Phishing ist 2026 kein Massen-Spam mehr. Angreifer nutzen heute generative KI-Modelle, um in Minuten hochgradig personalisierte, grammatikalisch fehlerfreie Betrugsversuche zu produzieren — gezielt auf Führungskräfte, Finanzabteilungen und kritische Infrastrukturen zugeschnitten. Die Zahlen dahinter sind alarmierend, und Deutschland steht dabei besonders im Fokus.
Von 4 % auf 56 % in einem Monat: Der Wendepunkt an Weihnachten 2025
Noch bis Ende November 2025 waren weniger als 5 % aller Phishing-Angriffe auf die Nutzer der Sicherheitsplattform Hoxhunt KI-generiert. Im Dezember explodierte dieser Wert: Auf 56 % aller gemeldeten Angriffe stieg der KI-Anteil über die Weihnachtsfeiertage — ein 14-facher Anstieg innerhalb weniger Wochen. Dieser Trend hat sich bis ins Jahr 2026 fortgesetzt.
Parallel dazu zeigt der CrowdStrike Global Threat Report 2026 einen Anstieg von 89 Prozent bei KI-gestützten Angriffen gegenüber dem Vorjahr. Was sich verändert hat, ist nicht nur die Menge — es ist die Geschwindigkeit und die Qualität. Large Language Models haben die Zeit für die Erstellung einer überzeugenden Phishing-Kampagne von 16 Stunden auf rund fünf Minuten reduziert.
Das Paradigma hat sich grundlegend verschoben: Klassisches Phishing setzte auf Masse — Millionen schlecht geschriebener E-Mails in der Hoffnung, dass einige wenige anklicken. KI verändert diese Gleichung vollständig. Angreifer können nun in Sekunden personalisierte, kontextbewusste Nachrichten produzieren, die kaum von echten Nachrichten zu unterscheiden sind.
Warum Führungskräfte besonders im Visier stehen
Laut einer aktuellen Analyse zielten über 8,2 Millionen Phishing-Mails im Jahr 2025 gezielt auf Führungskräfte ab — mehr als ein Viertel aller identifizierten Phishing-Aktivitäten. Der Grund ist naheliegend: CEOs, CFOs und Geschäftsführer haben Zugang zu sensiblen Systemen, können Zahlungen freigeben und genießen intern hohes Vertrauen.
Das Sicherheitsunternehmen Darktrace meldete die Erkennung von über 32 Millionen hochgradig gefährlicher Phishing-E-Mails im vergangenen Jahr. Besorgniserregend dabei: 70 Prozent dieser Nachrichten umgingen Standard-Authentifizierungsprotokolle wie DMARC — also jene technischen Schutzmaßnahmen, auf die viele Unternehmen als erste Verteidigungslinie setzen.
Noch deutlicher wird das Problem bei einer akademischen Studie aus 2025: KI-generierte Phishing-Mails erzielten dort eine Klickrate von 54 %, verglichen mit 12 % bei menschlich verfassten Nachrichten. Klassische Warnsignale wie Rechtschreibfehler oder seltsame Absenderadressen sind kaum noch zuverlässig — das bestätigt auch KnowBe4, einer der führenden Anbieter für Phishing-Simulationen.
Drei reale Angriffe, die zeigen: Niemand ist sicher
Arup: 25,6 Millionen USD durch Deepfake-Videocall
Das Ingenieurunternehmen Arup — bekannt für die Statik des Sydney Opera House, global aufgestellt mit über 18.000 Mitarbeitenden — verlor 25,6 Millionen USD durch einen Deepfake-Videoanruf. Ein Finanzangestellter glaubte, mit seinem echten CFO und weiteren Kollegen in einem Meeting zu sein. Alle Teilnehmer waren KI-generiert. Der Fall zeigt: Es geht nicht mehr nur um gefälschte E-Mails, sondern um interaktive Echtzeit-Videocalls mit mehreren simulierten Personen.
Ferrari: CEO-Fraud scheitert an einer persönlichen Frage
Bei Ferrari erhielt ein Manager gefälschte E-Mails, die angeblich vom Vorstandsvorsitzenden stammten, sowie einen Deepfake-Anruf. Er sollte im Rahmen einer angeblichen Unternehmensübernahme eine Verschwiegenheitserklärung unterzeichnen. Der Angreifer scheiterte — weil der Manager eine persönliche Frage stellte, die kein KI-Modell beantworten konnte. Der Betrüger legte sofort auf.
Starbucks: Datenleck ohne Schadsoftware (März 2026)
Mitte März 2026 bestätigte Starbucks ein schweres Datenleck. Hacker hatten zwischen Januar und Februar unbemerkt Zugriff auf das interne Personalverwaltungssystem erlangt. Der Angriff lief vollständig ohne Schadsoftware ab: Täter nutzten gefälschte Login-Portale, um Mitarbeitende zur Preisgabe ihrer Zugangsdaten zu manipulieren — klassisches Credential-Phishing, jetzt KI-optimiert.
Deutschland: Europas beliebtestes Angriffsziel
Laut dem Darktrace Report 2026 ist Deutschland das beliebteste Ziel für Cyberangriffe in ganz Europa — mit durchschnittlich 1.223 Attacken pro Woche auf jedes deutsche Unternehmen. Die Bitkom-Wirtschaftsschutzstudie 2025 ergänzt: 81 % der deutschen Unternehmen waren von Datendiebstahl, Industriespionage oder Sabotage betroffen.
Besonders betroffen sind dabei nicht nur Konzerne. Der BSI-Lagebericht 2025 stellt fest, dass rund 80 % aller Cyberangriffe auf KMU abzielten. Das BSI stuft kleine und mittlere Unternehmen ausdrücklich als „zu leicht angreifbar" ein — wertvolle Daten vorhanden, aber selten vergleichbare Sicherheitsressourcen wie in Großunternehmen.
Neue Angriffsmethoden, die klassische Filter überlisten
Seit Anfang April 2026 setzen Cyberkriminelle auf eine neue Generation von Angriffsmethoden, die traditionelle Sicherheitsbarrieren gezielt umgehen:
- QR-Code-Phishing: QR-Codes in E-Mails führen beim Scannen auf gefälschte Login-Seiten. Da der eigentliche Link im Code verborgen ist, erkennen klassische E-Mail-Filter die Bedrohung oft nicht — besonders kritisch, weil der Angriff häufig über private Smartphones läuft, die nicht den Unternehmenssicherheitssystemen unterliegen.
- Adversary-in-the-Middle (AiTM): Kampagnen fangen aktiv Authentifizierungsprozesse ab und können so selbst Zwei-Faktor-Authentifizierung aushebeln.
- Deepfake-Stimm- und Videoanrufe: Die Cyberkriminalitäts-Supergruppe „The COM" — gebildet 2025 aus Scattered Spider, LAPSUS$ und ShinyHunters — ist auf Spear-Phishing mit Deepfake-Fähigkeiten in Echtzeit spezialisiert.
- Messenger-basierte Angriffe: Das BSI warnt vor neuen Angriffsvektoren über Messenger-Dienste, die Unternehmensumgebungen gezielt unterwandern — zuletzt beobachtet in einer Kampagne gegen Open-Source-Entwickler über Slack (ab 10. April 2026).
- Hyperpersonalisiertes Spear-Phishing: Eine 2024er-Kampagne gegen 800 Steuerberatungskanzleien nutzte KI, um maßgeschneiderte E-Mails mit lokalen Steuerfristen und öffentlichen Einreichungsdaten jeder einzelnen Kanzlei zu erstellen — Klickrate: 27 %.
Was bedeutet das für dein Unternehmen?
Technische Filter allein reichen nicht mehr aus — das zeigen die 70 % der Phishing-Mails, die DMARC problemlos umgehen. Schutz entsteht heute durch eine Kombination aus Technik, Prozessen und menschlichem Urteilsvermögen.
**Konkrete Maßnahmen, die heute einen Unterschied machen:**Verifizierungsprozesse für sensible Vorgänge einführen: Jede Anfrage zu Zahlungen, Verträgen oder Zugangsdaten — egal ob per E-Mail, Telefon oder Video — sollte über einen zweiten, unabhängigen Kanal bestätigt werden. Genau das hat beim Ferrari-Angriff funktioniert.Mitarbeitende regelmäßig schulen: Nicht einmalig, sondern kontinuierlich. Die Angriffsmethoden ändern sich schnell — Schulungen müssen das widerspiegeln. Phishing-Simulationen (z. B. über KnowBe4) helfen dabei, das Bewusstsein konkret zu testen.Phishing-resistente MFA einsetzen: Standard-SMS-Codes reichen nicht mehr aus, da AiTM-Angriffe diese abfangen können. FIDO2-basierte Authenticator-Apps oder Hardware-Token bieten hier deutlich mehr Schutz.QR-Code-Scanning auf Mobilgeräten bewusst regeln: Unternehmensrichtlinien für den Umgang mit QR-Codes in E-Mails definieren — insbesondere für private Smartphones, die für berufliche Zwecke genutzt werden.BSI-Empfehlungen und IT-Grundschutz nutzen: Das BSI stellt kostenlose Orientierungshilfen speziell für KMU bereit — ein guter Einstiegspunkt, der oft unterschätzt wird.
Unser Fazit
KI hat Phishing von einem Massen-Phänomen zu einer Präzisionswaffe gemacht. Die Angriffe sind schneller, überzeugender und technisch raffinierter als je zuvor — und Deutschland steht besonders im Fokus. Was bisher als Warnsignal galt (schlechtes Deutsch, seltsame Links), funktioniert als Erkennungsmerkmal schlicht nicht mehr.
Der Ferrari-Fall zeigt aber auch: Menschliches Urteilsvermögen bleibt der entscheidende Schutzfaktor. Eine einfache persönliche Frage hat einen ausgeklügelten KI-Angriff gestoppt. Investitionen in Mitarbeiterbewusstsein, klare Prozesse und technisch aktuelle Absicherung sind keine Nice-to-haves mehr — sie sind Grundvoraussetzung für den sicheren Betrieb eines Unternehmens in 2026.
Quellen
- Hoxhunt: 2026 Phishing Trends Report — hoxhunt.com
- CrowdStrike: Global Threat Report 2026 — crowdstrike.com
- Darktrace: Annual Threat Report 2026 — darktrace.com
- WEF: Global Cybersecurity Outlook 2026 — weforum.org
- FBI: Internet Crime Report 2024 / IC3 — ic3.gov
- BSI: Lagebericht zur IT-Sicherheit in Deutschland 2025 — bsi.bund.de
- Bitkom: Wirtschaftsschutzstudie 2025 — bitkom.org
- KnowBe4: Phishing Benchmark Reports 2025/2026 — knowbe4.com
