Agentic AI
Mai 19, 2026
Kim Icon 
267 Milliarden Euro. Das ist der Schaden, den Cyberkriminalität deutschen Unternehmen allein 2024 verursacht hat. Ein Großteil davon beginnt mit einer einzigen E-Mail. Wer denkt, Phishing sei ein Problem von gestern, hat die letzten zwei Jahre verschlafen.
Ehrlich gesagt: Als ich vor ein paar Wochen eine WhatsApp-Nachricht von meinem „Chef“ erhielt – mit seiner echten Stimme, seinem typischen Sprachstil, sogar dem charakteristischen Räuspern zu Beginn – hätte ich fast nicht gezögert. Die Bitte: eine dringende Überweisung auf ein ausländisches Konto. Ein kurzer Anruf auf seiner richtigen Nummer hat mich davor bewahrt. Was mich erwischt hätte? KI-geklonte Stimme. Vishing 2025. Willkommen in der neuen Realität des Phishings.
Was früher eine schlecht übersetzte E-Mail mit einem nigerianischen Prinzen war, ist heute ein industriell perfektionierter Angriff – personalisiert, täuschend echt, oft KI-generiert. Und das Erschreckende daran: Selbst erfahrene IT-Profis fallen darauf herein.
Der Begriff kommt aus dem Englischen – „fishing“, also Angeln. Cyberkriminelle werfen einen Köder aus und hoffen, dass jemand anbeißt. Das Prinzip klingt simpel. Die Umsetzung ist es längst nicht mehr.
Phishing bezeichnet den gezielten Versuch, über gefälschte Kommunikationskanäle – E-Mails, SMS, Webseiten, Anrufe oder soziale Medien – an vertrauliche Daten zu gelangen. Passwörter, Kreditkartennummern, Zugangsdaten für Unternehmenskonten. Die Methoden sind vielfältig, das Ziel bleibt dasselbe: Vertrauen erschleichen, um Daten zu stehlen.
Das Tückische dabei ist die Psychologie dahinter. Phishing-Angriffe spielen mit menschlichen Emotionen: Dringlichkeit („Ihr Konto wird gesperrt!“), Angst („Ungewöhnliche Aktivität festgestellt“), Autorität („Ihr Vorgesetzter hat Sie darum gebeten“) oder Neugier („Sie haben gewonnen“). Das hat nichts mit Technik zu tun – das ist reines Social Engineering.
Mal ehrlich: Zahlen allein ändern selten Verhalten. Aber diese hier sind so drastisch, dass man kurz innehalten sollte.
Jede siebte Datenpanne weltweit beginnt mit einem Phishing-Angriff. Die Kosten? Laut einer aktuellen Analyse von Security Insider kostete ein einziger erfolgreicher Phishing-Angriff Unternehmen 2024 im Schnitt 4,9 Millionen Euro – ein Anstieg von 14 Prozent gegenüber dem Vorjahr. Nur bei der Verbraucherzentrale NRW wurden allein im vergangenen Jahr rund 400.000 Phishing-Mails gemeldet. Die Dunkelziffer liegt um ein Vielfaches höher.
Und dann ist da noch die KI-Komponente. Das Weltwirtschaftsforum stuft KI-gestützten Cyberbetrug in seinem Global Cybersecurity Outlook 2026 erstmals als größere Bedrohung ein als Ransomware. Das ist keine kleine Verschiebung – das ist eine Zeitenwende.
Wir bei digital-magazin.de beobachten diesen Trend seit Monaten und müssen sagen: Die Geschwindigkeit, mit der sich Phishing-Methoden weiterentwickeln, ist beunruhigend.
Massenhaft versendete gefälschte E-Mails im Namen von Banken, Paketdiensten oder Behörden – das kennt jeder. Was sich verändert hat: die Qualität. Wo früher Tippfehler und holprige Übersetzungen sofort auffielen, liefern KI-Schreibtools heute makellose Texte in perfektem Deutsch. Logos, Absenderadressen, sogar korrekte Anrede mit dem echten Namen – alles dabei.
Hier hört der Spaß wirklich auf. Beim Spear-Phishing recherchieren Angreifer ihr Opfer vorher ausgiebig – LinkedIn-Profil, aktuelle Projekte, Vorgesetzte, Kollegen. Die resultierende E-Mail klingt dann nicht wie ein generischer Betrugsversuch, sondern wie eine interne Nachricht vom Teamleiter. Detailwissen aus sozialen Netzwerken macht das erschreckend einfach.
SMS-Phishing (Smishing) und Voice-Phishing (Vishing) boomen. Besonders Vishing hat durch KI eine neue, beunruhigende Dimension erreicht: Mit wenigen Sekunden Audio lässt sich die Stimme einer Führungskraft klonen. Das Ergebnis sind täuschend echte Anrufe, bei denen vermeintliche Vorgesetzte zu dringenden Überweisungen auffordern. E-Mail-Filter? Komplett umgangen.
Das Prinzip des Spear-Phishings, angewandt auf hochrangige Führungskräfte. „Whale“ – der große Fisch. Angreifer investieren Wochen in die Recherche, imitieren den Kommunikationsstil des Vorstands und setzen gezielte Drucksituationen ein. CEO-Fraud kostet deutsche Unternehmen jährlich dreistellige Millionenbeträge.
Neu auf der Liste, aber rasant wachsend. QR-Codes in E-Mails oder auf physischen Flyern führen auf gefälschte Login-Seiten – und umgehen dabei sämtliche Linkscanner in E-Mail-Sicherheitslösungen. Steuererklärung, Paketbenachrichtigung, Parkschein: QR-Codes sind überall. Das wissen auch die Angreifer.
Das Schlagwort, das gerade durch alle Cybersecurity-Berichte geistert: „Crime-as-a-Service“. Phishing ist längst kein Hobby mehr, das technisches Know-how erfordert. Fertige Phishing-Kits, KI-generierte Texte, geklonte Webseiten – das alles lässt sich für ein paar hundert Dollar im Darknet einkaufen. Die Einstiegshürde für Cyberkriminelle ist massiv gesunken.
Was KI konkret verändert hat:
Das Kuriose daran: Die gleiche KI, die Angreifern nützt, hilft auch der Verteidigung. Eine neue Generation von Sicherheitslösungen analysiert Kommunikationsmuster, erkennt Anomalien und schlägt Alarm, bevor Schaden entsteht. Ein technologisches Katz-und-Maus-Spiel, das wir sehr genau verfolgen.
Trotz aller KI-Raffinesse gibt es immer noch Muster, die einen Phishing-Versuch verraten. Wer weiß, worauf er achten muss, hat einen echten Vorteil.
Hier hilft nur ein Grundsatz: Bei unerwarteten Anrufen mit sensiblen Anfragen (Überweisungen, Zugangsdaten, persönliche Informationen) legen Sie auf und rufen Sie die Person über eine bekannte, verifizierte Nummer zurück. Kein Szenario ist so dringend, dass dieser eine Schritt nicht möglich wäre.
Technologie und Verhalten müssen zusammenwirken. Wer nur auf Software vertraut, ist genauso gefährdet wie jemand, der nur auf seinen gesunden Menschenverstand setzt.
Zwei-Faktor-Authentifizierung (2FA) ist das Minimum. Kein „nice to have“ mehr, sondern Pflicht für alle kritischen Konten. Wer zusätzlich auf Passkeys als passwortlose Alternative setzt, eliminiert ganze Angriffsvektoren – denn gestohlene Zugangsdaten nutzen einem Angreifer nichts mehr, wenn es kein Passwort gibt, das gestohlen werden kann.
Aktuelle Sicherheitssoftware mit Anti-Phishing-Funktion, regelmäßige Updates aller Systeme, Spam-Filter auf dem neuesten Stand – das klingt nach Grundlagen, weil es Grundlagen sind. Erschreckend, wie oft sie in der Praxis fehlen.
Schulungen. Regelmäßig. Nicht einmal im Jahr als Pflichtprogramm, sondern kontinuierlich mit echten Phishing-Simulationen. Teams, die regelmäßig mit fingierten Phishing-Mails getestet werden, erkennten in Studien bis zu 70 Prozent mehr reale Angriffe.
Spannend wird es beim Thema Prozesse: Der beste Schutz gegen CEO-Fraud ist eine simple Regel – Überweisungen ab einer bestimmten Summe erfordern immer eine telefonische Bestätigung über eine bekannte Nummer. Klingt bürokratisch. Hat schon Millionen gerettet.
Wir bei digital-magazin.de empfehlen außerdem das Vier-Augen-Prinzip für alle finanziell relevanten Vorgänge, die per digitaler Kommunikation initiiert werden. Kein System der Welt ersetzt diesen Schritt.
| Phishing-Typ | Hauptkanal | Erkennungsmerkmal | Schutzmaßnahme |
|---|---|---|---|
| E-Mail-Phishing | Gefälschte Absenderadresse, unerwartete Links | Absender prüfen, Links hovern | |
| Spear-Phishing | E-Mail, LinkedIn | Sehr persönlich, wirkt intern | Verifizierung per Rückruf |
| Smishing | SMS | Unbekannte Nummer, Link-URL prüfen | Nicht klicken, direkt beim Absender anfragen |
| Vishing / Voice-Cloning | Telefon | Unerwartete dringende Anfragen | Auflegen, verifizierte Nummer zurückrufen |
| Whaling | E-Mail, Telefon | Angebliche Führungskraft, hoher Druck | Vier-Augen-Prinzip, Prozessregeln |
| Quishing | QR-Code | URL nach Scan prüfen | QR-Scanner mit URL-Preview nutzen |
Passiert. Wirklich. Selbst IT-Sicherheitsexperten klicken mal auf den falschen Link. Entscheidend ist, was danach kommt.
Sofortmaßnahmen: Gerät vom Netzwerk trennen, betroffene Passwörter unverzüglich ändern, IT-Abteilung oder IT-Dienstleister informieren. Bei finanziellen Schäden: Bank sofort kontaktieren, Strafanzeige bei der lokalen Polizei stellen, Vorfall dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
Passwörter, die möglicherweise kompromittiert wurden, gehören geändert – und zwar auf allen Diensten, wo dasselbe Passwort verwendet wurde. Das ist der Moment, in dem ein Passwort-Manager den Unterschied zwischen einer kleinen und einer katastrophalen Sicherheitsverletzung ausmacht.
Übrigens: Scham ist hier ein schlechter Ratgeber. Wer einen Phishing-Vorfall aus Angst vor Konsequenzen nicht meldet, ermöglicht es den Angreifern, noch mehr Schaden anzurichten. In gut aufgestellten Unternehmen gilt eine klare „no blame“-Kultur für gemeldete Sicherheitsvorfälle.
Die zuverlässigsten Warnsignale sind: eine Absenderadresse, die nicht zum angeblichen Unternehmen passt (genau hinschauen!), ungewöhnliche Dringlichkeit oder Drohungen, allgemeine Anreden wie „Sehr geehrter Kunde“ statt Ihres echten Namens sowie Links, die beim Darüberfahren eine andere URL zeigen als angekündigt. Aktuelle KI-generierte Phishing-Mails sind allerdings oft fehlerfrei – verlassen Sie sich also nicht mehr auf Tippfehler als Kriterium.
Ja. Sogenannte „Business Email Compromise“-Angriffe nutzen reinen Text, um Vertrauen aufzubauen und im nächsten Schritt zu manipulieren. Auch Anrufe (Vishing) und SMS (Smishing) kommen ohne Links aus und sind trotzdem gefährlich.
Normales Phishing ist die Gießkanne: Millionen von Nachrichten, wenig Personalisierung, wer anbeißt beißt an. Spear-Phishing ist das Scharfschützengewehr: gezielter Angriff auf eine konkrete Person oder Organisation, mit recherchierten persönlichen Details. Entsprechend schwerer zu erkennen, entsprechend gefährlicher.
Teilweise. Moderne Sicherheitslösungen haben Anti-Phishing-Module, die bekannte Phishing-URLs blockieren. Sie sind aber kein Allheilmittel – insbesondere neue, noch nicht in Datenbanken erfasste Phishing-Seiten werden oft nicht erkannt. Menschliches Urteilsvermögen bleibt unverzichtbar.
Nicht in Panik verfallen, aber zügig handeln: Keine Daten eingeben (falls noch nicht geschehen), Gerät vom Internet trennen, Passwörter für betroffene Konten ändern, IT oder IT-Dienstleister informieren. Je schneller, desto besser.
Beide, mit unterschiedlichen Folgen. Privatpersonen verlieren häufig finanzielle Mittel oder geraten in Identitätsdiebstahl-Situationen. Bei Unternehmen stehen durchschnittlich 4,9 Millionen Euro Schaden pro erfolgreichem Angriff auf dem Spiel – plus Reputationsverlust und mögliche Datenschutz-Bußgelder.
Phishing wird nicht verschwinden. Im Gegenteil: Mit KI als Werkzeug der Angreifer werden die Methoden raffinierter, die Angriffe gezielter, die Schäden größer. Das klingt nach einer schlechten Nachricht.
Ist es aber nur die halbe. Die andere Hälfte: Wer weiß, wie Phishing funktioniert, hat bereits einen erheblichen Vorteil. Technische Schutzmaßnahmen plus informierte Mitarbeiter plus klare Prozesse – das ist kein garantierter Schutz, aber es macht Sie zu einem deutlich unattraktiveren Ziel als die vielen, die nichts davon umgesetzt haben.
Mein Tipp für heute noch: Richten Sie für alle wichtigen Konten die Zwei-Faktor-Authentifizierung ein. Zehn Minuten Aufwand. Riesiger Unterschied. Der eine Link, auf den es gerade wirklich ankommt – und der garantiert kein Phishing ist.
