Microsoft warnt: KI macht Phishing-Mails extrem gefährlich

Cyberkriminelle setzen künstliche Intelligenz ein – und werden dadurch dramatisch erfolgreicher. Ein neuer Microsoft-Bericht zeigt: KI-generierte Phishing-E-Mails sind 4,5-mal wahrscheinlicher erfolgreich als herkömmliche Betrugsversuche. Gleichzeitig greifen Angreifer auf vergessene Techniken zurück, um moderne Sicherheitsfilter zu umgehen.

Die Zahlen sind alarmierend: Seit der Verbreitung von KI-Tools explodierten Business-E-Mail-Betrugsversuche um 1.760 Prozent im Jahresvergleich. Die neue Bedrohungslage zwingt Unternehmen zum Umdenken – weg von reaktiver Verteidigung, hin zu intelligenten Sicherheitskonzepten.

Vorbei sind die Zeiten schlecht geschriebener Spam-Mails mit Tippfehlern. Künstliche Intelligenz erzeugt heute grammatisch perfekte Nachrichten, die Ton und Stil vertrauter Kollegen oder Vorgesetzter täuschend echt nachahmen. Diese Business Email Compromise (BEC) genannten Attacken treffen Unternehmen besonders hart.

Der durchschnittliche Schaden pro Angriff kletterte im Mai 2025 auf 86.000 Euro – ein Anstieg von 19 Prozent binnen einem Monat. Noch raffinierter: Kriminelle nutzen mittlerweile Deepfake-Audio und -Video, um Führungskräfte in Telefonaten zu imitieren und Mitarbeiter zu betrügerischen Überweisungen zu verleiten.

QR-Codes werden zur neuen Falle

Eine besonders heimtückische Methode gewinnt an Fahrt: “Quishing” – Phishing über QR-Codes. Diese Angriffe umgehen E-Mail-Sicherheitsscanner mühelos, da die Codes als harmlose Bilder getarnt sind. Oft verstecken sie sich in PDF- oder JPEG-Anhängen.

Cyberkriminelle beschränken sich längst nicht mehr auf E-Mails. Sie orchestrieren Multi-Kanal-Attacken über Slack, Microsoft Teams, soziale Medien und Telefonanrufe. Ein typisches Vorgehen: Erst kommt eine überzeugende E-Mail, dann eine Teams-Nachricht, schließlich ein Anruf – um Vertrauen aufzubauen, bevor der eigentliche Betrugsversuch startet.

Zwei-Faktor-Authentifizierung unter Beschuss

Selbst die als sicher geltende Zwei-Faktor-Authentifizierung (2FA) gerät ins Visier. Mit der “MFA-Fatigue”-Taktik bombardieren Angreifer Nutzer mit hunderten Push-Benachrichtigungen, bis diese genervt eine Freigabe erteilen.

Diese “Prompt-Bombing”-Methode war bereits bei spektakulären Unternehmensangriffen erfolgreich und beweist: Auch robuste Sicherheitsmaßnahmen lassen sich durch geschickte Manipulation menschlicher Schwächen aushebeln.
Anzeige: Apropos 2FA-Pushs und QR-Phishing: Oft ist das Smartphone das erste Einfallstor – gerade bei WhatsApp, Online-Banking und PayPal. Viele Android-Nutzer übersehen dabei 5 einfache, aber entscheidende Schutzmaßnahmen. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie Ihr Android ohne teure Zusatz-Apps absichern – inklusive Checklisten und praxistauglichen Einstellungen. Jetzt kostenloses Android-Sicherheitspaket sichern

Der Mensch bleibt das schwächste Glied

Etwa 68 Prozent aller Datenlecks gehen auf menschliches Versagen zurück. Herkömmliche Sicherheitsschulungen, die auf das Erkennen offensichtlicher Fehler setzen, greifen gegen KI-perfektionierte Angriffe zu kurz.

Unternehmen setzen daher auf KI-gestützte E-Mail-Sicherheitslösungen, die Verhaltensmuster und Kommunikationsanomalien analysieren. Doch Technologie allein reicht nicht: Mitarbeiter müssen lernen, auch scheinbar legitime Anfragen kritisch zu hinterfragen.

Ausblick: Das Wettrüsten geht weiter

Die Cybersicherheitsbranche bereitet sich auf eine KI-getriebene Eskalation vor. Experten erwarten noch ausgefeiltere automatisierte Angriffsketten – und entsprechend intelligentere Abwehrsysteme.

Als Reaktion auf 2FA-Schwachstellen dürfte phishing-resistente Authentifizierung durch FIDO2-Hardware-Token und biometrische Verfahren an Bedeutung gewinnen. Das “Zero Trust”-Sicherheitsmodell wird zum Standard: Vertraue niemals, überprüfe immer – bei jeder Zugriffsanfrage.