KI-Phishing: Der Angriff auf die KI-Abwehr hat begonnen

KI-generierte Phishing-Angriffe sind zur neuen Normalität geworden – und die Cyberkriminellen entwickeln jetzt Techniken, um die KI-Abwehrsysteme auszutricksen. Das zeigen zwei neue, alarmierende Berichte vom 17. März 2026. Der digitale Kampf hat sich von einem Duell Mensch gegen Maschine zu einem Hochgeschwindigkeits-Wettrüsten zwischen künstlichen Intelligenzen gewandelt.

KI-Phishing ist jetzt Standard – traditionelle Abwehr versagt

Der 2026 Kaseya INKY Email Security Report stellt klar: Die Branche hat einen kritischen Punkt überschritten. KI-generierte Phishing-Mails sind nicht mehr die Ausnahme, sondern die Regel. Die Analyse von über 4,5 Milliarden E-Mails ergab, dass Angreifer erfolgreich 281 verschiedene Marken imitierten.

Angesichts immer perfekterer Phishing-Mails stehen besonders Unternehmen im Visier von Cyberkriminellen. Dieser Experten-Guide unterstützt Sie mit einer 4-Schritte-Anleitung dabei, Ihre Organisation effektiv vor modernen Hacker-Methoden und Betrugsmaschen zu schützen. Anti-Phishing-Paket für Unternehmen kostenlos anfordern

Die alten Warnsignale – schlechte Grammatik, Tippfehler oder auffällige Domains – verschwinden. Große Sprachmodelle produzieren syntaktisch perfekte, kontextsensitive Nachrichten in nie dagewesenem Umfang. Die Imitationen großer Banken oder Handelsmarken sind von echten Kommunikationen kaum noch zu unterscheiden.

Besonders betroffen sind kleine und mittlere Unternehmen. 82 Prozent der Ransomware-Angriffe zielen auf Organisationen mit weniger als 1.000 Mitarbeitern. Die Verteidiger sind gezwungen, von der Suche nach einzelnen Indikatoren zur Bewertung der Absicht und des Gesamtkontexts jeder Nachricht überzugehen. Phishing bleibt das Haupteinfallstor für Netzwerkangriffe und verursacht weiterhin Schäden in Milliardenhöhe.

So tricksen Angreifer die KI-Filter aus

Während Sicherheitsanbieter NLP-Algorithmen (Natural Language Processing) einsetzen, um KI-generierte Texte zu erkennen, passen sich die Angreifer genau an diese Abwehr an. KnowBe4 dokumentierte am 17. März eine neue Verschleierungstechnik, die speziell NLP-basierte E-Mail-Sicherheitssysteme täuschen soll.

Das Muster ist durchdacht: Ganz oben steht der eigentliche Social-Engineering-Inhalt. Darunter folgen im Schnitt 157 Zeilenumbrüche – eine riesige Leerstelle. Ganz unten platzieren die Angreifer dann große Blöcke mit harmlosem Text, der oft legitime Werbe-E-Mails („Graymail“) großer Konzerne imitiert.

In etwa 63 Prozent der Fälle bestand dieser Fülltext aus authentisch wirkenden Unternehmenssignets, etwa von Bank of America, oder Werbeanzeigen von Firmen wie Uber. Das Ziel: Das Verhältnis von bösartigem zu harmlosem Text so zu verzerren, dass das NLP-System die gesamte Nachricht als ungefährlich einstuft. Zudem enthalten diese E-Mails im Schnitt fünf legitime Links, aber nur zwei schädliche – was automatisierte Scanner weiter verwirrt.

Die vielen Zeilenumbrüche sorgen dafür, dass menschliche Empfänger den Betrug selten entdecken, da sie kaum so weit herunterscrollen. Die Kampagnen sind zudem polymorph: Betreffzeilen und Anhangnamen werden für jeden Empfänger innerhalb einer Zielorganisation individuell randomisiert. Das verhindert, dass IT-Administratoren einen Vorfall durch das Massenlöschen von E-Mails mit einem identischen Betreff eindämmen können.

Phishing-as-a-Service: Die Industrialisierung der Cyberkriminalität

Hinter dem Anstieg des KI-Phishings steht eine florierende Schattenwirtschaft. Sie stellt auch unerfahrenen Kriminellen ausgefeilte Werkzeuge zur Verfügung – ein Geschäftsmodell namens Phishing-as-a-Service (PhaaS).

Akteure nutzen zunehmend dynamische Text-Randomisierung („Fuzzing“), um die Signale ihrer Kampagnen auf Tausende von Low-Volume-Varianten zu verteilen. So bleiben ihre Aktivitäten unter der Schwelle, ab der Erkennungssysteme sie als zusammenhängende Bedrohung clustern würden.

Das Ausmaß dieser Operationen zeigte sich Anfang März 2026: Eine koordinierte Aktion von Europol, Microsoft und Proofpoint beschlagnahmte 330 Kontrollpanel-Domains der Plattform Tycoon 2FA, einer der aktivsten „Adversary-in-the-Middle“-Phishing-Plattformen. Sie hatte Angriffe auf fast 100.000 Organisationen ermöglicht und dabei in der Mehrheit der kompromittierten Konten die Zwei-Faktor-Authentifizierung (2FA) umgangen. Fast 60 Prozent der erfolgreich gehackten Konten hatten zum Zeitpunkt des Angriffs 2FA aktiviert.

Analysten warnen: Solche Abschaltungen bieten nur vorübergehend Entlastung. Die zugrunde liegende PhaaS-Infrastruktur regeneriert sich schnell – angetrieben von KI-Tools, die die Bereitstellung neuer Betrugsseiten und Umgehungstaktiken automatisieren.

Die Verteidigung muss sich grundlegend ändern

Die jüngsten Entwicklungen zeigen, dass traditionelle E-Mail-Sicherheitsgateways nicht mehr ausreichen, um Unternehmensnetzwerke zu schützen. Die klassische Phishing-Timeline bricht zusammen: Heute können Angreifer eine Domain registrieren, einen personalisierten Köder generieren und eine Kampagne in Minuten starten – nicht mehr in Tagen.

Unternehmen werden zu kontinuierlichen, adaptiven Sicherheitsmaßnahmen gedrängt. Dazu gehört der Einsatz defensiver KI, die Multi-Label-Klassifizierung und kontextuelles Verständnis auf Basis von Computer Vision beherrscht. Sie analysiert das visuelle Layout einer E-Mail, anstatt sich nur auf die Textanalyse zu verlassen.

Da herkömmliche Filter oft versagen, rückt die proaktive Stärkung der IT-Sicherheit in den Fokus von Geschäftsführern und IT-Verantwortlichen. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Ihr Unternehmen mit fundierten Strategien gegen aktuelle Cyber-Bedrohungen wappnen. Gratis E-Book: Cyber Security Trends jetzt herunterladen

Auch die Sicherheitsschulungen für Mitarbeiter müssen sich weiterentwickeln. Statt nach Tippfehlern zu suchen, müssen Beschäftigte lernen, subtile visuelle Hinweise in KI-Vorlagen zu erkennen und fortgeschrittene Social-Engineering-Taktiken zu identifizieren. Dazu gehören unerwartete Kalendereinladungen, passwortgeschützte Dokumente oder Rückruf-Telefonnummern, die E-Mail-Links komplett umgehen.

Ausblick: Ein immer feindseligeres digitales Umfeld

Die Entwicklung des KI-Phishings deutet auf eine zunehmend feindselige digitale Landschaft hin. Bedrohungsforscher erwarten, dass traditionelle Ansätze zur Gruppierung von Phishing-E-Mails in erkennbare Kampagnen bis 2027 aufgrund KI-gestützten polymorphen Verhaltens praktisch unmöglich werden.

Wenn generative Modelle sich weiter verbessern, sinkt die Einstiegshürde für Cyberkriminelle noch weiter. Die Folge wird eine höhere Anzahl hyper-personalisierter Angriffe sein. Die nächste Frontlinie wird die nahtlose Integration von textbasiertem Phishing mit KI-gestütztem Voice-Cloning (Vishing) und Deepfake-Technologien sein – und damit mehrkanalige Betrugskampagnen.

Unternehmen müssen daher stark in proaktive Bedrohungsaufklärung investieren. Sie müssen davon ausgehen, dass ausgefeilte, KI-generierte Köder unweigerlich die Postfächer ihrer Mitarbeiter erreichen werden. Robuste Erkennung nach Zustellung und schnelle Reaktionsfähigkeit auf Vorfälle werden überlebenswichtig.

boerse | 68771782 |