Julia Wolf 
82,6 Prozent. So hoch ist laut Anbieterstudien der Anteil KI-generierter Mails am gesamten Phishing-Aufkommen. Pro Tag landen schätzungsweise 3,4 Milliarden solcher Nachrichten in Postfächern weltweit. Und die Grammatik ist diesmal einwandfrei. Das ist das eigentliche Problem.
Lange war das Erkennungsmerkmal für Phishing-Mails banal: schlechtes Deutsch, komische Satzstellung, Betreffzeilen wie „Ihre Konto wird gesperrten“. Awareness-Trainings haben das jahrelang als primäres Warnsignal eingetrichtert. Plot Twist: Dieser Indikator ist weitgehend wertlos geworden.
Laut Auswertungen der Sicherheitsanbieter Keepnet und VIPRE, zusammengefasst von StationX, sind inzwischen rund 82,6 Prozent aller Phishing-Mails KI-generiert. Diese Zahl stammt aus proprietären Anbieterstudien und ist keine amtlich geprüfte Weltstatistik – als Trendindikator ist sie aber beunruhigend präzise. Denn sie erklärt, warum klassische Sprachfilter und Awareness-Schulungen nach dem Muster „erkenne den Fehler“ zunehmend an ihre Grenzen stoßen.
Der Hoxhunt Phishing Trends Report 2026 liefert eine weitere Zahl, die das Bild schärft: Im Dezember 2025 stiegen KI-generierte Phishing-Mails um das 14-fache gegenüber dem Jahresdurchschnitt. 43 Prozent dieser Mails enthielten bösartige Links. Das ist kein Ausreißer, das ist Produktionskapazität.
Für Unternehmen bedeutet das: KI-Phishing ist kein Randphänomen mehr, sondern industriell skalierter Standard. Und er trifft zwei Bereiche mit besonderer Wucht – HR und Finanzen.
Business Email Compromise, kurz BEC, ist seit Jahren einer der kostspieligsten Angriffsvektoren. Das Prinzip ist simpel: jemand täuscht vor, CEO, CFO oder eine Führungskraft zu sein, und ordnet eine dringende Überweisung an. Was sich verändert hat: BEC bleibt nicht mehr bei der E-Mail.
Das Pikante daran ist die technische Reife der eingesetzten Mittel. Deepfake-Voice-Tools sind heute in der Lage, Stimmen aus wenigen Minuten Audiomaterial zu klonen. Ein kurzer Clip aus einem Earnings Call, einem öffentlichen Podcast oder einer Konferenzaufzeichnung reicht. Der gefälschte CFO ruft dann die Buchhaltung an – mit vertrauter Stimme, unter Druck, mit dem Hinweis, dass der Vorgang „höchste Vertraulichkeit“ erfordere. Keine Mail, kein Anhang, keine Phishing-URL. Nur ein Anruf.
Noch einen Schritt weiter gehen Angriffe, bei denen kurze Deepfake-Video-Calls eingesetzt werden. Sicherheitsexperten, darunter Analysten von CloudSEK, beschreiben Szenarien, in denen ein scheinbarer Video-Call mit der Führungskraft dazu dient, Zahlungsfreigaben zu legitimieren oder Bankverbindungen von Lieferanten zu ändern. Psychologisch ist das brisant: Video genießt intuitiv höheres Vertrauen als E-Mail. Das ist der Kern des Angriffs.
Für Finanzabteilungen folgt daraus eine unbequeme Konsequenz: Jede hochkritische Zahlungsfreigabe muss künftig so behandelt werden, als könnte der auslösende Kontakt gefälscht sein – egal ob Mail, Anruf oder Videocall. Out-of-Band-Bestätigung bedeutet konkret: Rückruf auf eine intern hinterlegte, verifizierte Nummer, nicht auf die Nummer, die der Anrufer selbst genannt hat. Und die Änderung von Lieferanten-Bankdaten ausschließlich über einen festgelegten Offline-Prozess.
Remote-Recruiting ist seit der Pandemie Standard. Video-Interviews per Teams oder Zoom, digitale Zeugnisse, keine physische Begegnung. Was als Effizienzgewinn gilt, hat eine Angriffsfläche geschaffen, über die man in den meisten Personalabteilungen noch kaum spricht.
Deepfake-Bewerberprofile kombinieren drei Elemente: gestohlene Identität, KI-generiertes Gesicht im Video, aufbereiteter Lebenslauf. Das Ziel sind keine beliebigen Jobs. Angreifer zielen auf Positionen mit Zugang zu IT-Systemen, Finanztools oder sensiblen Daten. Ein Entwickler mit Admin-Rechten. Ein Buchhalter mit ERP-Zugang. Ein IT-Administrator, der legitim Zugänge anlegen kann.
Der Social-Engineering-Anteil funktioniert dabei über psychologischen Druck, den auch KI-Phishing im Mail-Kontext nutzt: künstliche Verknappung. „Der Kandidat hat noch zwei andere Angebote.“ „Wir müssen bis Freitag entscheiden.“ HR-Mitarbeitende, die unter Zeitdruck stehen, prüfen Identitäten weniger gründlich. Das ist kein Vorwurf – das ist Menschheit.
Echtzeit-Deepfake-Interviews sind technisch heute möglich. Es gibt Berichte über Fälle, in denen Bewerber im Video-Interview in Echtzeit eine andere Identität dargestellt haben, die Lippenbewegungen leicht verzögert, die Beleuchtung unnatürlich konstant. Die meisten HR-Mitarbeitenden sind darauf nicht trainiert. Warum sollten sie auch? Bis vor Kurzem gab es keinen Grund.
Sicherheitsseitig wird für kritische Rollen Identity Verification diskutiert: Ausweis-Scan kombiniert mit Liveness-Check, Referenzprüfung über offizielle Kontaktdaten der genannten Arbeitgeber – nicht über die vom Bewerber gelieferten Nummern. Das klingt aufwendig. Wenig überraschend: In der Praxis passiert es noch selten.
Awareness-Trainings folgen seit Jahren einem ähnlichen Muster: Mitarbeitende lernen, welche Merkmale eine Phishing-Mail erkennbar machen. Schlechte Grammatik. Druck. Verdächtige Absenderadressen. Unbekannte Links. Das Modell basiert auf der Idee, dass der Mensch das schwächste Glied ist und durch Training gestärkt werden kann.
Das ist nicht falsch – aber es greift zu kurz. Moderne Security-Architekten formulieren es anders: Menschen sind nicht das schwächste Glied, sie sind das primäre Ziel. Der Unterschied ist bedeutsam. Wenn Menschen primäres Ziel sind, muss das System so gebaut sein, dass ein menschlicher Fehler nicht sofort zur Katastrophe führt. Zero-Trust-Design, also die Annahme, dass kein Nutzer und kein Gerät automatisch vertrauenswürdig ist, folgt genau dieser Logik.
KI-Phishing macht das Problem aber drängender. Meine persönliche Einschätzung: Awareness-Schulungen, die noch auf Sprachfehler als Erkennungsmerkmal setzen, sind 2026 nicht mehr zeitgemäß. Sie vermitteln falsches Sicherheitsgefühl. Eine grammatikalisch perfekte Mail von einem überzeugend gefälschten internen Absender ist das neue Normal.
Was stattdessen trainiert werden sollte: Kontexterkennung. Stimmt diese Anfrage mit dem üblichen Ablauf überein? Wird ungewöhnlicher Druck aufgebaut? Wird um Umgehung normaler Prozesse gebeten? Wer diese Fragen stellt, ist robuster aufgestellt als jemand, der auf Tippfehler wartet.
Simulationen, wie sie etwa KnowBe4 anbietet, können helfen – aber nur, wenn sie regelmäßig aktualisiert werden und aktuelle Angriffsszenarien abbilden. Eine Phishing-Simulation mit schlecht formulierten Mails testet 2026 die falsche Kompetenz.
Ein Aspekt, der in der öffentlichen Debatte noch zu wenig Aufmerksamkeit bekommt, ist die Personalisierungstiefe moderner KI-Phishing-Angriffe. Klassisches Phishing arbeitete mit Masse: Millionen gleiche Mails, geringe Trefferquote. KI ändert diese Ökonomie grundlegend. Spear-Phishing – also zielgerichtete Angriffe auf einzelne Personen oder kleine Gruppen – war früher aufwendig und deshalb selten. Heute lässt sich Spear-Phishing automatisiert skalieren.
Das Angriffsprinzip funktioniert so: Öffentlich zugängliche Daten – LinkedIn-Profile, Unternehmenswebsites, Pressemitteilungen, Konferenzteilnehmerlisten – werden automatisiert ausgewertet. Daraus entsteht eine Mail, die den Namen der Vorgesetzten kennt, auf ein aktuelles Projekt Bezug nimmt und genau den Tonfall trifft, den die Zielperson aus ihrer täglichen Arbeitskommunikation kennt. Wer gerade an einem Budgetprozess arbeitet, bekommt eine Mail über den Budgetprozess. Wer eine Partnerschaft gerade öffentlich angekündigt hat, bekommt eine Mail, die auf diese Partnerschaft Bezug nimmt.
Für Mitarbeitende in exponierten Positionen – Führungskräfte, Projektverantwortliche, Einkauf, HR-Leitung – bedeutet das: Das Fehlen persönlicher Ansprache oder kontextbezogener Details ist kein Sicherheitsmerkmal mehr. Auch hochpersonalisierte Mails können KI-generiert und bösartig sein. Das erfordert eine mentale Neukalibrierung: Vertrauen darf nicht durch scheinbare Nähe entstehen, sondern nur durch verifizierte Prozesse.
Unternehmen sollten außerdem überdenken, welche internen Informationen über öffentliche Kanäle sichtbar sind. Organigramme, Projektbezeichnungen, Zuständigkeiten – je mehr davon öffentlich zugänglich ist, desto reichhaltiger das Futter für automatisierte Angriffsvorbereitung. Das ist keine Aufforderung zur vollständigen Intransparenz, aber eine Einladung zur bewussten Abwägung.
Der wirtschaftliche Kontext ist ernüchternd. Laut Bitkom-Studie 2025 beläuft sich der jährliche Schaden durch Datendiebstahl, Sabotage und Industriespionage bei deutschen Unternehmen auf 289,2 Milliarden Euro, davon 202,4 Milliarden Euro durch Cyberangriffe. Firewalls24 fasst die Lage in Deutschland für 2026 zusammen: Rund 1.223 Cyberangriffe pro Woche und Unternehmen – ein Anstieg von 14 Prozent gegenüber dem Vorjahr.
Phishing ist dabei einer der häufigsten Initialvektoren. Proofpoint hat in seiner „State of the Phish 2024″-Auswertung dokumentiert, dass 71 Prozent der befragten Organisationen im Jahr 2023 mindestens einen erfolgreichen Phishing-Angriff erlitten haben. Andere Studien, darunter Deloitte und Verizon, nennen Phishing als Einstiegspunkt bei einem großen Anteil – oft deutlich über 70 Prozent – aller untersuchten Cybervorfälle.
Das sind keine abstrakten Zahlen. Hinter jeder Prozentzahl steht ein Finanzteam, das eine gefälschte Überweisung ausgeführt hat. Ein HR-Prozess, der einen Angreifer ins System gelassen hat. Ein Authentifizierungssystem, das über Social Engineering ausgehebelt wurde. Identitäten sind das neue Angriffsziel – und Deepfakes machen die Überprüfung von Identitäten schwieriger als je zuvor.
KI-Phishing per Mail ist nur ein Teil des Bildes. Parallel hat sich die Angriffsfläche erweitert. Quishing – also Phishing über QR-Codes – umgeht klassische URL-Filter, weil der bösartige Link nicht als Text in der Mail steht, sondern als Bild eingebettet ist. Mitarbeitende scannen den QR-Code mit dem Smartphone, landen auf einer gefälschten Login-Seite, geben ihre Zugangsdaten ein.
Fake-MFA-Anfragen funktionieren ähnlich: eine täuschend echte Push-Nachricht oder SMS, die angeblich von Microsoft 365 oder dem internen HR-System stammt, fordert zur erneuten Authentifizierung auf. Wer nicht genau hinschaut – oder unter Druck steht – tippt seine Einmalcodes ein. Der Angreifer loggt sich parallel ein.
CloudSEK und ACEVO beschreiben beide Methoden als stark wachsende Angriffstrends für 2026. Der Clou dabei: Diese Angriffe sind nicht komplizierter als klassisches Phishing – sie sind nur cleverer geroutet. Sie nutzen Kanäle, auf die Security-Teams und Awareness-Schulungen noch nicht ausreichend vorbereitet sind.
Technische Maßnahmen allein reichen nicht. Spamfilter und DMARC-Konfiguration sind notwendige Basis, aber kein ausreichender Schutz gegen Voice-Deepfakes oder Quishing. Das BSI empfiehlt für Unternehmen einen mehrschichtigen Ansatz – Technik, Prozesse, Schulung.
Im Finanzbereich bedeutet das konkret: Vier-Augen-Prinzip plus Out-of-Band-Bestätigung für alle Zahlungen ab einem definierten Schwellenwert. Änderungen an Bankverbindungen ausschließlich über einen schriftlich dokumentierten Offline-Prozess, unabhängig davon, ob die Anfrage per Mail, Anruf oder Video kam. Phishing-resistente MFA-Verfahren – FIDO2-Hardware-Keys wie YubiKeys – für Banking-Systeme und ERP-Zugänge.
Im HR-Bereich: Identity Verification mit Ausweis und Liveness-Check für Rollen mit System- oder Datenzugang. Referenzprüfung ausschließlich über offiziell recherchierte Kontaktdaten, nicht über vom Bewerber gelieferte. Klare interne Prozesse für den Umgang mit „dringendem“ Hiring-Druck.
Und für alle Mitarbeitenden: Schulungen, die aktuelle Angriffsszenarien abbilden. Keine Rechtschreibfehler mehr als Trainingsinhalt. Stattdessen: simulierte Deepfake-Calls, Quishing-Szenarien, Fake-MFA-Anfragen. Das klingt aufwendig. Der Schaden eines erfolgreichen Angriffs ist aufwendiger.
Ich halte es für einen strategischen Fehler, KI-Phishing und Deepfakes als Problem der IT-Abteilung zu behandeln. Diese Angriffe laufen durch HR-Prozesse und Finanzfreigaben. Sie brauchen organisatorische Antworten, nicht nur technische.
An dieser Stelle lohnt es sich, einen häufig gehörten Einwand ernst zu nehmen: „Unsere Mitarbeitenden kennen sich, ein Deepfake-Anruf würde sofort auffallen.“ Das mag für kleine Teams mit langer gemeinsamer Geschichte stimmen. Für mittelständische und größere Unternehmen gilt es kaum noch. Neue Mitarbeitende kennen die Stimme des CFO nicht persönlich. Abteilungen, die geografisch verteilt arbeiten, haben wenig persönlichen Kontakt. Und selbst wer Kollegen gut kennt: Unter echtem Zeitdruck und mit einer täuschend echten Stimme sinkt die kritische Aufmerksamkeit messbar.
Ein weiterer Einwand lautet: „Unsere IT hat das im Griff, wir haben moderne Filtertools.“ Technische Tools sind wichtig und notwendig. Aber KI-Phishing und insbesondere Voice- oder Video-Deepfakes laufen oft komplett außerhalb der klassischen IT-Infrastruktur ab. Ein Telefonanruf landet nicht im Mail-Gateway. Ein QR-Code in einer ausgedruckten Unterlage wird von keinem E-Mail-Filter gescannt. Die Angriffsoberfläche ist größer als das, was technische Tools abdecken können.
Das ist kein Plädoyer für Pessimismus, sondern für Realismus. Organisationen, die beide Einwände ernstnehmen und trotzdem ihre Prozesse nicht anpassen, überschätzen ihre Widerstandsfähigkeit – und das ist die gefährlichste Ausgangslage überhaupt.
Der Wettlauf zwischen Angriffs- und Verteidigungstools wird weiter eskalieren. KI generiert die Mails. KI erkennt die Mails. Deepfakes werden besser. Liveness-Checks werden besser. Das ist die Schleife. Sie dreht sich schneller als die meisten Compliance-Zyklen in Unternehmen.
Die entscheidende Frage ist nicht, ob Ihre Organisation irgendwann Ziel eines KI-generierten Angriffs wird. Die Frage ist, ob Ihre Freigabeprozesse, Ihre HR-Workflows und Ihre MFA-Infrastruktur dann so gebaut sind, dass ein einzelner menschlicher Fehler nicht zum Systemausfall führt. Sind sie das?
