Täglich werden weltweit rund 3,4 Milliarden betrügerische E-Mails verschickt. Besonders betroffen: Finanzdienstleister und große Technologiekonzerne. Allein Microsoft wird bei 43,1 Prozent aller Markenimitationsversuche als Täuschungsmaske genutzt. Die Sicherheitsforschung schlägt Alarm – und das zu Recht.
Zwei gefährliche Kampagnen am heutigen Freitag
Am 15. Mai 2026 haben Sicherheitsbehörden und IT-Firmen zwei besonders perfide Phishing-Wellen identifiziert. Die erste gibt sich als LuxTrust aus, ein digitaler Identitätsanbieter. Die Opfer erhalten E-Mails mit der Behauptung, ihr Konto sei durch einen Login-Versuch aus Portugal kompromittiert worden. Die zweite Kampagne, entdeckt vom Sicherheitsunternehmen AhnLab, nutzt die aktuelle Verunsicherung in den Lieferketten aus. Mit Betreffzeilen wie „Preiserhöhungsmitteilung“ werden gezielt Unternehmen geködert. Der Haken: Die angehängten PDF-Dateien führen zu gefälschten Login-Portalen, die interne Zugangsdaten abgreifen.
Angesichts der rasanten Zunahme professioneller Phishing-Attacken ist ein fundiertes Wissen über aktuelle Abwehrmethoden für jedes Unternehmen überlebenswichtig. Dieser kostenlose Leitfaden zeigt Ihnen in 4 Schritten, wie Sie Phishing-Angriffe stoppen, bevor sie Schaden anrichten können. Anti-Phishing-Paket jetzt gratis herunterladen
Der Aufstieg des Device-Code-Phishings
Seit dem Frühjahr 2026 beobachten Experten einen besorgniserregenden Wandel der Methoden. Beim sogenannten Device-Code-Phishing nutzen Kriminelle legitime Microsoft-365-Autorisierungsprozesse aus. Ein Authentifizierungscode wird erst generiert, wenn das Opfer auf einen Link klickt – herkömmliche Zeitlimits und Sicherheitsfilter werden so umgangen. Die Gruppe TA4903 setzt seit März fast ausschließlich auf diese Technik.
Ermöglicht wird dies durch „Phishing-as-a-Service“-Plattformen wie EvilTokens, die über Telegram vermarktet werden. Für umgerechnet rund 230 Euro monatlich können selbst technisch unerfahrene Angreifer professionelle Kampagnen starten.
BEC-Betrug: Millionenverluste in den USA
Business Email Compromise (BEC) bleibt eine der lukrativsten Betrugsmethoden. Allein im US-Bundesstaat South Carolina entstanden 2025 Schäden von umgerechnet rund 60 Millionen Euro – über 350 Opfer waren betroffen. Ein besonders krasser Fall: Die Gemeinde Surfside Beach verlor am 13. März 2026 über 500.000 Euro, nachdem eine Zahlung für einen Bauunternehmer auf ein betrügerisches Konto umgeleitet wurde. Die Gelder verschwinden meist in Kryptowährungen – für Ermittler eine kaum zu lösende Aufgabe.
Künstliche Intelligenz als Brandbeschleuniger
Die integration generativer KI hat die Betrugswelle dramatisch verstärkt. Nach dem Start fortschrittlicher Modelle wie ChatGPT stieg das Phishing-Mail-Volumen um 1.265 Prozent. Heute erreichen KI-generierte Phishing-Mails eine Klickrate von 54 Prozent – das ist 4,5-mal höher als bei menschlich verfassten Nachrichten. Besonders alarmierend: 74 Prozent dieser KI-Attacken werden von Standard-Sicherheitsprotokollen nicht erkannt.
Auch die Sprachmanipulation wird immer gefährlicher. Fälle von Vishing (Voice-Phishing) haben sich um 442 Prozent erhöht. Täter nutzen KI-Stimmklone, um Vorgesetzte oder vertraute Personen zu imitieren. Ein einziger Deepfake-Angriff verursachte einen Schaden von umgerechnet 23,5 Millionen Euro. Das sogenannte „Pig Butchering“ – eine langfristige Vertrauensmasche, bei der Opfer über Wochen in falsche Investmentplattformen gelockt werden – bereitet Finanzaufsichtsbehörden zunehmend Kopfzerbrechen.
Quishing: Die QR-Code-Falle
Eine weitere wachsende Gefahr ist Quishing – Phishing per QR-Code. Da QR-Codes URLs vor ersten Sicherheitsscans verbergen, umgehen sie mühelos Unternehmens-Firewalls. Die Opfer landen auf gefälschten MFA-Seiten oder werden über manipulierte Codes an Parkautomaten und Paketbenachrichtigungen hereingelegt. Das Tückische: Die Scans erfolgen meist auf Smartphones, die seltener Sicherheitsupdates erhalten als Firmenlaptops.
Da Cyberkriminelle ihre Angriffe zunehmend auf mobile Endgeräte verlagern, riskieren viele Nutzer durch unzureichende Vorkehrungen finanzielle Schäden. Ein gratis PDF-Ratgeber zeigt 5 einfache Schritte, mit denen Sie Ihr Android-Smartphone in wenigen Minuten gegen Hacker und Datenmissbrauch absichern. 5 Schutzmaßnahmen jetzt entdecken
Kritische Sicherheitslücken aufgedeckt
Am heutigen Freitag warnten Forscher vor CVE-2026-42897, einem kritischen Spoofing-Fehler in lokalen Exchange-Servern. Angreifer können damit schädliches JavaScript über präparierte E-Mails einschleusen. Auch Cisco-Systeme sind betroffen: Die Lücke CVE-2026-20182 in SD-WAN-Controllern ermöglicht unbefugten administrativen Zugriff.
Selbst Hardware-Schutzmechanismen sind nicht sicher. Der Zero-Day-Exploit „YellowKey“ umgeht die BitLocker-Verschlüsselung von Windows 11 in Sekunden – sofern der Angreifer physischen Zugriff auf das Gerät hat.
Wirtschaftliche Dimension: 4,5 Millionen Euro pro Datenleck
Die durchschnittlichen Kosten eines Datenlecks liegen 2026 bei 4,5 Millionen Euro. Das FBI beziffert die weltweiten BEC-Verluste zwischen 2013 und 2022 auf umgerechnet rund 47 Milliarden Euro. Der Fall MGM Resorts 2023, bei dem ein Vishing-Angriff einen Schaden von 92 Millionen Euro verursachte, zeigt: Selbst Großkonzerne sind verwundbar.
Auch die Lieferketten bleiben ein Schwachpunkt. OpenAI bestätigte kürzlich einen Sicherheitsvorfall, bei dem Angreifer über eine als „Mini Shai-Hulud“ bekannte Supply-Chain-Attacke auf interne Quellcode-Repositories zugriffen. Kundendaten blieben zwar unberührt, doch das Unternehmen musste Code-Signaturzertifikate auf allen Plattformen erneuern.
Ausblick: Neue Schutzmechanismen in Sicht
Die Branche reagiert. Microsoft kündigt für Juni 2026 die allgemeine Verfügbarkeit von Passkey (FIDO2) für Unternehmen an – ein Schritt weg von anfälligen Passwörtern. WhatsApp plant für dieses Jahr eine optionale Passwortfunktion bei der Registrierung auf neuen Geräten.
In Deutschland schreitet die Digitalisierung voran: Die Umstellung auf rein digitale Passfotos zur Verhinderung von „Morphing“ und Identitätsbetrug soll bis Juli 2025 abgeschlossen sein. Für Unternehmen empfehlen Sicherheitsexperten das „Triple-A-Prinzip“: Aufmerksamkeit, Verantwortlichkeit und Authentifizierung – immer dann, wenn eine Anfrage dringend oder geheimnisvoll wirkt. Zudem gilt: Hardware, die älter als fünf Jahre ist und keine Sicherheitsupdates mehr erhält, gehört ersetzt.
