Phishing-Eskalation: KI-Mails erzielen 54% Klickrate, 4x höher
Veröffentlicht: 12.07.2026 um 03:30 Uhr, Redaktion boerse-global.de
Die Bedrohungslage für Unternehmen eskaliert.
Laut dem Cybersicherheitsmonitor 2026 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) war innerhalb eines Jahres jeder zehnte Deutsche Opfer von Phishing, Fake-Shops oder Konto-Hack. Die Dunkelziffer liegt deutlich höher.
Besonders alarmierend: Während klassische Phishing-Mails auf etwa 12 Prozent Klickrate kommen, erreichen KI-generierte Nachrichten 54 Prozent. Das ist mehr als das Vierfache.
Die Dimension des Problems zeigt die Interpol-Operation „First Light“. Zwischen Januar und April 2026 nahmen die Ermittler weltweit 5.811 Personen fest. Sie stellten Vermögenswerte von 293 Millionen Euro sicher und identifizierten rund 142.000 Opfer.
Mitbestimmung bei Phishing-Tests
Viele Unternehmen setzen auf kontrollierte Phishing-Simulationen, um ihre Belegschaft zu schulen. Dabei verschicken sie fingierte Betrugsmails – aber das ist rechtlich heikel.
In Deutschland greift das Mitbestimmungsrecht des Betriebsrates nach § 87 Betriebsverfassungsgesetz. Weil die Simulationen theoretisch zur Verhaltens- oder Leistungskontrolle genutzt werden könnten, braucht es eine vorherige Abstimmung oder Betriebsvereinbarung. Auch die DSGVO-Anforderungen müssen erfüllt sein.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Experten raten: Simulationen nicht als Bestrafungsinstrument einsetzen, sondern als Lernkultur. Wer auf eine Test-Mail klickt, landet idealerweise direkt auf einer Aufklärungsseite – ohne Sanktionen. Entscheidend sind nicht nur sinkende Klickraten, sondern steigende Meldequoten verdächtiger Mails an die IT.
Neue Angriffswellen zur WM
Die Methoden der Angreifer entwickeln sich rasant. Seit dem Frühjahr 2026 registrieren Sicherheitsforscher 500 Prozent mehr Phishing-Versuche rund um die Fußball-Weltmeisterschaft. Dabei kommen vermehrt „Browser-in-the-Browser“-Angriffe zum Einsatz.
Noch perfider: „Device Code Phishing“ zielt gezielt auf Microsoft-365-Nutzer ab. Die Angreifer missbrauchen den legitimen OAuth-Autorisierungsprozess, um die Multi-Faktor-Authentifizierung zu umgehen.
IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Kostenloses E-Book zur Cyber Security jetzt herunterladen
Auch „Vishing“ – also Phishing per Telefon – erreicht durch KI-gestütztes Voice-Cloning eine neue Qualität. Stimmen von Vorgesetzten oder Geschäftspartnern klingen täuschend echt.
In der Energiewirtschaft gilt der Mensch als größte Schwachstelle. Über 90 Prozent der erfolgreichen Angriffe nutzen menschliches Fehlverhalten aus.
Neue Meldepflichten ab September
Parallel steigt der regulatorische Druck. Der Cyber Resilience Act (CRA) verpflichtet Unternehmen ab dem 11. September 2026, aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle zu melden – über eine zentrale Plattform der EU-Agentur ENISA.
Bereits seit Ende 2025 gelten die verschärften Meldepflichten der NIS2-Richtlinie. Bei Vorfällen müssen Unternehmen innerhalb von 24 Stunden eine erste Reaktion vorlegen. Die Europäische Zentralbank fordert von Finanzinstituten zudem bis Oktober 2026 detaillierte Aktionspläne zur Cybersicherheit.
Ein Urteil des Bundesgerichtshofs vom März 2024 stärkt die Position von Phishing-Opfern: Die Beweislast für grobe Fahrlässigkeit liegt bei der Bank – sofern keine starke Kundenauthentifizierung (PSD2) sichergestellt wurde. Ohne diesen Nachweis müssen Geldinstitute nicht autorisierte Zahlungen erstatten.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
