Cyberkriminelle attackieren Mitarbeiter mit einer neuen Welle hochprofessioneller Phishing-Angriffe. Aktuelle Vorfälle bei Starbucks und eine Warnung der Bergischen IHK zeigen: KI-gestützte Betrugsversuche überlisten zunehmend technische Sicherheitsvorkehrungen. Der Mensch wird gezielt als Schwachstelle angegriffen.
CEO-Fraud und manipulierte E-Mails führen aktuell zu Rekordschäden, da selbst erfahrene Mitarbeiter auf die psychologischen Tricks der Hacker hereinfallen. Dieser Experten-Guide zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen wirksam vor modernen Phishing-Attacken schützen. Anti-Phishing-Paket jetzt kostenlos herunterladen
Starbucks: HR-Portal als Einfallstor für Datenklau
Mitte März informierte der Kaffeeriese Starbucks über ein schweres Datenleck. Hacker hatten zwischen Januar und Februar unbemerkt Zugriff auf das interne Personalverwaltungssystem erlangt. Der Angriff lief ohne Schadsoftware ab – die Täter nutzten gefälschte Login-Portale, um Mitarbeiter zur Preisgabe ihrer Zugangsdaten zu manipulieren.
Auf diese Weise erbeuteten sie sensible Daten von knapp 900 Angestellten, darunter Sozialversicherungsnummern und Bankverbindungen. Das Unternehmen musste externe Forensiker einschalten und bietet den Betroffenen eine zweijährige Identitätsüberwachung an. Der Vorfall beweist: Selbst bei großen Konzernen reicht psychologische Manipulation aus, um Sicherheitsbarrieren zu umgehen.
IHK warnt vor regionaler Betrugswelle
Dass diese Gefahr nicht nur globale Player betrifft, zeigt eine aktuelle Warnung der Bergischen Industrie- und Handelskammer. Seit dem 20. März kursieren massenhaft gefälschte E-Mails, in denen sich Betrüger als IHK-Mitarbeiter ausgeben.
Die Nachrichten fordern Unternehmen unter dem Vorwand einer Datenprüfung auf, ihre IBAN und Kontaktdaten zu „aktualisieren“. Die Angreifer setzen auf maximale Glaubwürdigkeit: Sie verwenden offizielle Logos, Porträtfotos und gefälschte Unterschriften. Die IHK rät dringend davon ab, auf solche Links zu klicken. Erbeutete Daten dienen oft als Grundlage für weiterführende Betrugsangriffe auf Banken und Geschäftspartner.
KI macht Phishing-Mails unerkennbar
Eine aktuelle Studie des Sicherheitsunternehmens KnowBe4 belegt den Wandel: Klassische Warnsignale wie Rechtschreibfehler oder kryptische Absenderadressen sind kaum noch zuverlässig. KI-gestützte Sprachmodelle generieren perfekte, personalisierte Texte in Sekundenschnelle.
Stattdessen wird psychologischer Druck zum entscheidenden Indiz. 34 Prozent der befragten Mitarbeiter erkennen mittlerweile künstlich erzeugten Zeitdruck als wichtigstes Warnsignal – etwa durch Drohungen mit Kontosperrungen. Das Bundesamt für Sicherheit in der Informationstechnik warnt zudem vor neuen Angriffsvektoren über Messenger-Dienste und KI-generierte Telefonanrufe mit geklonter Stimme.
Während KI-gesteuerte Angriffe immer raffinierter werden, bleiben viele deutsche Unternehmen unvorbereitet auf die neuen rechtlichen und technischen Herausforderungen. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Ihre IT-Sicherheit proaktiv stärken und aktuelle Cyber-Security-Trends für Ihren Schutz nutzen. Kostenloses Cyber-Security E-Book sichern
Warum technische Filter versagen
Herkömmliche E-Mail-Sicherheitssysteme stoßen an ihre Grenzen. Sie prüfen meist nur auf bekannte Schadlinks oder Malware. Wenn Angreifer jedoch legitime Zugangsdaten nutzen – wie im Fall Starbucks – oder E-Mails von gehackten Geschäftspartner-Konten versenden, schlagen die Alarme oft nicht an.
Die Taktiken werden immer raffinierter. Sicherheitsexperten berichten von einem starken Anstieg bösartiger SVG-Bilddateien, manipulierter Kalendereinladungen und sogenanntem „Quishing“ – dem Versand von QR-Codes in harmlosen PDFs. Herkömmliche Scanner können diese Inhalte oft nicht entschlüsseln. Die eigentliche Gefahr entsteht erst, wenn ein Mitarbeiter den Code mit seinem privaten Smartphone scannt, außerhalb des geschützten Firmennetzwerks.
Zero-Trust wird zur Pflicht
Für das restliche Jahr 2026 prognosticieren Experten eine weitere Zunahme und Verfeinerung der Angriffe. Die Vorbereitungszeit verkürzt sich durch KI-Automatisierung, während die Personalisierung der Nachrichten zunimmt. Als technische Gegenmaßnahme wird die flächendeckende Einführung phishing-resistenter Multi-Faktor-Authentifizierung zur Pflicht.
Das Zero-Trust-Prinzip rückt in den Mittelpunkt. Es geht davon aus, dass Netzwerke bereits kompromittiert sein könnten und überprüft jeden Zugriff kontinuierlich – egal, ob er von innen oder außen kommt. Letztlich bleibt der Mensch der entscheidende Faktor. Nur regelmäßige, realistische Security-Trainings können Mitarbeiter von einer potenziellen Schwachstelle zur ersten Verteidigungslinie machen.
