KI-gestützte Phishing-Welle: 86 Prozent aller Angriffe nutzen künstliche Intelligenz

Immer mehr Hacker setzen auf künstliche Intelligenz und raffinierte „Adversary-in-the-Middle"-Techniken (AiTM), um selbst mehrstufige Sicherheitsvorkehrungen zu umgehen. Besonders betroffen: das Gesundheitswesen und die Finanzbranche.

CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. In 4 Schritten zum sicheren Unternehmen

„Code of Conduct"-Kampagne traf 35.000 Nutzer

Erst im April entdeckten Forscher von Microsoft Defender eine groß angelegte Phishing-Operation, die zwischen dem 14. und 16. April 2026 mehr als 35.000 Nutzer in 13.000 Organisationen aus 26 Ländern ins Visier nahm. Die Tarnung: eine angebliche „Code of Conduct"-Richtlinie, die Empfänger zum Klick auf manipulierte Links verleiten sollte.

Das Ziel der Angreifer: die Kompromittierung von Authentifizierungstoken mittels AiTM. Dabei wird die Kommunikation zwischen Nutzer und legitimem Dienst in Echtzeit abgefangen – inklusive Anmeldedaten und Sitzungstoken. Selbst eine Multi-Faktor-Authentifizierung (MFA) bietet dann keinen Schutz mehr.

92 Prozent der Attacken zielten auf Unternehmen in den USA. Mit 19 Prozent lag der Fokus auf der Gesundheitsbranche, dicht gefolgt von Finanzdienstleistern mit 18 Prozent. Die Angriffskette nutzte CAPTCHAs und missbrauchte legitime E-Mail-Dienste, um die betrügerischen Nachrichten vertrauenswürdig erscheinen zu lassen.

„Bluekit": Phishing als Service mit KI-Assistenten

Die Integration von KI in Phishing-Operationen hat einen kritischen Punkt erreicht. Laut einer aktuellen Analyse von KnowBe4 sind inzwischen 86 Prozent aller Phishing-Angriffe KI-gestützt. Die Folge: ein Anstieg von 49 Prozent bei Phishing-Versuchen über Kalendereinladungen und 41 Prozent mehr Attacken auf Plattformen wie Microsoft Teams.

Eine treibende Kraft dahinter sind Phishing-as-a-Service-Plattformen (PhaaS). Forscher von Varonis identifizierten kürzlich ein neues Kit namens „Bluekit". Es bietet über 40 automatisierte Vorlagen für Dienste wie iCloud, Gmail und Outlook. Hinzu kommen KI-Assistenten auf Basis von GPT-4.1, Claude, Gemini und Llama. Die Plattform beherrscht sogar automatisierte Domain-Registrierung, Sprachklonen und spezielle Werkzeuge zur Umgehung der Zwei-Faktor-Authentifizierung.

Die Nutzung von Reverse-Proxys zum Abgreifen von Microsoft-365-Zugangsdaten stieg um 139 Prozent. Branchenkenner warnen: Selbst wenig versierte Kriminelle können mit solchen Kits hochprofessionelle Angriffe starten.

Deepfake-Betrug: 2,19 Milliarden Euro Schaden weltweit

Die finanziellen Folgen sind gewaltig. Eine Analyse von Surfshark beziffert die globalen Verluste durch Deepfake-Betrug auf umgerechnet rund 2,19 Milliarden Euro. Allein im vergangenen Kalenderjahr entfielen davon etwa 1,65 Milliarden Euro.

Investitionsbetrug mit Deepfakes von Prominenten machte 52 Prozent dieser Verluste aus. In den USA entstanden Schäden von umgerechnet 712 Millionen Euro – 43 Prozent davon in Unternehmen. Für Mitarbeiter und Verbraucher wird es zunehmend unmöglich, echte Kommunikation von KI-generierten Fälschungen zu unterscheiden.

Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen vorbereitet? Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist. EU AI Act in 5 Schritten verstehen

Doch es gibt auch eine positive Nachricht: Das World Economic Forum (WEF) berichtet, dass 77 Prozent der Organisationen KI bereits in ihren Sicherheitsoperationen einsetzen. KI kann demnach die durchschnittlichen Kosten eines Datenverlusts um bis zu 1,9 Millionen Euro senken und die Dauer der Incident-Response um durchschnittlich 80 Tage verkürzen.

Ein Klick, fahr Jahre Daten: Die realen Folgen

Die praktischen Konsequenzen zeigt ein Vorfall aus dem öffentlichen Sektor: Anfang April 2026 traf eine Ransomware-Attacke die Polizeibehörde von Ardmore – ausgelöst durch einen einzigen Phishing-Klick. Fünf Jahre Datenbankaufzeichnungen mit Namen, Adressen und Telefonnummern waren möglicherweise kompromittiert. Die Täter forderten umgerechnet 300.000 Euro Lösegeld. Die Behörde zahlte nicht, und bislang tauchten keine Daten im Darknet auf.

Auch der Bildungssektor ist betroffen: Die Firma Instructure, Betreiber der Lernplattform Canvas, meldete einen Datenvorfall nach einem Cyberangriff am 30. April. Die Hackergruppe ShinyHunters behauptet, 3,65 Terabyte Daten von 275 Millionen Nutzern aus fast 9.000 Bildungseinrichtungen gestohlen zu haben. Instructure bestätigte, dass Namen, E-Mail-Adressen und Studentenausweisnummern betroffen sein könnten – Passwörter und Finanzdaten blieben jedoch sicher.

Die US-Behörden schlagen zurück: Das FBI fokussiert sich auf die Zerschlagung internationaler Hacker-Operationen, insbesondere aus Nordkorea, Iran und Russland. Zwei Cybersicherheitsexperten wurden kürzlich zu vier Jahren Haft verurteilt, weil sie der ALPHV/BlackCat-Erpresserbande geholfen hatten – einer Gruppe, die weltweit mehr als 1.000 Organisationen attackierte und umgerechnet 1,2 Millionen Euro in Bitcoin erpresste.

Die Lücke zwischen Wahrnehmung und Realität

Die aktuelle Phishing-Welle offenbart eine gefährliche Diskrepanz. Eine Studie des britischen Ministeriums für Wissenschaft, Innovation und Technologie zeigt: 72 Prozent der Unternehmen betrachten Cybersicherheit zwar als hohe Priorität – doch Phishing bleibt der Einstiegspunkt für mehr als 80 Prozent aller gemeldeten Sicherheitsvorfälle.

Experten warnen vor einer regelrechten „Flutwelle von Patches". Das britische National Cyber Security Centre (NCSC) fordert Organisationen auf, sich auf eine massive Update-Welle vorzubereiten, da KI-gestützte Schwachstellen-Scans immer häufiger werden. Unternehmen müssen ihre externen Angriffsflächen priorisieren und interne Patch-Prozesse beschleunigen.

Ausblick: Der Kampf der KI-Systeme

Der Wettlauf zwischen KI-gestützten Angriffen und KI-verstärkten Abwehrmechanismen wird sich weiter verschärfen. Der Europol-Bericht zur organisierten Internetkriminalität 2026 stellt klar: Verschlüsselung, Proxys und KI senken die Einstiegshürden für Kriminelle weiter und erschweren gleichzeitig die Ermittlungen der Strafverfolgungsbehörden.

Die Devise für Unternehmen lautet: Weg von einfacher MFA, hin zu phishing-resistenten Authentifizierungsmethoden. 94 Prozent der Cybersicherheits-Verantwortlichen sehen KI inzwischen als den bedeutendsten Einflussfaktor auf die Bedrohungslandschaft. Der Fokus verschiebt sich hin zur „Cyber-Resilienz" – der Fähigkeit einer Organisation, auch nach einem erfolgreichen Angriff schnell wieder handlungsfähig zu sein. Internationale Zusammenarbeit, wie die Unterstützung der Vereinten Nationen für eine Konvention gegen IT-Kriminalität, wird entscheidend sein, um einen globalen Rahmen für digitale Sicherheit zu schaffen.

de | wissenschaft | 69279187 |