KI-Kriminalität auf dem Vormarsch: BSI warnt vor neuer Phishing-Welle

Die Zahl der Cybercrime-Opfer in Deutschland ist sprunghaft gestiegen – und Künstliche Intelligenz treibt die Entwicklung an. Das zeigt die aktuelle Digitalbarometer-Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI). Demnach fielen Anfang 2026 bereits elf Prozent der Bundesbürger digitalen Straftaten zum Opfer – im Vorjahr waren es noch sieben Prozent. Mehr als ein Viertel aller Befragten gab an, bereits mindestens einmal betroffen gewesen zu sein.

Hintergrund des Anstiegs ist eine neue Welle hochprofessioneller Phishing-Kampagnen, die derzeit vor allem auf große Plattformen wie Amazon und Apple abzielt, aber auch prominente Politiker ins Visier nimmt. Parallel dazu hat die Europäische Union die Umsetzungsfristen für die strengen Regeln zu Hochrisiko-KI verschoben – ein Spagat zwischen Sicherheitsanspruch und Wirtschaftsrealität.

Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die neue Generation des Phishings

Der Mai 2026 ist geprägt von einer Serie massiver Phishing-Wellen, die sowohl technische Schwachstellen als auch das Vertrauen der Verbraucher ausnutzen. Sicherheitsforscher warnen vor gefälschten SMS und E-Mails, die iPhone-Nutzern angeblich volle iCloud-Speicher melden. Die Betrugsseiten sollen Apple-IDs und Kreditkartendaten abgreifen. Parallel erhalten Amazon-Prime-Kunden fingierte Zahlungsaufforderungen mit der Bitte um sofortige Aktualisierung ihrer Zahlungsdaten.

Das BSI schätzt, dass inzwischen etwa ein Drittel aller unerwünschten E-Mails als Phishing einzustufen ist. 62 Prozent der Bevölkerung haben bereits solche betrügerischen Nachrichten erhalten.

Entscheidend ist der Einsatz von Künstlicher Intelligenz: KI-gestütztes Phishing mit Deepfakes und automatisierter Täuschung wird für Nutzer kaum noch erkennbar. Microsoft hat daraufhin angekündigt, sich komplett von traditionellen Passwörtern zu verabschieden. Der Messenger-Dienst Signal führte im Mai 2026 neue Warnhinweise für Nachrichten von unbekannten Kontakten ein.

Hintergrund dieser Maßnahmen ist auch eine Serie gezielter Attacken auf deutsche Spitzenpolitiker – darunter Julia Klöckner, Karin Prien und Verena Hubertz. Sicherheitsbehörden vermuten Verbindungen zu ausländischen Geheimdiensten.

Digitale Hygiene: Die Lücke zwischen Gefühl und Realität

Trotz der steigenden Bedrohung unterschätzen viele Bürger ihr persönliches Risiko. Mehr als die Hälfte der Befragten hält die Wahrscheinlichkeit, Opfer von Cyberkriminalität zu werden, für gering – obwohl 88 Prozent der tatsächlichen Opfer von erheblichen Schäden berichten.

Die Zahlen zur digitalen Vorsorge sind ernüchternd: Nur 40 Prozent der Deutschen nutzen die Zwei-Faktor-Authentifizierung (2FA). Gerade einmal 25 Prozent haben automatische Software-Updates aktiviert. Weniger als die Hälfte verwendet sichere Passwörter, und nur 40 Prozent setzen auf spezielle Antiviren-Software.

Die wirtschaftlichen Folgen sind massiv. Besonders häufig sind Betrug beim Online-Shopping, unbefugte Kontoübernahmen und Probleme beim Online-Banking. Ein Fall der Kölner Polizei zeigt die Tücke: Ein Opfer verlor mehrere hundert Euro durch eine gefälschte Park-App in Kopenhagen. Weil die Transaktion per TAN autorisiert wurde, war der Verlust nicht erstattungsfähig.

Die Behörden betonen: Banken und große Anbieter wie Apple fordern niemals TANs oder Zugangsdaten per SMS oder externe Links. Der Kontostand sollte nur über offizielle Apps oder Einstellungen geprüft werden.

EU-KI-Gesetz: Fristen verschoben, neue Regeln kommen

Während die Bedrohung durch KI-Kriminalität wächst, wird der rechtliche Rahmen nachjustiert. Am 7. Mai 2026 einigten sich Unterhändler des Europaparlaments und des EU-Rats auf den „Digital Omnibus on AI". Das Paket verschiebt zentrale Fristen des EU-KI-Gesetzes:

• Hochrisiko-KI-Systeme nach Anhang III (etwa für Personalauswahl, Kredit-Scoring, kritische Infrastruktur): Die Umsetzungspflicht wird von August 2026 auf den 2. Dezember 2027 verschoben.
• KI in regulierten Produkten wie Medizingeräten oder Spielzeug (Anhang I): Die Frist verlängert sich auf den 2. August 2028.

Gleichzeitig bringt der Omnibus konkrete Verbote: Ab dem 2. Dezember 2026 sind sogenannte „Nudifier"-Anwendungen und KI-generierte intime Bilder ohne Einwilligung untersagt.

Für die Transparenz gibt es ebenfalls neue Vorgaben. Die EU-Kommission veröffentlichte am 9. Mai 2026 einen detaillierten Leitlinien-Entwurf zu Artikel 50 des KI-Gesetzes. Ab dem 2. August 2026 müssen interaktive KI-Systeme wie Chatbots klar als solche erkennbar sein. KI-generierte Bilder, Videos und Texte benötigen maschinenlesbare Wasserzeichen. Bestehende Systeme haben bis zum 2. Dezember 2026 Zeit, die Wasserzeichen-Pflicht umzusetzen. Reine Assistenzfunktionen wie Rechtschreibkorrekturen bleiben ausgenommen.

Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen vorbereitet? Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist. Umsetzungsleitfaden zum EU AI Act jetzt kostenlos anfordern

Datenschutz: Rekordstrafen und neue Verfahren

Die Durchsetzung bestehender Datenschutzgesetze wird immer schärfer. Seit Mai 2018 wurden DSGVO-Strafen in Höhe von über 7,1 Milliarden Euro verhängt – mehr als 60 Prozent davon seit Januar 2023. Hauptgründe sind unrechtmäßige Datenverarbeitung, unzureichende technische und organisatorische Maßnahmen sowie mangelnde Transparenz.

Aktuelle Beispiele:

• Mitte Mai 2026 verhängten Aufsichtsbehörden in den Niederlanden, Finnland und Norwegen eine 100-Millionen-Euro-Strafe gegen MLU B.V., eine Tochter von Yandex/Yango. Grund: Nutzerdaten des Taxidienstes Yango wurden von Finnland und Norwegen an russische Rechenzentren übertragen – ohne ausreichenden Schutz vor Zugriff durch russische Behörden.
• Die spanische Datenschutzbehörde AEPD verurteilte am 11. Mai 2026 ein Unternehmen zu 950.000 Euro Strafe, weil es Gesichtserkennung zur Altersverifikation einsetzte – ohne aktive Einwilligung und ohne „Privacy by Default".
• In den USA einigten sich die kalifornischen Aufsichtsbehörden am 8. Mai 2026 mit General Motors auf einen Vergleich über 12,75 Millionen Euro. Der Autobauer hatte Standort- und Fahrverhaltensdaten über vernetzte Dienste gesammelt und ohne ausreichende Offenlegung an Datenbroker verkauft.

Diese internationalen Maßnahmen zeigen: Der globale Konsens für strenge Datenaufsicht wächst – auch wenn die konkreten Zeitpläne für neue KI-Regeln noch in Bewegung sind.

Verschiebung als Lehrstück aus der DSGVO

Die Entscheidung, die Hochrisiko-Fristen per Omnibus zu verschieben, ist ein pragmatisches Eingeständnis der technischen und administrativen Hürden. Der TÜV-Verband begrüßte die Verlängerung: Sie schaffe Zeit für harmonisierte Standards und die Benennung nationaler Aufsichtsbehörden.

Kritiker warnen jedoch vor Fragmentierung: Der „Branchenausstieg" bestimmter Maschinen aus dem direkten Anwendungsbereich des KI-Gesetzes könnte zu mehr Bürokratie führen.

Rechtsexperten sehen die Verschiebung als Lehre aus dem DSGVO-Start, bei dem unklare Regeln zu erheblicher Verwirrung führten. Indem das KI-Gesetz nun enger an bestehende Produktsicherheitsvorschriften angekoppelt wird, will die EU Überschneidungen vermeiden und kleinen und mittleren Unternehmen klare Wege bieten. Der Omnibus erweitert zudem die Definition von „Small Mid-Caps" auf Unternehmen mit bis zu 200 Millionen Euro Umsatz.

Ausblick: Was kommt auf Unternehmen zu?

In den kommenden Monaten rückt der 2. August 2026 in den Fokus – der Stichtag für die KI-Transparenzpflichten. Unternehmen, die Chatbots betreiben oder synthetische Inhalte erstellen, müssen sich auf die Kennzeichnungs- und Wasserzeichen-Pflichten vorbereiten. Die Konsultation der EU-Kommission zu den Transparenzleitlinien läuft noch bis zum 3. Juni 2026 – eine letzte Chance für die Wirtschaft, Einfluss zu nehmen.

Parallel wird der Kampf gegen KI-gestütztes Phishing die Verbreitung passwortloser Authentifizierung und verbesserter Messenger-Sicherheit vorantreiben. Die BSI-Studie zeigt eine wachsende Kluft zwischen gefühltem und tatsächlichem Risiko. Die Behörden werden ihre Aufklärungskampagnen zur digitalen Hygiene voraussichtlich verstärken.

Der Europäische Datenschutzausschuss (EDPB) plant für die zweite Jahreshälfte 2026 eine koordinierte Aktion zur Durchsetzung der Transparenzregeln. Für Compliance-Abteilungen bleibt das Zusammenspiel von Cybersicherheit, KI-Regulierung und Datenschutz bis zum Jahresende die zentrale Herausforderung.

de | wirtschaft | 69320318 |