Was ist KI-Phishing und wie erkennt man es?

Eine Buchhalterin erhält eine E-Mail: "Guten Tag, wir senden die korrigierte Rechnung für März. Bitte zahlen Sie bis Tagesende, damit wir die Lieferung nicht aussetzen müssen." Die Nachricht ist höflich, fehlerfrei, verweist auf einen echten Lieferanten und nutzt sogar die richtige Signatur. Nichts wirkt sofort wie Betrug.

Früher war Phishing oft leicht zu erkennen: schlechte Sprache, seltsames Layout, unbekannter Absender und unprofessionelles Auftreten. Heute ist das anders. Künstliche Intelligenz hilft Angreifern, Nachrichten natürlich, überzeugend und persönlich wirken zu lassen.

KI-Phishing ist Phishing, das durch künstliche Intelligenz verstärkt wird. Das bedeutet nicht, dass jede E-Mail vollständig von einem Bot geschrieben wurde. Es bedeutet, dass Angreifer KI für Text, Übersetzung, Personalisierung, falsche Geschichten, Stil-Imitation oder ganze Kampagnen nutzen können.

Mehr Kontext zu KI-Angriffen finden Sie im Artikel KI als Angreifer: Phishing, Deepfakes und neue Cyberbedrohungen.

Phishing ist eng mit anderen Social-Engineering-Angriffen verbunden. Für Angriffe per Stimme lesen Sie Deepfake-Betrug und Vishing; für personalisierte Vorwände aus öffentlichen Daten lesen Sie KI und OSINT.

Wie Phishing funktioniert

Phishing basiert auf einem einfachen Prinzip: Der Angreifer gibt sich als vertrauenswürdige Person oder Organisation aus.

Er kann Bank, Paketdienst, Mobilfunkanbieter, Behörde, bekannte Firma, Kollege, Vorgesetzter oder Kunde vortäuschen. Meist soll die Nachricht zu einer schnellen Handlung drängen.

Typische Ziele von Phishing sind:

  • Sie zum Klick auf einen Link bringen,
  • Sie auf eine gefälschte Login-Seite leiten,
  • Sie zum Öffnen eines Anhangs bewegen,
  • Zahlungsdaten stehlen,
  • einen Bestätigungscode erhalten,
  • eine Zahlung auslösen,
  • Zugriff auf ein Firmensystem bekommen.

Das größte Problem: Phishing sieht oft nicht dramatisch aus. Manchmal wirkt es wie eine ganz normale Arbeitsnachricht.

Beispiel einer Phishing E-Mail mit verdächtigem Absender, Zeitdruck und unerwartetem Anhang

Die häufigsten Arten von Phishing

E-Mail-Phishing

Die bekannteste Form. Eine E-Mail sieht aus wie eine Nachricht von Bank, Paketdienst, Microsoft, Google, Lieferant oder Kollege. Sie enthält Link, Anhang oder Aufforderung zur schnellen Aktion.

Beispiel: "Ihr Passwort läuft bald ab. Melden Sie sich an und bestätigen Sie Ihr Konto."

Smishing

Smishing ist Phishing per SMS oder Chat-App. Häufig geht es um Pakete, Zahlungen, Bußgelder oder Bankkonten.

Beispiel: "Ihre Sendung wartet auf eine Nachzahlung von 1,99 EUR. Klicken Sie hier."

Vishing

Vishing ist Phishing per Telefon. Der Angreifer ruft an und versucht, Sie zu einer Handlung zu bewegen. Er kann sich als Bank, Support, Polizei, Paketdienst oder Vorgesetzter ausgeben.

Mit KI ist Vishing gefährlicher, weil synthetische oder geklonte Stimmen genutzt werden können.

Spear-Phishing

Spear-Phishing ist zielgerichtetes Phishing. Es ist keine zufällige Massenmail, sondern für eine konkrete Person oder Firma vorbereitet.

Der Angreifer recherchiert Name, Rolle, Projekte, Kollegen, Kunden oder Lieferanten. Danach baut er eine Nachricht, die in den Arbeitsalltag passt.

Hier wird OSINT wichtig: öffentliche Profile, Firmenwebsites und Beiträge können aus einer generischen Nachricht einen glaubwürdigen Spear-Phishing-Vorwand machen.

Business Email Compromise

Dieser Angriff trifft oft Unternehmen. Der Angreifer gibt sich als Geschäftsführer, Manager, Lieferant oder Geschäftspartner aus und will eine Zahlung oder Änderung der Bankverbindung auslösen.

Das ist nicht immer ein technischer Angriff. Sehr oft ist es gut vorbereitete Manipulation.

Wie KI Phishing verändert

KI macht Phishing besser - im schlechtesten Sinn.

Bessere Grammatik

Betrugsnachrichten müssen keine schlechten Übersetzungen mehr enthalten. KI schreibt natürliche Sprache und passt den Ton an Bank, Paketdienst, Behörde oder Kollegen an.

Mehr persönliche Details

Angreifer können öffentliche Informationen über Unternehmen und Mitarbeitende sammeln. KI macht daraus Nachrichten mit konkretem Kontext.

Zum Beispiel: "Hallo Martina, zu der Ausschreibung, die ihr diese Woche bearbeitet, sende ich die aktualisierten Unterlagen." Das ist deutlich gefährlicher als allgemeiner Spam.

Schnellere Kampagnen

KI erstellt viele Varianten für verschiedene Abteilungen: Finanzen, HR, Vertrieb oder IT.

Bessere Stil-Imitation

Wenn öffentliche Texte einer Person verfügbar sind, kann ein Angreifer versuchen, ihren Stil zu imitieren. Die Nachricht klingt dann wie normale Kommunikation eines Managers oder Kollegen.

Checkliste: Phishing erkennen

Wenn eine Nachricht verdächtig wirkt, verlangsamen Sie. Sie müssen kein IT-Experte sein. Einige einfache Fragen reichen oft.

1. Drängt mich die Nachricht zu schneller Handlung?

Phishing nutzt Zeitdruck: "sofort", "innerhalb von 24 Stunden", "letzte Warnung", "dringend" oder "sonst wird Ihr Konto gesperrt". Je mehr Druck, desto mehr Prüfung.

2. Fragt jemand nach Passwort, Code oder Zahlung?

Senden Sie niemals Passwörter oder Bestätigungscodes per E-Mail, SMS oder Chat. Eine Anfrage nach einem SMS-Code ist ein sehr starkes Warnsignal.

3. Stimmt die Absenderadresse?

Prüfen Sie nicht nur den Namen, sondern die echte E-Mail-Adresse. Achten Sie auf kleine Änderungen in Domains, vertauschte Buchstaben, Bindestriche oder verdächtige Endungen.

4. Führt der Link wirklich dorthin?

Klicken Sie nicht automatisch. Am Computer können Sie mit der Maus über den Link fahren. Auf dem Smartphone ist das schwieriger, also noch vorsichtiger sein. Öffnen Sie die offizielle Website lieber manuell.

5. War der Anhang erwartet?

Öffnen Sie keine unerwarteten Anhänge, besonders Rechnungen, Dokumente, Archive oder Dateien, die Makros oder erneute Anmeldung verlangen.

6. Passt der Kontext?

Habe ich diese Nachricht erwartet? Ergibt es Sinn, dass mir diese Person schreibt? Ist diese Handlung üblich? Wenn nicht, prüfen.

7. Kann ich die Anfrage über einen anderen Kanal prüfen?

Bei Zahlungen, Kontoänderungen, Zugriffen und sensiblen Daten immer einen zweiten Kanal nutzen: bekannte Telefonnummer, interner Chat oder persönliche Nachfrage.

Was tun, wenn Sie auf Phishing geklickt haben?

Klicken kann jeder. Wichtig ist, ruhig zu bleiben und schnell zu handeln.

Wenn Sie nur geklickt, aber nichts eingegeben haben, schließen Sie die Seite und melden Sie die Nachricht an IT oder Administration. Wenn Sie ein Passwort eingegeben haben, ändern Sie es sofort. Wird es woanders genutzt, ändern Sie es dort ebenfalls. Bei Kartendaten kontaktieren Sie die Bank. Bei Firmenkonten informieren Sie das Unternehmen sofort.

Schweigen aus Angst oder Scham ist die schlechteste Option. Schnelle Meldung kann Konto, Geld und Unternehmensdaten retten.

Langfristiger Schutz

Nutzen Sie Mehrfaktor-Authentifizierung (MFA), aktualisieren Sie Geräte, verwenden Sie keine Passwörter mehrfach, nutzen Sie einen Passwortmanager, seien Sie vorsichtig in öffentlichen WLANs und prüfen Sie verdächtige Anfragen.

In Unternehmen helfen regelmäßige Schulungen, einfache Meldewege, simulierte Phishing-Tests und klare Regeln für Zahlungen oder Änderungen von Bankverbindungen.

Fazit

KI-Phishing ist gefährlich, weil es normal wirkt. Es nutzt gewöhnliche Kommunikation, Stress und Vertrauen.

Die beste Verteidigung ist einfach: verlangsamen, prüfen, nicht automatisch klicken und sich nicht unter Druck setzen lassen. Wenn eine Nachricht Panik, Dringlichkeit oder die Eingabe sensibler Daten fordert, ist Vorsicht angebracht.

Verwandte Artikel

Warten Sie nicht, bis jemand klickt - testen Sie die Phishing-Resilienz Ihres Unternehmens.

Jetzt buchen