Cyberkriminelle nutzen künstliche Intelligenz, um Betrugsmails fehlerfrei zu gestalten. Zum Safer Internet Day warnen Sicherheitsbehörden vor einer neuen Qualität digitaler Angriffe – und die Abwehr wird zur KI-gegen-KI-Schlacht.
Die Ära der pixeligen Logos und verschmierten Rechtschreibung ist vorbei. Sprachmodelle ermöglichen es Angreifern mittlerweile, fehlerfreie, kontextsensitive Phishing-Mails in industriellem Maßstab zu produzieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und internationale Sicherheitsanbieter schlagen Alarm: Die klassischen Erkennungsmerkmale von Betrugsversuchen funktionieren nicht mehr.
Tippfehler sind gestern
Lange galten Rechtschreibfehler als zuverlässigster Hinweis auf Betrug. Heute generieren Large Language Models (LLMs) stilistisch überzeugende Nachrichten in jeder Sprache. Berichten von Microsoft und OpenAI zufolge nutzen staatlich unterstützte Akteure und kriminelle Netzwerke diese Technologien auch zur Automatisierung ihrer Angriffsskripte.
Das Ergebnis: Die Einstiegsbarriere für Cyberkriminalität ist drastisch gesunken. Auch technisch weniger versierte Täter können nun professionelle Phishing-as-a-Service-Angebote nutzen.
Maßgeschneiderte Köder statt Gießkannenprinzip
Besonders besorgniserregend ist die Hyper-Personalisierung. KI-Systeme analysieren öffentliche Daten aus LinkedIn, X oder Instagram in Sekundenschnelle – und generieren darauf abgestimmte Angriffe.
Sicherheitsexperten beobachten vermehrt Kampagnen, die auf tatsächliche Ereignisse anspielen: eine besuchte Konferenz, ein Jobwechsel, eine geschäftliche Partnerschaft. Diese als Spear-Phishing bekannte Methode wird durch Automatisierung nun massentauglich. Der Empfänger schöpft keinen Verdacht – der Kontext wirkt absolut plausibel.
Neue Fronten: Stimmen und QR-Codes
Die Bedrohung verlagert sich auf Kanäle, die Nutzer oft als vertrauenswürdiger einstufen.
Deepfake-Anrufe sind die neueste Waffe. Kriminelle benötigen nur wenige Sekunden Stimmprobe aus sozialen Medien, um die Stimme eines Vorgesetzten zu klonen. Ein bekannter Fall: Ein Finanzmitarbeiter in Hongkong verlor Millionen, nachdem ein Deepfake-Videoanruf ihn zur Überweisung gedrängt hatte.
Parallel wächst das Problem des Quishing – QR-Code-Phishing. Da Sicherheitsfilter Textinhalte immer besser scannen, verstecken Angreifer bösartige Links in QR-Codes. Diese landen in gefälschten Dokumenten: angebliche Sicherheitsupdates, Parktickets. Wird der Code übers private Smartphone gescannt – das weniger Sicherheitsrichtlinien unterliegt – umgeht die Attacke die Firmen-Firewall.
QR-Codes können Malware und Phishing-Links verbergen – besonders gefährlich, wenn Sie sie mit Ihrem privaten Android-Smartphone scannen. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen für Android: von sicheren Einstellungen für WhatsApp und Banking bis zu einfachen Prüfmethoden für QR-Codes. Praktische Schritt-für-Schritt-Anleitungen, die Sie sofort umsetzen können. Gratis-Sicherheitspaket für Android jetzt herunterladen
Der Rüstungswettlauf: KI gegen KI
Die Verteidigerseite antwortet mit denselben Waffen. Cybersecurity-Unternehmen integrieren KI-Modelle, um Anomalien zu erkennen, die für Menschen unsichtbar sind.
Moderne Sicherheitstools prüfen nicht nur den Nachrichteninhalt, sondern Metadaten, Kommunikationsmuster und subtile Abweichungen im Schreibstil. Der Kampf gegen Phishing wird zum reinen Maschinen-Wettstreit: KI-Algorithmen der Angreifer versuchen, KI-Filter der Verteidiger zu überlisten.
Ein Beispiel: VibeScams – KI-generierte Webseiten, die vertrauenswürdige Marken so perfekt imitieren, dass herkömmliche Scanner versagen.
Vertrauen unter Druck
Die Folgen sind weitreichend. Der finanzielle Schaden durch Cyberkriminalität steigt weltweit. Versicherer fordern von Unternehmen zunehmend Nachweise fortschrittlicherer Authentifizierungsverfahren.
Gleichzeitig erodiert digitales Vertrauen. Wenn jede E-Mail, jeder Anruf und jedes Video gefälscht sein könnte, werden effiziente Geschäftsprozesse ausgebremst. Unternehmen müssen zeitaufwendige Verifikationsschleifen einführen – das kostet Produktivität. Die EU-Richtlinie NIS-2 zwingt Organisationen bereits dazu, ihre Resilienz gegen Social-Engineering-Angriffe nachweislich zu stärken.
Passwörter werden obsolet
Experten gehen davon aus, dass klassische E-Mail-Filter und Passwörter an Bedeutung verlieren. Die Zukunft liegt in biometrischen Verfahren und hardwarebasierten Sicherheitsschlüsseln (FIDO2) – diese lassen sich nicht durch einfaches Credential Harvesting überwinden.
In den kommenden Monaten ist mit Angriffen zu rechnen, die gezielt Biometrie umgehen wollen – etwa durch Deepfake-Gesichter für Video-Ident-Verfahren. Der Mensch bleibt das primäre Ziel. Schulungen zur Security Awareness müssen sich radikal wandeln: weg vom Erkennen von Fehlern, hin zum gesunden Misstrauen gegenüber jeder unaufgeforderten digitalen Interaktion – egal wie perfekt sie wirkt.
