BSI warnt vor KI-gestützten Phishing-Angriffen auf Unternehmen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm: Eine neue Welle hochprofessioneller, KI-generierter Phishing-Angriffe bedroht deutsche Firmen. Die täuschend echten E-Mails stellen eine massive Eskalation der Cyber-Bedrohung dar.

So täuschen KI-Angriffe Mitarbeiter

Die Angreifer nutzen fortschrittliche Sprachmodelle, um perfekt formulierte und kontextbezogene Nachrichten zu erstellen. Grammatikfehler oder ungelenke Formulierungen – früher ein sicheres Erkennungsmerkmal – gehören der Vergangenheit an. Stattdessen imitieren die Betrüger den persönlichen Tonfall von Vorgesetzten, Kollegen oder Geschäftspartnern.

Ihr Ziel: Sie wollen an Passwörter, Bankdaten oder Geschäftsgeheimnisse gelangen. Unter Vorwänden wie dringenden Systemupdates oder drohenden Kontosperrungen setzen sie Mitarbeiter unter psychologischen Druck, um schnelles Handeln zu erzwingen.

Die tückische Gefahr durch QR-Codes

Ein besonders besorgniserregender Trend ist „Quishing“ – Phishing per QR-Code. Da herkömmliche E-Mail-Filter schädliche Links erkennen, weichen Kriminelle auf diese Methode aus. Der in der Mail eingebettete Code führt beim Scannen mit dem Smartphone direkt auf eine gefälschte Login-Seite.

Das Tückische: Die mobile Phishing-Seite ist auf dem kleinen Display kaum als Fälschung zu identifizieren. Gleichzeitig umgeht dieser Weg die Sicherheitssoftware auf dem Firmen-PC. Das BSI warnt, dass diese Angriffsvariante besonders schwer zu erkennen ist.

QR‑Codes und mobile Phishing machen das Smartphone zur beliebten Angriffsfläche. Ein kostenloser Ratgeber erklärt die fünf wichtigsten Schutzmaßnahmen für Android‑Geräte – von sicheren Scannereinstellungen über geprüfte Browser‑Praktiken bis zu einfachen Checklisten für Mitarbeiter. Praktisch für alle, die beruflich mobil arbeiten und Daten schützen wollen. Gratis-Ratgeber: Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone herunterladen

Alte Schutzmaßnahmen reichen nicht mehr aus

E-Mails bleiben der Hauptangriffsvektor. Doch traditionelle Spam-Filter und einfache Authentifizierungsprüfungen wie SPF (Sender Policy Framework) stoßen an ihre Grenzen. Experten betonen, dass nur strikte DMARC-Richtlinien für eine verlässliche Absender-Validierung sorgen können.

Die Sicherheitslücken haben handfeste Konsequenzen. Erfolgt durch einen Phishing-Angriff ein Datenleck, drohen Unternehmen hohe Strafen nach der DSGVO. Die Aufsichtsbehörden können Versäumnisse bei den technischen und organisatorischen Maßnahmen als grobe Fahrlässigkeit werten.

Vom Präventions-Denken zur Cyber-Resilienz

Sicherheitsexperten fordern ein grundsätzliches Umdenken. Angesichts der Masse und Qualität der KI-Angriffe ist eine hundertprozentige Abwehr unmöglich. Stattdessen rückt das Konzept der Cyber-Resilienz in den Vordergrund.

Unternehmen müssen in der Lage sein, einen erfolgreichen Angriff schnell zu erkennen, den Schaden zu begrenzen und den Betrieb zügig wiederherzustellen. Da menschliches Versagen ein Hauptfaktor bleibt, sind regelmäßige, aktuelle Mitarbeiterschulungen unverzichtbar.

Dringende Handlungsempfehlungen des BSI

Das Bundesamt rät zu einer generellen Zero-Trust-Haltung. Keine Nachricht – ob intern oder extern – sollte ohne Prüfung als vertrauenswürdig gelten. Technisch sind die Zwei-Faktor-Authentifizierung (2FA) und moderne E-Mail-Authentifizierungsprotokolle (SPF, DKIM, DMARC) fundamental.

Für sensible Kommunikation ist Ende-zu-Ende-Verschlüsselung Pflicht. In der Summe zeigt sich: Nur die Kombination aus fortschrittlicher Technologie, geschulten Mitarbeitern und robusten Notfallplänen schützt gegen diese neue Angriffsgeneration. Das digitale Wettrüsten zwischen KI-gestützten Angreifern und Verteidigern hat eine neue Stufe erreicht.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.