Eine neue Generation von Phishing-Attacken setzt auf Künstliche Intelligenz und psychologische Tricks – und trifft deutsche Unternehmen völlig unvorbereitet. Cyberkriminelle nutzen inzwischen Deepfake-Technologie und QR-Code-Fallen, um selbst modernste Sicherheitssysteme auszuhebeln.

Diese Woche schlugen Cybersecurity-Behörden Alarm: 80 Prozent aller Phishing-Angriffe werden mittlerweile von KI unterstützt. Die Zeiten schlecht formulierter E-Mails mit Rechtschreibfehlern sind vorbei. Stattdessen kreieren Algorithmen perfekt getarnte Nachrichten, die von echten Unternehmensmails kaum zu unterscheiden sind.

Gleichzeitig explodieren die Zahlen beim sogenannten "Quishing" – Phishing über QR-Codes. Allein in Großbritannien verloren Opfer über 3,5 Millionen Euro durch manipulierte QR-Codes an Parkautomaten und in Restaurants.

Die EU-Agentur für Cybersicherheit (ENISA) warnt zum Start des europäischen Cybersecurity-Monats: Phishing bleibt der Einstiegspunkt für 60 Prozent aller Cyberattacken. Doch die Methoden haben sich radikal gewandelt.

KI erschafft perfekte Täuschung

Was macht moderne Phishing-Angriffe so gefährlich? Kriminelle setzen generative KI ein, um aus Social Media und Firmenwebseiten persönliche Informationen zu sammeln. Das Ergebnis: Spear-Phishing-Mails, die wirken, als hätte sie der eigene Chef verfasst.

Noch perfider wird es mit "Vishing" – Voice-Phishing per Deepfake-Audio. Betrüger klonen Stimmen von Geschäftsführern oder IT-Leitern und rufen Mitarbeiter an. Die gefälschten Stimmen klingen täuschend echt und fordern zur Überweisung von Geldern oder Preisgabe sensibler Daten auf.

Ein deutscher Mittelständler berichtete kürzlich von einem Anruf des vermeintlichen Geschäftsführers, der eine "dringende Überweisung" anordnete. Nur durch Zufall stellte sich heraus: Der echte Chef saß im Urlaub am Strand.

QR-Code-Falle im Alltag

"Quishing" nutzt unsere Gewohnheit aus, QR-Codes blind zu vertrauen. Kriminelle überkleben echte Codes mit manipulierten Versionen – auf Parkscheinautomaten, Restauranttischen oder an Haltestellen.

Das Heimtückische: Man sieht einem QR-Code nicht an, wohin er führt. Opfer landen auf gefälschten Bezahlseiten, die Kreditkartendaten abgreifen. In einem einzigen Monat stiegen diese Angriffe um 51 Prozent.

Auch E-Mails enthalten immer öfter QR-Codes statt verdächtiger Links. Security-Filter erkennen die Codes nicht als Bedrohung – ein perfektes Schlupfloch für Angreifer.

Anzeige: QR-Codes führen oft unbemerkt auf gefälschte Bezahlseiten – meist wird am Smartphone gescannt. Schützen Sie Ihr Android mit den 5 wichtigsten Maßnahmen: ohne teure Zusatz-Apps, Schritt für Schritt erklärt – inkl. Checklisten für WhatsApp, Shopping, Banking und geprüfte Apps. Jetzt kostenloses Android-Sicherheitspaket anfordern

Nervende Benachrichtigungen als Waffe

Selbst die Zwei-Faktor-Authentifizierung wird zur Schwachstelle. Bei "MFA-Fatigue-Attacken" bombardieren Hacker ihre Opfer mit Push-Benachrichtigungen zur Freigabe. Das Ziel: Den Nutzer so zu nerven, dass er aus Versehen oder Frust zustimmt.

Studien zeigen: Ein Prozent der Nutzer akzeptiert die erste Benachrichtigung blind. Kombiniert mit einem Anruf des vermeintlichen IT-Supports wird daraus eine hocheffektive Betrugsmasche.

Anzeige: MFA-Pushs, Smishing und Quishing zielen zunehmend direkt auf Ihr Smartphone. Der kostenlose Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Android“ zeigt verständlich, wie Sie Einstellungen härten, nur geprüfte Apps nutzen und Updates/Prüfungen automatisieren. Gratis-Sicherheitspaket für Android sichern

Milliardenschäden für deutsche Wirtschaft

Die Professionalisierung des Phishings trifft deutsche Unternehmen hart. Phishing-as-a-Service-Plattformen ermöglichen es auch Anfängern, ausgeklügelte Angriffe zu starten. Der durchschnittliche Schaden durch Phishing-Attacken liegt inzwischen bei 4,9 Millionen Euro pro Vorfall.

Besonders gefährdet sind Finanzdienstleister, Gesundheitswesen und Anwaltskanzleien. Ihre Daten sind besonders wertvoll – und ihre Sicherheitsmaßnahmen oft veraltet.

Wie Unternehmen sich schützen können

Experten fordern einen Strategiewechsel,Zero-Trust-Architekturen statt Vertrauen in E-Mails. KI-gestützte Security-Filter müssen andere KI-Systeme erkennen lernen.

Für Mitarbeiter gilt: Gesunde Skepsis entwickeln. Jede unerwartete Anfrage über einen zweiten Kanal verifizieren. QR-Codes vor dem Scannen auf Manipulation prüfen – überkleben sie echte Codes?

Die wichtigste Erkenntnis: Menschliche Wachsamkeit bleibt die letzte Verteidigungslinie. Denn egal wie ausgefeilt die Technik wird – am Ende entscheiden Menschen, ob sie auf den Betrug hereinfallen.