KI und QR-Codes heben Phishing auf neue Stufe

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer drastischen Eskalation hochprofessioneller Cyberangriffe. Künstliche Intelligenz macht Phishing-Mails nahezu unerkennbar, während QR-Codes zur gefährlichen Falle für Bankkunden werden. Sicherheitsfirmen bestätigen eine massive Angriffswelle.

Die Kombination aus generativer KI und neuen Verschleierungstaktiken wie „Quishing“ hebelt traditionelle Schutzmechanismen aus. Die Angriffsfrequenz hat sich im Vergleich zum Vorjahr verdoppelt. Betroffen sind aktuell besonders Kunden deutscher Finanzinstitute wie der Postbank und der Advanzia Bank.

KI schreibt die perfekte Täuschung

Die Zeiten holpriger Phishing-Mails sind endgültig vorbei. Cyberkriminelle setzen großflächig Large Language Models (LLMs) ein. Diese KI-Modelle generieren in Sekunden makellose, kontextbezogene Nachrichten, die selbst für geschulte Augen kaum von echter Korrespondenz zu unterscheiden sind.

Die Angriffe sind hochgradig personalisiert. Täter nutzen öffentliche Daten aus sozialen Netzwerken wie LinkedIn, um sogenannte Spear-Phishing-Mails zu erstellen. Diese beziehen sich auf reale Ereignisse wie kürzlich besuchte Konferenzen oder tatsächliche Geschäftspartner. Der Tonfall passt perfekt zur gewohnten Unternehmenskommunikation.

Der unsichtbare Angriff im QR-Code

Eine zweite, ebenso gefährliche Methode ist „Quishing“ – eine Wortschöpfung aus „QR-Code“ und „Phishing“. Dabei verstecken Angreifer schädliche Links nicht mehr im E-Mail-Text, sondern in einem gescannten Bild. Für herkömmliche Sicherheitsgateways ist der Code nur ein harmloses Bild. Die Gefahr entfaltet sich erst auf dem Smartphone des Nutzers.

Ein typisches Szenario: Opfer erhalten eine E-Mail mit der Aufforderung, per QR-Code ihre Zwei-Faktor-Authentifizierung (2FA) zu bestätigen. Der Scan leitet auf eine für mobile Bildschirme optimierte Phishing-Seite. Da mobile Browser die URL-Leiste oft verkürzen, fällt die Fälschung kaum auf. Angriffe via QR-Code haben sich seit 2023 vervierfacht.

Wer sich vor der aktuell massiven Welle an KI-gestützten Phishing- und Quishing-Angriffen schützen will, sollte nicht auf Zufall hoffen. Ein neuer, kostenloser Leitfaden zeigt einfache, sofort umsetzbare Maßnahmen für Unternehmen und Entscheider – von Awareness-Schulungen bis zu technischen Abwehrstrategien. Kostenlosen Cyber‑Security-Guide jetzt herunterladen

Ein Angriff alle 19 Sekunden

Das Ausmaß der Bedrohung ist alarmierend. Neue Daten des Sicherheitsanbieters Cofense belegen: Während Filter 2024 noch alle 42 Sekunden eine Phishing-Mail abfingen, geschieht dies aktuell alle 19 Sekunden. Die Anti-Phishing Working Group (APWG) meldete 2024 bereits einen Rekord von 4,8 Millionen Angriffen.

Ein weiterer besorgniserregender Trend ist der explosionsartige Anstieg von Deepfake-Betrug. Betrugsversuche mit manipulierten Audio- oder Videoinhalten haben sich im vergangenen Jahr verzehnfacht. Mitarbeiter erhalten nun auch Anrufe von vermeintlichen Vorgesetzten, deren Stimmen durch KI täuschend echt imitiert werden.

Warum die Abwehr hinterherhinkt

Branchenanalysten sehen ein strukturelles Problem. Viele Verteidigungssysteme suchen noch nach bekannten Mustern. KI-generierte Angriffe sind jedoch polymorph – sie verändern sich ständig. Ein KI-Modell kann tausende Varianten derselben Phishing-Mail erstellen. Keine zwei Mails sind identisch.

Gleichzeitig sinkt die Einstiegshürde für Kriminelle. Im Darknet werden „Phishing-as-a-Service“-Kits mit integrierten KI-Modulen angeboten. Die Zeitspanne zwischen Eindringen und Datendiebstahl schrumpft dramatisch. In Extremfällen benötigen Angreifer heute nur noch gut eine Stunde, um sich im Netzwerk auszubreiten.

Viele Schulungen für Mitarbeiter sind veraltet. Der Ratschlag „Achten Sie auf Rechtschreibfehler“ ist angesichts moderner Sprachmodelle nicht nur nutzlos – er wiegt Nutzer in falscher Sicherheit.

Das Wettrüsten der KIs hat begonnen

Für den Rest des Jahres 2026 erwarten Experten eine weitere Zuspitzung. Die nächste Stufe könnten vollautomatisierte Angriffe sein, bei denen KI-Agenten selbstständig Schwachstellen in der Unternehmenskommunikation identifizieren und ausnutzen.

IT-Sicherheit wird zunehmend zum Kampf „KI gegen KI“. Verteidiger müssen selbst auf künstliche Intelligenz setzen, um Anomalien im Kommunikationsverhalten zu erkennen. Techniken wie Live-Voice-Swapping bei Telefonanrufen werden technisch immer ausgereifter.

Für Verbraucher und Unternehmen bleibt gesundes Misstrauen der wirksamste Schutz. Die Verifizierung über einen zweiten, bekannten Kanal – etwa ein Rückruf bei einer dubiosen E-Mail – ist wichtiger denn je.