Phishing-Eskalation, KI-Mails

Phishing-Eskalation: KI-Mails erzielen 54% Klickrate, 4x höher

Veröffentlicht: 12.07.2026 um 03:30 Uhr, Redaktion boerse-global.de

KI-generierte Phishing-Mails erreichen viermal mehr Klicks als klassische. Neue Angriffswellen und verschÀrfte Meldepflichten setzen Firmen unter Druck.

KI-Phishing: Vervierfachte Klickrate bedroht Unternehmen massiv
Eine Hand schwebt ĂŒber einer Computermouse, im Hintergrund ein unscharfer Bildschirm mit einer tĂ€uschenden E-Mail-OberflĂ€che. Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de

Die Bedrohungslage fĂŒr Unternehmen eskaliert.

Laut dem Cybersicherheitsmonitor 2026 des Bundesamtes fĂŒr Sicherheit in der Informationstechnik (BSI) war innerhalb eines Jahres jeder zehnte Deutsche Opfer von Phishing, Fake-Shops oder Konto-Hack. Die Dunkelziffer liegt deutlich höher.

Besonders alarmierend: WĂ€hrend klassische Phishing-Mails auf etwa 12 Prozent Klickrate kommen, erreichen KI-generierte Nachrichten 54 Prozent. Das ist mehr als das Vierfache.

Die Dimension des Problems zeigt die Interpol-Operation „First Light“. Zwischen Januar und April 2026 nahmen die Ermittler weltweit 5.811 Personen fest. Sie stellten Vermögenswerte von 293 Millionen Euro sicher und identifizierten rund 142.000 Opfer.

Mitbestimmung bei Phishing-Tests

Viele Unternehmen setzen auf kontrollierte Phishing-Simulationen, um ihre Belegschaft zu schulen. Dabei verschicken sie fingierte Betrugsmails – aber das ist rechtlich heikel.

In Deutschland greift das Mitbestimmungsrecht des Betriebsrates nach § 87 Betriebsverfassungsgesetz. Weil die Simulationen theoretisch zur Verhaltens- oder Leistungskontrolle genutzt werden könnten, braucht es eine vorherige Abstimmung oder Betriebsvereinbarung. Auch die DSGVO-Anforderungen mĂŒssen erfĂŒllt sein.

Anzeige

Rekord-SchĂ€den durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklĂ€ren im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schĂŒtzen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Experten raten: Simulationen nicht als Bestrafungsinstrument einsetzen, sondern als Lernkultur. Wer auf eine Test-Mail klickt, landet idealerweise direkt auf einer AufklĂ€rungsseite – ohne Sanktionen. Entscheidend sind nicht nur sinkende Klickraten, sondern steigende Meldequoten verdĂ€chtiger Mails an die IT.

Neue Angriffswellen zur WM

Die Methoden der Angreifer entwickeln sich rasant. Seit dem FrĂŒhjahr 2026 registrieren Sicherheitsforscher 500 Prozent mehr Phishing-Versuche rund um die Fußball-Weltmeisterschaft. Dabei kommen vermehrt „Browser-in-the-Browser“-Angriffe zum Einsatz.

Noch perfider: „Device Code Phishing“ zielt gezielt auf Microsoft-365-Nutzer ab. Die Angreifer missbrauchen den legitimen OAuth-Autorisierungsprozess, um die Multi-Faktor-Authentifizierung zu umgehen.

Anzeige

IT-Sicherheit stĂ€rken ohne teure Investitionen: So schĂŒtzen clevere Unternehmer ihre Firma vor Cyberangriffen. Dieses Gratis-E-Book enthĂŒllt, wie Sie SicherheitslĂŒcken schließen und gleichzeitig neue gesetzliche Anforderungen erfĂŒllen. Kostenloses E-Book zur Cyber Security jetzt herunterladen

Auch „Vishing“ – also Phishing per Telefon – erreicht durch KI-gestĂŒtztes Voice-Cloning eine neue QualitĂ€t. Stimmen von Vorgesetzten oder GeschĂ€ftspartnern klingen tĂ€uschend echt.

In der Energiewirtschaft gilt der Mensch als grĂ¶ĂŸte Schwachstelle. Über 90 Prozent der erfolgreichen Angriffe nutzen menschliches Fehlverhalten aus.

Neue Meldepflichten ab September

Parallel steigt der regulatorische Druck. Der Cyber Resilience Act (CRA) verpflichtet Unternehmen ab dem 11. September 2026, aktiv ausgenutzte Schwachstellen und schwere SicherheitsvorfĂ€lle zu melden – ĂŒber eine zentrale Plattform der EU-Agentur ENISA.

Bereits seit Ende 2025 gelten die verschĂ€rften Meldepflichten der NIS2-Richtlinie. Bei VorfĂ€llen mĂŒssen Unternehmen innerhalb von 24 Stunden eine erste Reaktion vorlegen. Die EuropĂ€ische Zentralbank fordert von Finanzinstituten zudem bis Oktober 2026 detaillierte AktionsplĂ€ne zur Cybersicherheit.

Ein Urteil des Bundesgerichtshofs vom MĂ€rz 2024 stĂ€rkt die Position von Phishing-Opfern: Die Beweislast fĂŒr grobe FahrlĂ€ssigkeit liegt bei der Bank – sofern keine starke Kundenauthentifizierung (PSD2) sichergestellt wurde. Ohne diesen Nachweis mĂŒssen Geldinstitute nicht autorisierte Zahlungen erstatten.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wirtschaft | 69748882 |