Die Zeiten der Massen-Phishing-Kampagnen sind vorbei. Angreifer nutzen heute generative KI (GenAI), um gezielte Angriffe auf Einzelpersonen durchzuführen. Dazu verwandeln sie einzelne E-Mails, SMS und Anrufe in einem kalkulierten Akt der Manipulation. Mit Taktiken, die die KI-Abwehr überlisten können, zielen Cyberkriminelle auf Personal-, Lohn- und Finanzabteilungen und nutzen menschliche Schwächen gezielt aus.
Cyberkriminelle nutzen KI um einer Entdeckung zu entgehen und ihre Angriffe zu personalisieren.
Der Zscaler ThreatLabz 2025 Phishing Report legt die neuesten Trends in einer sich schnell wandelnden Phishing-Landschaft offen, zeigt die wichtigsten Phishing-Ziele und erläutert reale Beispiele von KI-gesteuerten Phishing-Angriffen. Angesichts dieser Entwicklungen werden auch Best Practices zur Abwehr der neuesten Welle von KI-gesteuerten Phishing-Bedrohungen aufgezeigt. Dazu hat das Forschungsteam von ThreatLabz über zwei Milliarden blockierte Phishing-Transaktionen analysiert, die von Januar 2024 bis Dezember 2024 über die Zscaler Zero Trust Exchange Cloud-Sicherheitsplattform erfasst wurden.
Der Report zeigt auf, dass Phishing insgesamt rückläufig ist, aber zielgerichteter eingesetzt wird. Das weltweite Phishing-Volumen ist im Jahr 2024 um 20 Prozent zurückgegangen. Die Angreifer verlagern ihre Strategien und konzentrieren sich auf Kampagnen mit hoher Wirkung, die hochwertige Ziele ins Visier nehmen, um ihre Erfolgsquote zu maximieren. Dabei zielt Phishing auf den KI-Hype ab und nutzt gefälschte KI-Websites, die echte Plattformen imitieren, um das wachsende Vertrauen in die künstliche Intelligenz auszunutzen und auf diese Weise an Zugangsdaten und Zahlungsinformationen von Usern zu gelangen.
Bildungssektor, Jobbörsen und Kryptowährungs-Wallets vermehrt im Visier
Der Bildungssektor gerät vermehrt ins Visier der Angreifer. Laut dem Report haben Phishing-Versuche im Bildungsbereich um 224 Prozent zugenommen im Vergleich zum Vorjahreszeitraum. Die Angreifer setzen dabei auf Fristen im akademischen Jahresverlauf beispielsweise für finanzielle Unterstützung und machen sich schwache Sicherheitsvorkehrungen zunutze. Als weiterer Trend zeichnet sich ab, dass Betrugsmaschen über den technischen Support und Jobbetrug florieren. Mit mehr als 159 Millionen Zugriffen im Jahr 2024 nutzen Betrüger Jobbörsen, soziale Medien und Live Chat-Tools, um sich als Personalvermittler oder IT-Mitarbeitende auszugeben und sensible Informationen, Anmelde- und Zahlungsdaten zu stehlen. Als weitere Taktik nutzen die Malware-Akteure CAPTCHAs, um Phishing-Seiten legitim erscheinen zu lassen und Sicherheitsvorkehrungen zu unterlaufen.
Nicht zuletzt ist der Kryptowährungsbetrug mit gefälschten Wallets auf dem Vormarsch. User werden über Wallet-Nachrichten auf gefälschte Anmeldeseiten gelockt, die den Anschein legitimer Transaktionen vermitteln. Diese gefälschten Währungsplattformen ermöglichen es den Angreifern Zugangsdaten zu erbeuten und auf das digitale Geld der Opfer zuzugreifen. Und darüber hinaus hat sich in den letzten Jahren Voice-Phishing (Vishing) zu einer ernstzunehmenden Angriffstaktik entwickelt, bei der sich Angreifer als IT-Support ausgeben, um Login-Daten in Echtzeit zu stehlen.
Phishing setzt heute verstärkt auf die menschlichen Schwächen, die unter Zuhilfenahme von KI gezielt ausgenutzt werden. Um sich gegen die fortlaufend weiter entwickelnden und KI-basierten Phishing-Angriffe erfolgreich aufzustellen, empfehlen die Forscher des ThreatLabz-Teams die folgenden Maßnahmen, die in jedem Schritt der Angriffskette greifen müssen:
Verhindern der ersten Kompromittierung: Phishing-Angriffe beginnen dort, wo das Vertrauen gutgläubiger User ausgenutzt werden kann. Um schädliche Inhalte in Echtzeit zu blockieren, muss jeglicher TLS/SSL-Datenverkehr online auf schädliche Inhalte geprüft werden. Dabei sollten Unternehmen ebenfalls auf KI-basierte Bedrohungserkennung für das Aufdecken von Phishing-Webseiten, Malware und Zero Day Payloads zurückgreifen. Verdächtige Webseiten können mit Hilfe von Zero Trust Browser-Zugriff isoliert werden, um User vor Drive-by Downloads, Malware und Zero Day-Infektionen abzuschirmen. Mit dynamischen Zugriffskontrollen können die User-Berechtigungen auf der Grundlage von Risikosignalen kontinuierlich angepasst werden. Somit lassen sich Bedrohungen blockieren, ohne legitime User-Aktivitäten und Arbeitsabläufe zu unterbrechen.
Eliminierung von Seitwärtsbewegungen der Angreifer: Phishing kann manchmal nicht im Status der ersten Kompromittierung unterbunden werden. Sollte es Angreifern dennoch gelingen, sich Zugang zu einer Unternehmensumgebung zu verschaffen, gilt es, die weitere Ausbreitung schädlicher Aktivitäten zu unterbinden. Um laterale Bewegungen zu verhindern, sollten User direkt mit Anwendungen verbunden werden – und nicht mit Netzwerken. Durch eine solche Zero Trust-basierte Mikrosegmentierung lässt sich erreichen, dass kompromittierte Konten nicht zu systemischen Angriffen ausgeweitet werden können. AI-gesteuerte Segmentierung kann für das Modell der am wenigsten privilegierten Zugriffsberechtigungen eingesetzt werden. Auf diese Weise lassen sich der Angriffsradius auf einzelne kompromittierte Anwendungen beschränken und Bedrohungen an der Ausbreitung hindern.
Kompromittierte Konten und Insider-Bedrohungen stoppen: Durch den Einsatz von Kontext-basierten Richtlinien unter Zuhilfenahme von User-Identität, seinem Verhalten und Gerätestatus lässt sich gewährleisten, dass nur authentifizierte User und Geräte Zugriff auf Anwendungen, Daten und Workloads erhalten. Insider-Bedrohungen kann zusätzlich durch Täuschungsmanöver mit gefälschten Assets entgegengewirkt werden, die dabei helfen, Angreifer frühzeitig zu erkennen und gezielt in Fallen zu locken, bevor sie wirklichen Schaden anrichten können.
Datendiebstahl auf jeder Ebene verhindern: Durch Echtzeit-Datenprüfung auch von verschlüsselten Datenströmen werden sensible Daten geschützt und sichergestellt, dass keine Exfiltration stattfindet. Data Loss Prevention (DLP)-Richtlinien erweitern diesen Schutz auf Anwendungen, E-Mails und sogar aufkommende GenAI-Tools.
Ständige Wachsamkeit
Cyberkriminelle werden immer raffinierter und nutzen KI, um einer Entdeckung zu entgehen und ihre Angriffe zu personalisieren. Da sich Phishing zu einer immer gezielteren Bedrohung entwickelt, ist es entscheidend, die neuesten Angriffstaktiken zu verstehen und proaktive Abwehrmaßnahmen zu ergreifen. Um im Kampf um die eigene IT-Sicherheit zu bestehen, müssen Unternehmen KI-gestützte Sicherheitsmaßnahmen zur Erkennung KI-getriebener Angriffe einsetzen und damit die Hürden für die Angreifer höher schrauben.
Über den Autor: Deepen Desai ist CISO bei Zscaler.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/b3/f7/b3f75dd711f2385a1e7d528acc79b1c7/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ea/73/ea73089d77ed50b04b76cf96ea4cdb21/0123062722v1.jpeg "Phishing wird für Cyber-Angreifer immer einfacher. KI-basierte Sicherheitssysteme können künftig helfen, schädliche Mails frühzeitig zu identifizieren und verdächtige Aktivitäten schnell zu erkennen. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/48/8a/488a09be8cd964e15d30843bc249f395/0124273194v2.jpeg "In Zeiten von Vhishing ist es sicherer, Help-Desk-Mitarbeitenden nur persönlich vertrauliche Informationen zu geben – nicht am Telefon. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4c/aa/4caac56c18e677d2a4c56123c9b60be3/0121319770v2.jpeg "Phishing kann jeden treffen, egal ob im Privatleben oder am Arbeitsplatz. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/35/383586af1f2bafa3a5336beeb6d1156a/0123011186v2.jpeg "Hacker entwickeln ihre Techniken stetig weiter, um an den modernen Sicherheitsmechanismen wie Mehrfaktor-Authentifizierung (MFA) vorbeizukommen. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/59/b859f4e4dee6dc3d15b3140e73b6849d/0126260774v2.jpeg "Immer mehr Ransomware-Gruppierungen setzen nicht mehr primär auf Verschlüsselung, sondern auf reine Datenexfiltration. (Bild: © Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/e5/50e5c5df084136e7d211c35c2568ab5a/0128261499v1.jpeg "Zero-Trust-Ansätze begrenzen die Angriffsfläche vernetzter Mobil-, IoT- und OT-Umgebungen. Der aktuelle Zscaler-Report zeigt, welche Einstiegspunkte Angreifer besonders häufig nutzen. (Bild: © NicoElNino - stock.adobe.com)")