Cyberkriminelle setzen zunehmend auf KI-verstärkten Betrug – und übertreffen damit sogar die berüchtigte Ransomware.
Rekord-Schäden durch Phishing und KI-gestützte Manipulation fordern Unternehmen weltweit heraus. Erfahren Sie im kostenlosen Anti-Phishing-Paket, wie Sie Ihre Mitarbeiter sensibilisieren und sich wirksam gegen moderne Betrugsmaschen schützen. Erfolgreiche Hacker-Abwehr in 4 Schritten starten
Laut dem aktuellen „Global Cybersecurity Outlook 2026″ des Weltwirtschaftsforums haben betrügerische Phishing-Angriffe Ransomware als größtes Cyberrisiko für Vorstandsetagen abgelöst. Bereits 73 Prozent der Führungskräfte haben solche Vorfälle entweder selbst erlebt oder sind in ihrem Umfeld davon betroffen. Besonders alarmierend: Die finanziellen Schäden durch „Business Email Compromise“ (BEC) – also gezielte E-Mail-Betrugsmaschen – haben Rekordniveau erreicht.
Die neue Dimension des „Chef-Betrugs“
Das indische Cyber Crime Coordination Centre (I4C) warnte erst kürzlich vor einer besonders perfiden Variante des sogenannten „Boss Scam“. Die Täter geben sich als Aufsichtsbehörden wie die indische Zentralbank aus und versenden manipulierte ZIP-Dateien per E-Mail oder WhatsApp. Einmal geöffnet, kapert die Schadsoftware auf Windows-Systemen die aktiven WhatsApp-Web-Sitzungen.
Die gekaperten Accounts nutzen die Angreifer dann, um Finanzabteilungen zu Überweisungen anzuweisen. Ein prominentes Opfer: Der frühere indische Parlamentsabgeordnete Naresh Gujral verlor umgerechnet rund 85.000 Euro durch diese Masche.
Sicherheitsexperten betonen, dass generative KI diese Angriffe massiv verfeinert hat. Rechtschreibfehler in Phishing-Mails gehören der Vergangenheit an, stattdessen kommen Deepfakes von Stimme und Video zum Einsatz.
Ob CEO-Fraud oder manipulierte E-Mails – Hacker nutzen gezielt psychologische Schwachstellen aus, um Sicherheitsbarrieren zu umgehen. Dieser neue Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt Ihnen, wie Sie diese frühzeitig entlarven. Kostenlosen Anti-Phishing-Guide jetzt herunterladen
Ein spektakulärer Fall machte Schlagzeilen: Beim Ingenieurdienstleister Arup überwies ein Mitarbeiter im Januar 2024 rund 23 Millionen Euro – nach einer Deepfake-Videokonferenz, in der er vermeintlich mit dem Finanzvorstand und anderen Führungskräften sprach. Laut einer Gartner-Studie aus dem Jahr 2025 haben bereits 62 Prozent aller Organisationen Deepfake-bezogene Sicherheitsvorfälle erlebt.
Milliardenverluste weltweit
Die Zahlen des FBI sprechen eine deutliche Sprache: 2024 beliefen sich die BEC-Schäden auf umgerechnet rund 2,6 Milliarden Euro. 71 Prozent der befragten Organisationen waren betroffen, der durchschnittliche Verlust lag bei etwa 126.000 Euro. 2025 eskalierte die Lage weiter: 24.768 gemeldete Fälle verursachten Schäden von rund 2,8 Milliarden Euro – ein Anstieg von zehn Prozent gegenüber dem Vorjahr.
Interpol hat elf afrikanische Länder, darunter Ghana, als Hauptzentren für BEC-Aktivitäten identifiziert. In Ghana stiegen die Cybercrime-Verluste in den ersten neun Monaten 2025 um 17 Prozent auf umgerechnet rund 1,1 Millionen Euro. Die kriminellen Netzwerke setzen auf mehrstufige Täuschung: Auf betrügerische E-Mails folgen Anrufe oder WhatsApp-Nachrichten, um Vertrauen aufzubauen.
Selbst kleinere Vorfälle umgehen die Standard-Sicherheitsmaßnahmen. Im Mai 2026 nutzten Angreifer ein kompromittiertes Microsoft-365-Konto einer argentinischen Schule, um gezielte Phishing-Angriffe auf US-Schulbezirke zu starten. Die Mails umgingen gängige Authentifizierungsprotokolle wie SPF und DKIM – durch geschickte Namensimitation und neu registrierte Domains.
Neue Abwehrstrategien gefragt
Die Finanzbranche reagiert: J.P. Morgan hat seine „Payments Trust and Safety Suite“ aktualisiert. Das System bietet Kontoverifizierungen mit einer Trefferquote von 96 Prozent für 80 Prozent der US-Konten. Gleichzeitig wächst der Markt für cloud-E-Mail-Sicherheit von rund 5,1 Milliarden Euro (2025) auf prognostizierte 9 Milliarden Euro bis 2030. Treiber sind Systeme mit integrierter Cloud-E-Mail-Sicherheit (ICES), die Verhaltensanalysen zur Erkennung von Anomalien nutzen.
Auch Microsoft zieht nach: Ab Oktober 2026 sollen die Zugriffe auf Exchange Web Services (EWS) in Exchange Online drastisch eingeschränkt werden. In den USA trat zudem am 11. Juni 2026 ein überarbeitetes Anti-Spam-Gesetz (HB 2274) in Kraft – allerdings mit reduzierten Strafen für Verstöße.
Versicherungsexperten warnen derweil: Viele Standard-Cyber-Policen schließen Schäden durch Social Engineering aus oder begrenzen die Erstattung auf oft nur rund 230.000 Euro. Ihr Rat: Unternehmen sollten prüfen, ob ihre Police spezielle „Crime“-Klauseln für betrügerische Überweisungen enthält – und auf strenge Verifikationsprotokolle setzen, etwa die Bestätigung aller Zahlungsanfragen über einen zweiten, unabhängigen Kanal.
