf technische Lösungen als auch auf eine starke, wachstumsfähige Sicherheitskultur setzt.
Über den Autor: Marcel Gersdorf-Wallbaum arbeitet seit 2014 bei der Deutschen Telekom MMS und bringt einen fundierten technischen Hintergrund als Informatiker mit. Seine Expertise ermöglicht es, komplexe technische Themen, regulatorische Anforderungen und Prozesszusammenhänge für Mitarbeitende ohne technischen Hintergrund anschaulich und verständlich aufzubereiten. In seiner Rolle als Security Awareness Coordinator unterstützt er Unternehmen beim Aufbau und der Festigung einer nachhaltigen Sicherheitskultur. Sein Ziel ist es, das Sicherheitsbewusstsein zu fördern und dafür zu sorgen, dass Sicherheitsmaßnahmen nicht nur verstanden, sondern auch aktiv gelebt werden.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ed/9a/ed9a501b527c1c4167381f9165c6e98f/0115090238.jpeg "Superintelligenzen oder starke KIs mögen unsere Zukunft sein – bis es aber so weit ist, liegt die Verantwortung bei uns: Wir müssen entscheiden, wie wir mit diesen Technologien umgehen. (Bild: SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/ca/4ccac94d8048476522f092dbc92fe943/0120407479v3.jpeg "KI kann zwar von Kriminellen missbraucht werden, stellt aber gleichzeitig auch eine große Chance für eine Verbesserung der Sicherheit von Unternehmen dar. (Bild: Limitless Visions - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3b/db/3bdbfdd25f45cb512674fe011df94de3/0121432340v2.jpeg "Deepfake-Angriffe sind längst keine Ausnahme mehr, sondern eine wachsende Bedrohung, die Unternehmen aller Größen betrifft. (Bild: Prostock-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3b/37/3b37870ef1f793981f521c7b79b8fd87/0118614022.jpeg "Durch ihre Verfügbarkeit und Flexibilität wird KI nicht nur für den Unternehmenseinsatz immer attraktiver, sondern auch für das organisierte Verbrechen. (Bild: Naseem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/07/c807c8fd4838da07f58b87c46270f551/0125641702v1.jpeg "Der Autor: Markus Obser ist Gründer und Geschäftsführer der handz.on GmbH (Bild: handz.on GmbH)")
:quality(80)/p7i.vogel.de/wcms/8c/3d/8c3ded6fc6ac9d8d0108cacfb2eff6f1/0124077670v2.jpeg "Die Einsatzmöglichkeiten von KI-Tools für die Cybersecurity sind vielfältig, allerdings sollten Unternehmen bei der Anschaffung von derlei Technologien darauf achten, dass sie Lösungen auswählen, die einen tatsächlichen Mehrwert für die IT-Sicherheit bieten. (Bild: frank29052515 - stock.adobe.com)")