Die Methode ist erschreckend effektiv.
Cybersicherheitsforscher schlagen Alarm: Angriffe auf Führungskräfte – sogenannte „Whaling“-Attacken – nehmen dramatisch an Fahrt auf. Statt plumper Links setzen Kriminelle auf KI-generierte Sprachimitationen und den Missbrauch legitimer Autorisierungsprozesse. Das Ziel: die oberste Chef-Etage.
Während Angreifer immer raffiniertere Methoden nutzen, bleiben viele Unternehmen bei ihrer IT-Sicherheit hinter den aktuellen Anforderungen zurück. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken schließen und Ihre Firma auch ohne großes Budget vor modernen Cyberangriffen schützen. Gratis-E-Book: IT-Sicherheit jetzt stärken
Die wirtschaftlichen Schäden sind enorm. Allein zwischen 2013 und 2022 verzeichnete das FBI weltweit Verluste von rund 50,8 Milliarden Euro durch Business Email Compromise (BEC) – die gezielte Kompromittierung geschäftlicher E-Mail-Kommunikation. Mit dem Einzug Künstlicher Intelligenz dürfte diese Summe weiter steigen, denn die Hürden für komplexe Betrugsmethoden sinken rapide.
„EvilTokens“: Die neue Waffe der Phisher
Eine besonders perfide Methode ist das sogenannte Device-Code-Phishing. Sicherheitsanalysten von Proofpoint warnten am 15. Mai 2026 vor der zunehmenden Verbreitung dieser Technik in kriminellen Toolkits. Anders als beim klassischen Phishing, das auf gestohlene Passwörter setzt, wird das Opfer hier dazu gebracht, über ein legitimes Microsoft-Login-Portal einen Autorisierungscode einzugeben.
Der Dienst „EvilTokens“, der offen auf Telegram vermarktet wird, gilt als zentraler Anbieter dieser Technologie. Er ermöglicht Angriffe, die vertrauenswürdige Plattformen wie Microsoft, Adobe oder DocuSign imitieren. Besonders aktiv ist die Gruppe TA4903, die seit März 2026 fast ausschließlich auf diese Methode setzt. Ihre typische Angriffskette: Eine PDF mit QR-Code wird versendet, der Scan führt über eine Cloudflare-Schutzschicht auf eine betrügerische Login-Seite.
Auch die Gruppen Tycoon 2FA und ODx haben Device-Code-Phishing in ihr Arsenal aufgenommen – mit dem Ziel, die weit verbreitete Zwei-Faktor-Authentifizierung (2FA) zu umgehen.
KI-Stimmen täuschen selbst erfahrene Manager
Die integration Künstlicher Intelligenz hat die Gefahr für Führungskräfte massiv erhöht. Eine Studie von Saigiss zeigt: 72 Prozent der Angestellten finden Phishing-Versuche heute überzeugender als noch vor einem Jahr. 64 Prozent glauben, dass eine KI-generierte Nachricht einen Kollegen täuschend echt imitieren könnte.
Die Zahlen sind alarmierend. Laut SlashNext stieg das Phishing-E-Mail-Volumen nach dem Start von ChatGPT um 1.265 Prozent. Besonders gefährlich ist das sogenannte Vishing – Phishing per Sprachanruf. In einem dokumentierten Fall überwies der CEO eines britischen Energieunternehmens 243.000 Euro auf ein betrügerisches Konto, nachdem ihn eine KI-generierte Stimme seines Vorgesetzten getäuscht hatte.
Die Täter nutzen zudem aktuelle wirtschaftliche Ängste aus. Das südkoreanische Sicherheitsunternehmen AhnLab entdeckte eine Kampagne, bei der Phishing-Mails als offizielle „Preiserhöhungsmitteilungen“ getarnt waren. Der Empfänger soll einen PDF-Viewer herunterladen – der in Wahrheit Zugangsdaten stiehlt.
Millionenschäden in Kommunen und Konzernen
Die finanziellen Folgen treffen nicht nur Großkonzerne. In Surfside Beach, South Carolina, verloren die Behörden im März 2026 fast 546.000 Euro durch einen BEC-Angriff. Eine Zahlung an einen Auftragnehmer wurde auf ein Kriminellen-Konto umgeleitet. Ermittler vermuten, dass die Täter KI zur intensiven Recherche der Zielorganisation einsetzten.
Historische Fälle zeigen das immense Schadenspotenzial: Facebook und Google verloren zwischen 2013 und 2015 zusammen 100 Millionen Euro durch BEC. 2023 erlitt MGM Resorts Schäden in ähnlicher Höhe nach einem Vishing-Angriff.
Der rasante Anstieg von KI-gestützten Angriffen stellt Unternehmen vor völlig neue rechtliche und organisatorische Herausforderungen. Ein kostenloser Umsetzungsleitfaden zum EU AI Act hilft Ihnen dabei, Fristen und Pflichten zu verstehen und Ihr Unternehmen rechtssicher aufzustellen. Kostenlosen KI-Leitfaden jetzt herunterladen
Technische Lücken als Einfallstore
Doch nicht nur soziale Manipulation, auch technische Schwachstellen spielen den Angreifern in die Hände. Microsoft warnte diese Woche vor einer kritischen Sicherheitslücke in Outlook Web Access (CVE-2026-42897, CVSS-Score 8.1). Sie erlaubt Angreifern, beliebigen JavaScript-Code im Browser des Opfers auszuführen. Betroffen sind die On-Premises-Versionen von Exchange Server 2016 und 2019.
Auch Cisco meldete eine aktiv ausgenutzte Sicherheitslücke (CVE-2026-20182) in seinen Catalyst-SD-WAN-Controllern. Sie könnte Angreifern unautorisierten Administratorzugriff gewähren.
„Pig Butchering“: Vertrauen als Waffe
Die Psychologie steht im Zentrum dieser Angriffe. Sicherheitsexperten berichten, dass 95 Prozent aller Vishing-Fälle mit einem normalen Gespräch beginnen, bevor die betrügerische Forderung gestellt wird. Diese als „Pig Butchering“ bekannte Methode – ein langfristiger Vertrauensaufbau – wird zunehmend genutzt, um Führungskräfte in betrügerische Investmentplattformen oder illegitime Überweisungen zu locken.
Die Gefahr wird durch Lieferketten-Angriffe noch verstärkt. OpenAI bestätigte kürzlich einen Sicherheitsvorfall namens „Mini Shai-Hulud“, bei dem Angreifer Schadcode in hunderte Pakete der Ökosysteme npm und PyPI einschleusten. Zwar wurden keine Kundendaten kompromittiert, doch der Vorfall zeigt die Verwundbarkeit der Softwareentwicklungs-Lieferkette.
Der Schutz: Technik und Verhalten
Auf der Verteidigungsseite drängen Microsoft und andere Anbieter auf den Umstieg zu Passkeys und dem FIDO-Standard. Windows 10 und 11 unterstützen diese bereits; die breite Verwaltung in Unternehmen soll ab Juni 2026 verfügbar sein. Diese kryptografischen Anmeldedaten sind resistent gegen Phishing, da sie sich nicht einfach stehlen lassen.
Sicherheitsanalysten empfehlen Unternehmen, Device-Code-Flüsse komplett zu blockieren oder auf autorisierte Nutzer und Geräte zu beschränken. Gegen KI-Sprachangriffe wird die „Triple-A-Strategie“ empfohlen: Wachsamkeit bei Sofortüberweisungen, Skepsis gegenüber Geheimhaltungsforderungen und die Überprüfung von Anweisungen über einen zweiten, vertrauenswürdigen Kanal.
Die Botschaft ist klar: In einer Ära, in der KI selbst Laien erlaubt, täuschend echte Betrugsversuche zu erstellen, bleibt die kritische Prüfung jeder ungewöhnlichen Zahlungsanweisung der wichtigste Schutz. Wer zu schnell vertraut, kann teuer bezahlen.
