Eine neue, KI-gesteuerte Phishing-Welle hat weltweit Hunderte Unternehmen getroffen und zeigt, wie Angreifer legitime Cloud-Dienste für ihre Attacken missbrauchen. Die Kampagne markiert eine gefährliche Eskalation im industrialisierten Identitätsdiebstahl und umgeht selbst mehrstufige Sicherheitsverfahren.

Schatten-Infrastruktur aus No-Code-Tools

Das Besondere an der aktuellen Angriffswelle ist die Infrastruktur. Cyberkriminelle nutzen die KI-gestützte No-Code-Plattform Bubble und den Cloud-Hoster Railway, um täuschend echte Microsoft-Anmeldeseiten zu hosten. Diese wirken für automatisierte Scanner wie harmlose Business-Websites.

Anzeige

Die aktuelle Welle KI-gesteuerter Phishing-Angriffe zeigt, wie professionell Hacker heute psychologische Schwachstellen ausnutzen. In diesem Experten-Guide erfahren Sie, wie Sie Ihr Unternehmen mit einer gezielten 4-Schritte-Strategie vor modernen Phishing-Szenarien schützen. Anti-Phishing-Paket für Unternehmen kostenlos herunterladen

Durch die Nutzung seriöser Cloud-Dienste umgehen die Phishing-Seiten reputationsbasierte Filter. Zwar hat Railway begonnen, verdächtige Konten zu sperren. Doch die Fähigkeit der Angreifer, mit KI-Tools blitzschnell neue Umgebungen zu schaffen, stellt Abwehrkräfte vor immense Probleme.

Die Köder-E-Mails sind kaum noch von echten Nachrichten zu unterscheiden. KI-Modelle analysieren öffentliche Profile und frühere Datenlecks, um Nachrichten im exakten Tonfall von Kollegen oder Partnern zu verfassen. Sogar „selbstadressierte“ E-Mails, bei denen Absender und Empfänger identisch erscheinen, kommen zum Einsatz.

Wie Zwei-Faktor-Authentifizierung ausgehebelt wird

Besonders alarmierend: Die Angreifer umgehen moderne Sicherheitsmaßnahmen wie die Zwei-Faktor-Authentifizierung (MFA). Statt Passwörter zu stehlen, tricksen sie Nutzer bei Microsofts OAuth-Autorisierung.

Nutzer werden dazu gebracht, „nicht-traditionellen“ Geräten wie simulierten Smart-TVs Zugriff zu gewähren. Die Angreifer erhalten dann ein gültiges OAuth-Token, das bis zu 90 Tage lang Zugriff auf das Unternehmensnetzwerk gewährt – ohne erneute Authentifizierung.

Dieser Wechsel vom Passwort- zum „Token-Diebstahl“ ist eine gefährliche Evolution. Von einem kompromittierten, vertrauenswürdigen Konto aus können Angreifer interne Kommunikation überwachen, Daten abziehen und weitere Phishing-Angriffe starten.

Der Aufstieg der „agentischen KI“ in der Cyberkriminalität

Microsofts Bedrohungsanalysten sehen in der Kampagne den Beginn einer neuen Ära: „Agentische KI“ übernimmt zunehmend die taktische Ausführung von Angriffen. Diese Systeme können eigenständig Aufgaben ausführen, sich an Sicherheitsmaßnahmen anpassen und ihre Abläufe optimieren.

Die Phishing-Infrastruktur mutiert in Echtzeit – Wortlaut, Link-Strukturen und Schadcode ändern sich automatisch, um musterbasierte Erkennung zu umgehen. KI-Agenten durchforsten LinkedIn und Pressemitteilungen, um lukrative Ziele in Unternehmen zu identifizieren und den perfekten Köder zu entwerfen.

Die Grenze zwischen automatisierten und menschlich gesteuerten Angriffen verschwimmt. Die KI als „Kraftmultiplikator“ ermöglicht tausende hochpräzise Attacken gleichzeitig – eine bisher unerreichte Kombination aus Masse und Zielgenauigkeit.

Konsequenzen für Datenschutz und Compliance

Für betroffene Unternehmen, darunter aus Gesundheitswesen und Finanzsektor, hat der Angriff schwerwiegende Konsequenzen. Der Verlust der Kontrolle über Microsoft-365-Zugänge stellt einen ernsten Datenvorfall dar, der unter der DSGVO meldepflichtig ist.

Anzeige

Da KI-gestützte Angriffe immer komplexer werden, verschärfen auch neue Gesetze wie die EU-KI-Verordnung die Compliance-Anforderungen für Unternehmen. Dieser kostenlose Leitfaden bietet eine kompakte Zusammenfassung der wichtigsten Pflichten und Fristen, damit Sie rechtlich auf der sicheren Seite bleiben. Kostenloses E-Book zur KI-Verordnung sichern

Experten fordern einen radikalen Sicherheitswandel. Das traditionelle Netzwerk-„Perimeter“ existiert nicht mehr. Identitäten sind das neue Angriffsziel. Organisationen müssen auf Zero-Trust-Architekturen setzen, die kontinuierliche Überprüfung voraussetzen.

Phishing-resistente MFA-Verfahren wie FIDO2-Sicherheitsschlüssel, die gegen OAuth-Tricks immun sind, werden essenziell. Gleichzeitig müssen Sicherheitsschulungen überarbeitet werden. Der klassische Ratschlag, „auf Tippfehler zu achten“, ist obsolet geworden.

Ausblick: Industrialisierter Identitätsdiebstahl

Für das restliche Jahr 2026 prognostizieren Cybersicherheitsexperten eine weitere Zunahme KI-gesteuerter Angriffe. „Phishing-as-a-Service“-Plattformen integrieren zunehmend autonome KI-Funktionen.

Bis Jahresende könnte agentische KI in der Lage sein, sich nahezu ohne menschliches Zutun in Netzwerken zu halten und seitwärts zu bewegen. Phishing würde sich so von einem Einfallstor zu einem kontinuierlichen, selbstoptimierenden Eindringungsprozess entwickeln.

Die unmittelbare Priorität für IT-Abteilungen ist jetzt die Überprüfung aller Microsoft-365-OAuth-Berechtigungen und die Aufklärung über die neue Generation KI-generierter Köder. Der Wettlauf zwischen KI-gestützten Angreifern und KI-verstärkten Verteidigern hat die theoretische Phase verlassen – die aktuellen Ereignisse zeigen, dass die Risiken nie höher waren.