KI-Phishing erreicht 86 Prozent: Unternehmen in der Abwehrkrise

Die Bedrohungslage für Unternehmen hat sich dramatisch verschärft: Künstliche Intelligenz treibt mittlerweile 86 Prozent aller Phishing-Angriffe an. Allein Microsoft blockierte im ersten Quartal 2026 rund 8,3 Milliarden betrügerische E-Mails. Gleichzeitig zwingen neue EU-Regularien und der massive Umstieg auf passwortlose Authentifizierung die Unternehmen zu einem grundlegenden Umdenken in der Sicherheitsstrategie.

Gezielte Angriffe auf Geschäftsplattformen und Messenger

Die Methoden der Angreifer werden immer raffinierter. Anfang Mai traf eine Phishing-Welle die Nutzer der Schweizer Business-Software bexio. Die Täter nutzten gefälschte E-Mails und Webseiten, um an Zugangsdaten zu gelangen. In mehreren Fällen manipulierten sie IBAN-Daten und erbeuteten Adressinformationen. Das Unternehmen reagierte umgehend: Seit dem 9. Mai ist für alle Kunden eine Zwei-Faktor-Authentifizierung (2FA) Pflicht.

Angesichts der rasanten Zunahme gezielter Angriffe auf Firmennetzwerke müssen besonders kleine und mittelständische Betriebe ihre Abwehrstrategien überdenken. Ein kostenloses E-Book zeigt, wie Sie aktuelle Sicherheitslücken schließen und Ihre IT ohne teure Investitionen proaktiv absichern. IT-Sicherheits-Leitfaden für Unternehmen jetzt gratis sichern

Auch Messenger-Dienste sind längst im Visier der Angreifer. Das Bundesamt für Verfassungsschutz warnte erst kürzlich vor Account-Übernahmen auf der Signal-Plattform. Die Taktik: Angreifer geben sich als Support-Mitarbeiter aus und fordern SMS-Verifikationscodes an. Oder sie verschicken manipulierte QR-Codes in Gruppen-Einladungen, mit denen sich fremde Geräte mit dem Account verbinden.

Die Angriffe erreichten sogar die höchsten Regierungskreise. Bundestagspräsidentin Klöckner sowie die Kabinettsmitglieder Hubertz und Prien wurden Ziel von Phishing-Attacken aus russischen Quellen. Signal hat daraufhin neue Schutzfunktionen eingeführt: strengere Warnungen bei Nachrichten von unbekannten Nummern und ein aufwändigerer Prozess für neue Kontakte.

Der Einzelhandel bleibt ein Hauptziel. Seit dem 8. Mai läuft eine groß angelegte Kampagne gegen Amazon-Prime-Mitglieder. Die Betrugs-E-Mails behaupten, eine Zahlung von 8,99 Euro sei fehlgeschlagen, und fordern zur sofortigen Aktualisierung der Zahlungsdaten auf. Besonders tückisch: Die Angreifer setzen auf „Quishing" – sie verstecken schadhafte Links in QR-Codes auf physischen Briefen oder an öffentlichen Ladestationen. Herkömmliche Spam-Filter erkennen diese Methode kaum.

Die Ära der Passkeys: Abschied vom Passwort

Die Erfolgsquote KI-gestützter Phishing-Angriffe liegt bei alarmierenden 54 Prozent. Kein Wunder also, dass die Tech-Branche den Umstieg auf passwortlose Authentifizierung forciert. Microsoft macht seit Jahresbeginn Passkeys zur Voreinstellung für alle neuen Konten. Weltweit sind bereits rund fünf Milliarden Passkeys im Einsatz – die Mehrheit der Nutzer kennt die Technologie.

Da herkömmliche Passwörter bei Millionen von Hackerangriffen in Deutschland oft die größte Schwachstelle darstellen, gewinnt der Umstieg auf biometrische Anmeldeverfahren massiv an Bedeutung. Dieser kostenlose Spezialreport erklärt, wie Sie Passkeys bei Diensten wie Amazon oder Microsoft sofort einrichten und damit Phishing sowie Datenklau effektiv verhindern. Sicherheits-Guide für passwortlose Anmeldung kostenlos herunterladen

Am 9. Mai veröffentlichte der Sicherheitsanbieter Sophos einen strategischen Leitfaden für Chief Information Security Officers (CISOs). Das Papier konzentriert sich auf die Einführung der Standards FIDO2 und WebAuthn und adressiert die Herausforderungen bei der Integration in bestehende Systeme. In manchen Bereichen wird der Wechsel zur Pflicht: Bei Microsofts Entra ID werden Sicherheitsfragen bis Januar 2027 komplett abgeschafft.

Künstliche Intelligenz dient dabei sowohl als Waffe als auch als Schutzschild. Ebenfalls am 9. Mai startete Anthropic die öffentliche Beta von Claude Security, basierend auf dem Opus-4.7-Modell. Das Tool zur automatisierten Schwachstellenerkennung wird bereits in die Sicherheitsplattformen von Microsoft, CrowdStrike und Palo Alto Networks integriert. Die Hoffnung: KI soll komplexe, lang bestehende Sicherheitslücken aufspüren, die menschlichen Analysten entgehen.

Bürokratie-Bremse: Datenschutz unter Druck

Während die technischen Abwehrmaßnahmen voranschreiten, wächst der administrative Aufwand. Eine aktuelle Studie unter 5.000 IT-Managern ergab: 39 Prozent der Arbeitszeit fließen inzwischen in Compliance-Aufgaben. Die EU verschärft die Regulierung weiter: Am 7. Mai trat das Paket „Digital Omnibus VII" in Kraft. Es setzt neue Fristen für die KI-Überwachung – Dezember 2027 für Hochrisiko-KI-Systeme, August 2028 für eingebettete KI-Technologien.

Doch genau jene Institutionen, die diese Regeln durchsetzen sollen, stecken in der Krise. In Baden-Württemberg plant die neue Landesregierung massive Stellenkürzungen beim Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI). Datenschützer schlagen Alarm: Die Kürzungen verletzten die Anforderungen der DSGVO an Unabhängigkeit und ausreichende Ressourcen der Aufsichtsbehörden. LfDI Tobias Keber warnt vor drastisch längeren Bearbeitungszeiten und einem Verlust lokaler Expertise – für Unternehmen und Bürger gleichermaßen.

Die Durchsetzungskraft der Aufsicht bleibt ohnehin fraglich. In Irland verhängte die Datenschutzkommission (DPC) zwar Geldstrafen in Höhe von vier Milliarden Euro – tatsächlich eingetrieben wurden aber nur rund 20 Millionen Euro. Die Diskrepanz zeigt: Regulatorische Vorgaben in konkrete Konsequenzen zu übersetzen, bleibt eine enorme Herausforderung.

Wirtschaftliche Folgen: Sicherheit als Renditefaktor

Die finanziellen Auswirkungen der Sicherheitskrise sind messbar. Analysen von Eulerpool belegen: Unternehmen mit robusten Cybersecurity-Investitionen übertreffen ihre Wettbewerber in zentralen Kennzahlen. Investoren betrachten Cybersicherheit zunehmend als strategische Notwendigkeit – Datenlecks führen nicht nur zu direkten Verlusten und Bußgeldern, sondern langfristig zur Vernichtung von Shareholder-Value.

Der Trend zur Datenerfassung erfasst auch den öffentlichen Sektor. In Thüringen entzündet sich eine Debatte über „gläserne Schüler" und mögliche Stigmatisierung. Geplant sind datengestützte Schulentwicklungsmodelle nach kanadischem Vorbild. Datenschützer fordern strenge Zweckbindung und elterliche Einwilligung – ein klassischer Konflikt zwischen technologischer Modernisierung und informationeller Selbstbestimmung.

Ausblick: Wohin steuert die Unternehmenssicherheit?

Die zweite Jahreshälfte 2026 wird zeigen, ob die Unternehmen die Lücke zwischen KI-getriebenen Angriffen und traditionellen Abwehrmechanismen schließen können. Der vollständige Umstieg auf Passkeys dürfte sich fortsetzen – weitere Plattformen werden dem Beispiel von Microsoft folgen und veraltete Methoden wie Sicherheitsfragen bis Anfang 2027 abschaffen.

Viele Unternehmen werden verstärkt auf Managed Detection and Response (MDR) setzen, um den Fachkräftemangel in der Cybersicherheit zu kompensieren. Deutsche Anbieter offerieren bereits spezialisierte Dienste für kleine und mittlere Unternehmen, die Rund-um-die-Uhr-Überwachung mit KI-basierter Erkennung kombinieren. Doch der Erfolg dieser Maßnahmen hängt maßgeblich von der Stabilität des regulatorischen Umfelds ab – und davon, ob die Aufsichtsbehörden trotz Budgetzwängen ihre Kontrollfunktion aufrechterhalten können. Die Fristen des Digital-Omnibus-VII-Pakets werden zum ersten großen Härtetest für die Compliance-Abteilungen weltweit.

de | wirtschaft | 69301532 |