KI-Phishing explodiert: 86% aller Angriffe nutzen Künstliche Intelligenz
26.06.2026 - 20:04:06 | boerse-global.de
80 Prozent aller Ransomware-Opfer waren 2025 Mittelständler.
Weltweit gibt es rund 400 Millionen KMU – sie stellen 90 Prozent aller Unternehmen und 70 Prozent der Arbeitsplätze. Gleichzeitig treibt die Digitalisierung den KI-Einsatz voran: Bei Firmen mit 10 bis 100 Mitarbeitern stieg die Nutzung laut einer Thryv-Umfrage innerhalb eines Jahres auf 68 Prozent.
Doch genau diese Entwicklung macht sie verwundbar.
Phishing mit KI: Klickrate explodiert
Die Bedrohungslandschaft hat sich radikal verändert. Laut World Economic Forum nutzen inzwischen 86 Prozent aller Phishing-Angriffe Künstliche Intelligenz. Die Täter generieren täuschend echte E-Mails – mit Erfolg: Die Klickrate liegt bei 54 Prozent, während klassische Phishing-Versuche nur auf 12 Prozent kommen.
Analysen der Plattform EvilTokens zeigen einen Anstieg von KI-Phishing um 1.380 Prozent. Kaspersky-Daten belegen für Januar bis April 2026 über 33.000 Angriffe mit Schadsoftware, die als seriöse KI-Tools getarnt war.
Ein Erfolg gegen diese Strukturen gelang im Juni mit der „Operation Endgame“. Zwischen dem 15. und 28. Juni wurden 326 Server und 142 Domains stillgelegt, 27 Millionen gestohlene Zugangsdaten beschlagnahmt. Dennoch bleibt die Gefahr hoch: Allein am 12. Juni wurde eine offene Datenbank mit 24 Milliarden Zugangsdaten entdeckt.
Shadow AI: Mitarbeiter umgehen Sicherheitsregeln
Ein zentrales Problem in deutschen Unternehmen ist die mangelnde Kontrolle über KI-Anwendungen. Eine KnowBe4-Studie zeigt: 48 Prozent der hiesigen Firmen setzen autonome KI-Agenten ohne formelle Aufsicht ein.
Die rasant steigenden Klickraten bei KI-generierten Phishing-Mails zeigen, dass technischer Schutz allein nicht mehr ausreicht. Wie Sie Ihre Mitarbeiter effektiv für diese neuen psychologischen Manipulationstaktiken sensibilisieren, erfahren Sie im kostenlosen Anti-Phishing-Paket. In 4 Schritten zum sicheren Unternehmen: Jetzt Gratis-Leitfaden sichern
Das Phänomen der „Shadow AI“ verschärft die Lage: Mitarbeiter nutzen nicht autorisierte KI-Dienste und speisen sensible Unternehmensdaten ein. Klassische Sicherheitslösungen erkennen diese Aktivitäten oft nicht.
Hinzu kommt die Unsicherheit bei Deepfakes. 55 Prozent der Mitarbeiter können KI-generierte Inhalte nicht sicher erkennen – obwohl 87 Prozent die Stimmen und Videos als überzeugend realistisch einstufen.
Auch in der Softwareentwicklung zeigen sich Defizite: Laut GitLab nutzen 91 Prozent der Unternehmen KI-Tools, aber 79 Prozent kämpfen mit Governance-Problemen beim KI-generierten Code. Fast die Hälfte der Firmen kann Maschinencode nicht von menschlichem unterscheiden.
NIS2 und EU AI Act: Fristen laufen ab
Der regulatorische Druck steigt. Am 31. Juli endet die Umsetzungsfrist für die NIS2-Richtlinie. In Deutschland sind schätzungsweise 29.500 bis 40.000 Einrichtungen betroffen. Trotz drohender Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes haben 62 Prozent der betroffenen Unternehmen die Registrierungsfristen verpasst.
Im August treten erste Transparenzpflichten des EU AI Acts in Kraft. Sie regulieren Hochrisiko-KI-Systeme. Aithos Research weist darauf hin, dass viele gängige Sprachmodelle noch nicht vollständig konform sind. Die persönliche Haftung der Geschäftsführung bei Verstößen erhöht den Handlungsdruck zusätzlich.
Da die ersten Transparenzpflichten des EU AI Acts bereits in Kraft treten, müssen Unternehmen ihre KI-Systeme jetzt rechtlich absichern. Dieses kostenlose E-Book bietet Ihnen einen kompakten Überblick über alle Risikoklassen, Fristen und Pflichten, die Ihre IT-Abteilung nun kennen muss. EU AI Act Umsetzungsleitfaden kostenlos herunterladen
Digitale Resilienz: KI gegen KI
Experten empfehlen eine Strategie der „digitalen Resilienz“. Der CANCOM Cyber Security Report 2026 rät, KI zur Abwehr von KI-Angriffen einzusetzen. Automatisierte Überwachungssysteme und „Rapid Response“-Dienste sollen die Reaktionszeiten verkürzen.
Ein neuer Ansatz sind „Agentic Pentests“ – autonome KI-Agenten führen On-Demand-Sicherheitstests durch. Unternehmen wie Dassault Systèmes oder Sanofi setzen sie bereits ein, um Schwachstellen in Webanwendungen und APIs in Echtzeit aufzuspüren.
Angesichts eines durchschnittlichen Patch-Verzugs von 127 Tagen (Absolute Security Resilience Risk Index 2026) wird eine kontinuierliche, automatisierte Validierung der IT-Infrastruktur für KMU zunehmend zum notwendigen Standard.
