Phishing entwickelt sich zur komplexen Industrie: Mit Phishing-as-a-Service, KI-gestützten Angriffen und globalen Hosting-Netzen steigen Reichweite und Erfolg. Der aktuelle Cyan Threat Report zeigt, wie gefährlich die Lage ist und welche Schutzmaßnahmen Unternehmen ergreifen sollten.
Phishing entwickelt sich mit KI, globalen Hosting-Diensten und Phishing-as-a-Service zu einer der größten Cyberbedrohungen für Unternehmen weltweit.
Phishing wurde einst als simpler Versuch von Cyberkriminellen abgetan, an vertrauliche Informationen wie Zugangsdaten oder Zahlungsinformationen zu gelangen. Inzwischen ist Phishing zu einer hochkomplexen Bedrohung geworden, die in ihrer Raffinesse und Reichweite neue Dimensionen erreicht hat. Der aktuelle Phishing Activity Threat Report 2025 des Cybersecurity-Unternehmens Cyan zeigt auf eindrucksvolle Weise, wie vielschichtig und ausgeklügelt die Phishing-Landschaft inzwischen geworden ist – von neuen Angriffstechniken bis hin zur globalen Ausbreitung über leicht zugängliche Hosting-Infrastrukturen.
Phishing bleibt Hauptursache von Datenschutzverletzungen
Cyberkriminelle versuchen mit Phishing-Angriffen in erster Linie finanziellen Gewinn zu erzielen, indem sie ihre Opfer dazu verleiten, sensible Informationen wie Benutzernamen, Kennwörter und Finanzdaten preiszugeben. Mit einem Anteil von 16 Prozent an allen Datenschutzverletzungen weltweit bleibt Phishing laut dem „Cost of a Data Breach Report 2025“ von IBM das zentrale Einfallstor für Cyberangriffe. Dem Bericht zur Folge beginnt etwa jede siebte Datenpanne mit Phishing. Sie kosteten Unternehmen im Jahr 2024 durchschnittlich 4,9 Millionen Euro pro Fall, was einen Anstieg der Kosten um 14 Prozent im Vergleich zum Vorjahr darstellt.
Dabei zeigt sich, dass die Phishing-Methoden nicht nur professionalisiert wurden, sondern zunehmend auch industrialisiert werden. Phishing-as-a-Service (PhaaS) ist unlängst zu einem Geschäftsmodell geworden, wobei Cyberkriminelle Phishing-Kits zum Verkauf im Dark Web anbieten. Dabei handelt es sich um Sammlungen von Tools und Skripten, die Phishing-Kampagnen erleichtern sollen. Dieser Trend hat die Einstiegshürden für weniger technisch erfahrene Angreifer gesenkt und so zu einem deutlichen Anstieg der Phishing-Aktivitäten beigetragen.
Getrieben wird diese Entwicklung von zwei Angriffstypen: Commodity-Phishing, das massenhaft und mit generischen Inhalten wie gefälschten Paketbenachrichtigungen oder Rechnungen gestreut wird, und Spear-Phishing, das gezielt auf Einzelpersonen oder Organisationen zugeschnitten ist. Letzteres basiert auf präzisen Recherchen über soziale Netzwerke, Unternehmenswebsites oder öffentlich zugängliche Quellen und richtet sich oft gegen Personen mit besonders hohem Datenwert, wie etwa IT-Administratoren oder Führungskräfte. Ein prominentes Beispiel ist der Angriff auf den Social-Media-Account der ICANN, der Internet Corporation for Assigned Names and Numbers, der mit einer gezielten Phishing-Mail begann und schließlich zur Bewerbung einer Kryptowährung zweckentfremdet wurde.
Die im Jahr 2024 von Phishing am stärksten betroffenen Branchen sind zwar wenig überraschend, aber ihre Gewichtung ist bezeichnend: Die Technologiebranche – allen voran Apple, Microsoft und Google – steht mit 44 Prozent an der Spitze der Phishing-Ziele, gefolgt von sozialen Medien und Online-Diensten wie Facebook, Instagram und LinkedIn mit 22 Prozent sowie Finanzdienstleister mit 20 Prozent. Doch auch die Logistikbranche, zu denen DHL und andere Postzusteller gehören, gerät mit 12 Prozent zunehmend ins Visier von Cyberkriminellen.
Besonders besorgniserregend ist auch, über welche Infrastrukturen Phishing-Kampagnen verbreitet werden. So hat der Bedrohungsbericht der cyan AG festgestellt, dass die beliebtesten Netzwerke für das Hosting bösartiger Websites Cloudfare, Alibaba Cloud, Amazon Web Services (AWS), Tencent Cloud und DDoS-Guard sind. Diese Dienste ermöglichen entweder durch günstige, leicht zugängliche Hosting-Pakete oder durch Reverse-Proxy-Technologien ein Maß an Anonymität, Skalierbarkeit und Glaubwürdigkeit, das für Cyberkriminelle äußerst attraktiv ist. Die damit verbundene Tarnung der eigenen Quelle erschwert es Sicherheitsbehörden, Angriffe schnell zu identifizieren und zu unterbinden.
Neue technologische Dynamiken: KI und MFA-Umgehung
Hinzu kommen technologische Trends, die das Problem weiter verschärfen. Besonders hervorzuheben ist das Phishing-Kit „Mamba 2FA“, das für rund 250 US-Dollar monatlich verfügbar ist und sich gezielt gegen Microsoft-365-Konten richtet. Es nutzt sogenannte Adversary-in-the-Middle-Techniken, um Multi-Faktor-Authentifizierung (MFA) auszuhebeln – eine bedenkliche Entwicklung. Gleichzeitig werden fortschrittliche Phishing-Kits wie „Tycoon 2FA“ so programmiert, dass sie gezielt Sicherheitsmechanismen umgehen, etwa durch legitime, kompromittierte E-Mail-Konten, versteckten Quellcode oder die Blockierung automatisierter Erkennungsskripts. Auch die Globalisierung macht nicht halt von der Phishing-Industrie: Mit dem Xiū gǒu-Kit sind Angriffe bekannt, die sich gleichzeitig gegen Nutzer in Australien, Japan, Spanien, Großbritannien und den USA richten – jeweils lokalisiert und branchenspezifisch zugeschnitten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Einen weiteren Entwicklungssprung stellt der vermehrte Einsatz von künstlicher Intelligenz beim Phishing dar. So nutzen Cyberkriminelle inzwischen KI, um den Stil vertrauenswürdiger Absender nachzuahmen und so Nachrichten zu erzeugen, die sich kaum noch von den echten unterscheiden lassen. Die Diversifizierung der Kommunikationskanäle tut dabei ihr Übriges: Phishing beschränkt sich längst nicht mehr nur auf E-Mails. Smishing (Phishing via SMS) und Vishing (Phishing per Anruf) werden immer beliebter, wobei insbesondere perfide RCS-Nachrichten (Rich-Communications-Services) genutzt werden, um mit hohen Täuschungspotenzial etwa gefälschte Strafzettel oder Paketbenachrichtigungen zu versenden.
Wie real die Bedrohung ist, die von Phishing ausgeht, zeigen ganz konkrete Fallbeispiele: In den Niederlanden war im Jahr 2024 mehr als jede vierte Person direkt von Phishing betroffen. In Polen machten Phishing-Angriffe dagegen rund 45 Prozent aller gemeldeten Cyberbedrohungen aus, während in Chile 22 Prozent aller Cyberangriffe auf Phishing entfielen. Die Methoden reichen dabei von Fake-Shops mit betrügerischen Angeboten über gefälschte Rückerstattungsportale bis hin zu Kopien staatlicher Plattformen – allesamt mit dem Ziel, sensible Daten oder Zugangsinformationen zu stehlen.
Angesichts des Umstands, dass Phishing-Bedrohungen immer raffinierter werden, müssen Unternehmen bei ihren Verteidigungsstrategien wachsam und vor allem proaktiv bleiben. Durch die Implementierung von fortschrittlichen E-Mail-Filtern, Benutzerschulungen, Notfallplänen und robusten Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung und DNS-Filterung können Unternehmen die Gefährdung durch Cyber-Bedrohungen erheblich reduzieren. Die Schulung von Mitarbeitern in der Erkennung von Phishing-Versuchen, der Überprüfung von Anfragen nach sensiblen Informationen und der Meldung verdächtiger Nachrichten stärken die Sicherheitslage eines Unternehmens zusätzlich.
Da sich die Phishing-Methoden stetig weiterentwickeln, ist es für den Schutz sensibler Daten und die Aufrechterhaltung einer sicheren digitalen Umgebung von entscheidender Bedeutung, informiert zu bleiben und sich auf neue Bedrohungen einzustellen. Ein vielschichtiger Ansatz, der Technologie, Benutzerbewusstsein und proaktive Erkennung von Bedrohungen kombiniert, ist dabei unerlässlich, um die wachsende Bedrohung von Cyberangriffen wie Phishing zu minimieren. Durch die aktive Förderung einer Kultur der Sensibilisierung gegenüber Cyberbedrohungen und die kontinuierliche Aktualisierung der Verteidigungssysteme können Unternehmen den Cyberkriminellen einen Schritt voraus sein und ihre Daten wirkungsvoll schützen.
Über den Autor: Markus Cserna ist CTO von cyan sowie, seit 1. August 2025, auch CEO des Unternehmens, und legt mit seiner Arbeit das technologische Fundament für den Erfolg des Unternehmens. Bereits im Jahr 2006 gründete er cyan mit der Vision, Internetnutzer weltweit vor Online-Betrug zu schützen. Seither treibt er mit großer Leidenschaft die Weiterentwicklung der Cybersicherheitslösungen von cyan voran – stets mit dem Ziel, technologisch einen Schritt voraus zu sein und sich klar vom Wettbewerb abzuheben.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/4c/aa/4caac56c18e677d2a4c56123c9b60be3/0121319770v2.jpeg "Phishing kann jeden treffen, egal ob im Privatleben oder am Arbeitsplatz. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/d8/d2d832a924f918a905d614e46033e6ad/0115880823v3.jpeg "Fast jedes Unternehmen ist schon einmal Ziel von Phishing-Angriffen geworden. Firmen sollten also unbedingt ihre Mitarbeiter auf Phishing-Attacken vorbereiten. Dazu gibt es Lösungen, die wir in diesem Beitrag vorstellen. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/35/383586af1f2bafa3a5336beeb6d1156a/0123011186v2.jpeg "Hacker entwickeln ihre Techniken stetig weiter, um an den modernen Sicherheitsmechanismen wie Mehrfaktor-Authentifizierung (MFA) vorbeizukommen. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/c2/88c21dddcd162e38602dc56abe947a42/0117748055.jpeg "Microsoft 365 und Gmail sind aktuell im Fokus von Cyberkriminellen, die auch den MFA-Schutz angreifen. (Bild: Gstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/69/706919d52afdacaf2f0673e1f2be027b/0125969613v2.jpeg "Cyberkriminelle erstellen täuschend echte Microsoft-365-Anwendungen, die populäre Dienste wie RingCentral, SharePoint, Adobe oder DocuSign imitieren und auf scheinbar legitime OAuth-Autorisierungsseiten führen. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/34/7e34c9258116a9820ba5c0480d705626/0128151496v2.jpeg "Zur Shopping-Hochsaison häufen sich Fake-Shops und Phishing. Realistisch gestaltete Webseiten, Anzeigen und manipulierte Suchergebnisse locken Käufer auf betrügerische Webseiten. (Bild: © brainpencil - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/6b/026b8e74ab52a461200667f858d3512e/0124726704v2.jpeg "PDF-Dateien sind weiterhin die meistgenutzten bösartigen Anhänge mit einem Anteil von 36 Prozent. Neu und bemerkenswert ist jedoch der rasante Anstieg von SVG-Dateien auf 34 Prozent. (Bild: © Joerg Habermeier - stock.adobe.com)")