Während Künstliche Intelligenz immer leichter einzusetzen und damit gebräuchlicher wird, müssen Organisationen mit einer neuen Generation von Spear-Phishing-Angriffen rechnen. Mit nur wenig Aufwand werden Cyberkriminelle schon bald höchstindividualisierte Mails in großer Anzahl verschicken können. Davor schützen kann ebenso individuelles Awareness-Training, das die aktuellsten Angriffstaktiken aufgreift und Mitarbeitende entsprechend sensibilisiert.
Unternehmen müssen sich präventiv vor KI-basierten Spear-Phishing-Mails schützen.
Die aktuelle Cyber-Bedrohungslage ist angespannt: Nie wurden mehr Phishing-Mails verschickt als im vergangenen Jahr. Die meisten Angriffe sind dabei zwar automatisiert, aber sehr simpel gehalten. Vor kurzem stellte nun ein Forschungsteam von Singapurs Government Technology Agency erschreckende Ergebnisse auf einer Security-Konferenz in Los Angeles vor. In einer Studie fanden sie heraus, dass Künstliche Intelligenz (KI) bessere Phishing-Mails als Menschen schrieb. Sie verschickten einerseits selbst erstellte, andererseits von KI generierte Spear-Phishing-Mails an 200 Kolleginnen und Kollegen. Das Ergebnis: Die KI-Varianten wurden häufiger geklickt.
Die Phishing-Mails wurden dabei unter anderem mit OpenAI’s GPT-3 Tool erstellt – einer KI-as-a-Service-Plattform, die in limitiertem Umfang öffentlich zugänglich ist. Obwohl die Studie klein angelegt war und deshalb keine repräsentativen Ergebnisse lieferte, untermauern die Befunde eine allgemeine Entwicklung: Künstliche Intelligenz ist längst nicht mehr nur versierten Codern vorbehalten. Auch Laien werden die Modelle schon bald mit einfachen Mitteln und eingeschränktem Technikwissen trainieren können. Das hat bereits der Vormarsch von Audio- und Video-Deepfakes für Cyberangriffe gezeigt. Die IT-Sicherheit von Organisationen wird nun auch durch den Missbrauch von KI-Sprachmodellen für Spear-Phishing-Attacken unausweichlich auf die Probe gestellt werden.
Viele Cyberkriminelle setzten in der Vergangenheit auf Masse statt Klasse: Sie versendeten schnell aufgesetzte, manchmal unsauber formulierte Phishing-Mails an eine Vielzahl von Empfängerinnen und Empfängern. Die Chance auf einen erfolgreichen Hack stieg so linear mit der Menge an versendeten Mails, bis ein unvorsichtiger Klick einer Empfängerin oder eines Empfängers zum Ziel führte. In den letzten Jahren haben viele Hacker allerdings die Chancen von Spear Phishing entdeckt. Dabei werden die Mails individuell angepasst und spielen gezielt mit Emotionen. Sie enthalten persönliche Informationen oder greifen aktuelle Entwicklungen aus dem Unternehmen auf, erwecken so beispielsweise Neugier oder erzeugen Druck. Die Insider-Informationen sammeln Cyberkriminelle dabei über soziale Netzwerke oder andere öffentlich zugängliche Quellen. Dieses Vorgehen macht Phishing wesentlich erfolgsversprechender – und damit auch profitabler. Das einzige Manko: Bisher war die Individualisierung sehr arbeitsintensiv.
Wie die genannte Studie zeigt, können mit KI nun in sehr absehbarer Zukunft und in kürzester Zeit Massen von überzeugenden individualisierten Phishing-Mails erstellt werden – eine gefährliche Wendung für Organisationen. Wir warnten schon 2019 auf dem BSI-Kongress vor diesen Möglichkeiten. Die neuen Forschungsergebnisse aus Singapur bestätigen nun die Befürchtung. Tools wie GPT-3, die KI als Service anbieten, erleichtern den Cyberkriminellen die Arbeit. Sie analysieren und verstehen Verhaltensmuster und produzieren sehr legitim wirkende Nachrichten. Die Social-Engineering- und Spear-Phishing-Taktiken der Cyberkriminellen werden so massentauglich.
Viele technische Filter erkennen KI-basierte Texte nicht
Für die IT-Sicherheit offenbart sich mit der Popularisierung von KI ein echtes Dilemma. Denn KI-Modelle werden längst nicht nur für bösartige Zwecke genutzt, sondern beispielsweise auch für die Redaktion von Texten und für Sprachassistenten, um Arbeitsabläufe zu erleichtern. Mit der dadurch steigenden Anzahl und Qualität von künstlich generierten Texten wird es allerdings auch mit Screening-Tools und Spamfiltern technisch immer schwieriger, die „Guten“ von den „Bösen“ zu unterscheiden. Zumal dies mit der laufenden Verbesserung der Modelle selbst für die Menschen hinter den Bildschirmen immer schwieriger wird. Die Forscherinnen und Forscher aus Singapur haben genau hier angesetzt und versuchen mittlerweile, ein Framework zu entwickeln, das dieses Problem lösen soll. Ziel ist es dabei, künstlich generierte Phishing-Inhalte in Mails schon frühzeitig als solche zu markieren und herauszufiltern. Mit Blick auf die dynamische Entwicklung der Modelle könnte sich das als eine komplizierte Angelegenheit herausstellen.
Wie Organisationen sich vor KI-basierten Angriffen schützen
Solange die Forschung noch in den Kinderschuhen steckt und Künstliche Intelligenzen gleichzeitig laufend weiterentwickelt werden, liegt es an Organisationen und ihren Mitarbeitenden sich vor den komplexen Cyberangriffen zu schützen. Denn nur mit einem geschulten Auge lassen sich die Spear-Phishing-Mails frühzeitig erkennen und die Angriffe abwehren. Organisationen sollten deshalb auf stets aktuelle und kontinuierliche Trainings ihrer Mitarbeitenden setzen, um diese für schädliche Inhalte zu sensibilisieren. Moderne IT-Sicherheitsschulungen setzen dabei vor allem auf Lerninhalte, die passgenau auf die individuellen Bedürfnisse der Organisation und der Mitarbeitenden sowie die derzeitige Angriffslage zugeschnitten sind. So wird eine gezielte Lernerfahrung ermöglicht. Auch die Simulation spezifischer und aktueller Angriffsszenarien, darunter auch Spear Phishing, ist sinnvoll, um realitätsnah das Verhalten im Umgang mit Cybergefahren und den neuesten Social-Engineering-Taktiken zu trainieren. Für die Umsetzung von E-Learnings und Co. bietet KI sogar Vorteile: Sie wird es ermöglichen, in Zukunft diese Trainings noch individueller und damit effektiver für die User zu machen. IT-Sicherheitsverantwortliche sollten die Trends aufmerksam beobachten. Denn auch Awareness-Training muss sich laufend weiterentwickeln und mit den Ansätzen der Cyberkriminellen Schritt halten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Fazit: Mit Awareness vor KI-basiertem Spear Phishing schützen
Künstliche Intelligenz wird uns in den kommenden Jahren vieles erleichtern. Aber die Weiterentwicklung der Technik birgt wie in jedem anderen Bereich auch neue Tücken, die frühzeitig adressiert werden müssen. Im Hinblick auf die IT-Sicherheit von Organisationen heißt es nun, sich präventiv vor überzeugenden KI-basierten Spear-Phishing-Mails zu schützen. Denn es ist nur noch eine Frage der Zeit, bis diese Taktik für Cyberkriminelle zum Alltag wird. Insbesondere, solange technische Mittel zum Schutz vor den Taktiken nur eingeschränkt bereitstehen, sollten IT-Sicherheitsverantwortliche auf eine gezielte Schulung der Mitarbeitenden setzen. Moderne und kontinuierliche Awareness-Trainings, die sich den neuen Gegebenheiten laufend anpassen und stets aktuelle, passgenaue Inhalte bieten, schützen gezielt auch vor neuartigen Angriffstaktiken – und Organisationen damit vor kostspieligen Vorfällen.
Über den Autor: Dr. Niklas Hellemann ist Diplom-Psychologe, langjähriger Unternehmensberater und Geschäftsführer der Firma SoSafe Cyber Security Awareness. Als Experte für Social Engineering und Security Awareness beschäftigt er sich mit innovativen Methoden der Mitarbeitersensibilisierung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c0/ea/c0ea15d2614c54a6da1e18299428cc95/0128851547v2.jpeg "Im Rückblick auf 2025 verzeichnete der KEV-Katalog der CISA einen alarmierenden Anstieg von 20 Prozent ausgenutzten Schwachstellen, was die dringende Notwendigkeit für Unternehmen weltweit verdeutlicht, Sicherheitslücken aktiv zu priorisieren. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/d7/afd75f951f4396db9cdb419b378b5699/0128927763v2.jpeg "Das BKA und die ZIT fahnden nach dem Anführer von Black Basta, einer der aktivsten Ransomware-Gruppen der Welt. (Bild: arrow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/e8/72e8ce3f4b573d059393e5a5991e9e2f/0128518662v2.jpeg "Phishing nutzt psychologische Trigger und bleibt trotz Technik gefährlich. Vernetzte Abwehr mit Micro-Trainings, einfachen Meldemechanismen und E-Mail-Authentifizierung senkt Risiken. (Bild: © mk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/06/78/0678ce1dceed0f9a6205f464fd5a33da/0125974706v1.jpeg "Windows Server 2025 bringt zahlreiche neue Gruppenrichtlinien für Sicherheit, Updates, Energiesparmodus, SMB over QUIC und mehr – zentral steuerbar per Admin Center. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/49/f0/49f0dcf29f3c7961c16d8f24bf5cd8dd/0128852664v2.jpeg "Nutzen Cyberkriminelle die kritische Sicherheitslücke in HPE OneView erfolgreich aus, sind sie in der Lage, Zugriff auf Systemressourcen zu erlangen und schädliche Änderungen vorzunehmen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/94/8a/948a5edd42fe80e9ebea60a60ec4af59/0128868821v2.jpeg "Schatten-IT verursacht Kosten und Sicherheitsrisiken. IT-Teams können dem entgegenwirken, indem sie Benutzerfeedback sammeln, die Nutzung von Software analysieren, offizielle Tools optimieren, Compliance in tägliche Workflows integrieren und Sicherheitskultur durch ständige Schulungen fördern. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/ea/73/ea73089d77ed50b04b76cf96ea4cdb21/0123062722v1.jpeg "Phishing wird für Cyber-Angreifer immer einfacher. KI-basierte Sicherheitssysteme können künftig helfen, schädliche Mails frühzeitig zu identifizieren und verdächtige Aktivitäten schnell zu erkennen. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/00/2e008f38b3044593fd9ada929af6bad1/0123639613v2.jpeg "Um eine wirksame IT-Sicherheit aufrechtzuerhalten und sich an die sich weiterentwickelnden Taktiken der Cyberkriminellen anzupassen, sind kontinuierliche und vor allem adaptive Mitarbeiterschulungen unerlässlich. (Bild: Limitless Visions - stock.adobe.com)")