Phishing-Mails waren früher leicht zu erkennen: krude Grammatik, seltsame Anreden, offensichtliche Rechtschreibfehler. Diese Zeiten sind vorbei. Die Verbraucherzentrale warnt aktuell vor einer neuen Generation von Phishing-Nachrichten, die mithilfe Künstlicher Intelligenz erstellt werden – und kaum noch von echten Mails zu unterscheiden sind.
Das Problem trifft besonders Online-Banking-Nutzer, aber auch alle, die regelmäßig E-Mails von Paketdiensten, Streaming-Anbietern oder Behörden bekommen. Ich zeige euch, woran ihr KI-Phishing trotzdem erkennt, welche Tricks die Betrüger aktuell nutzen – und wie ihr euch konkret schützt.
Aktuelle Phishing-Welle: Was Verbraucherschützer warnen
Die Verbraucherzentrale betreibt mit dem Phishing-Radar eine fortlaufend aktualisierte Übersicht aktueller Betrugsversuche. Dort dokumentiert sie, welche Banken, Dienstleister und Marken gerade besonders häufig für gefälschte Mails missbraucht werden – darunter regelmäßig Sparkassen, Volksbanken, ING, DHL, PayPal oder Amazon.
Die Verbraucherschützer beobachten, dass die Qualität der Phishing-Nachrichten deutlich zugenommen hat. Texte sind sprachlich sauber, Anreden persönlich, das Layout originalgetreu. Der Grund liegt auf der Hand: Generative KI-Tools wie ChatGPT und vergleichbare Modelle erlauben es Kriminellen, in Sekunden überzeugende deutschsprachige Mails zu formulieren – ohne Stilbrüche, ohne typische Übersetzungsfehler.
Auch der Inhalt wird raffinierter. Statt plumper Drohungen („Ihr Konto wird gesperrt!“) setzen die Täter auf plausible Anlässe: angebliche Sicherheitsupdates, neue AGB, vermeintliche Rückerstattungen oder Hinweise auf nicht zustellbare Pakete. Mails wirken wie reguläre Servicekommunikation – inklusive Logo, Fußzeile und korrekter Absenderadresse auf den ersten Blick.
Hinzu kommt ein zweiter Kanal: Phishing per SMS (Smishing) und Messenger-Nachrichten. Auch hier hilft KI dabei, Texte glaubwürdig zu formulieren und auf Zielgruppen zuzuschneiden.
Warum ist KI-Phishing gefährlicher als normale Fake-Mails?
Die klassischen Erkennungsmerkmale fallen weg. Wer früher gelernt hat, auf Rechtschreibfehler und holprige Sätze zu achten, läuft heute ins Leere. Eine gut formulierte Mail wirkt automatisch vertrauenswürdiger – ein psychologischer Effekt, den die Angreifer gezielt ausnutzen.
Dazu kommt die Personalisierung. Durch Datenlecks der vergangenen Jahre kursieren Millionen E-Mail-Adressen, oft kombiniert mit Namen, Wohnorten oder Kundennummern. KI-Systeme können diese Daten nutzen, um Mails individuell anzupassen. Eine Nachricht, die euch korrekt mit Vor- und Nachnamen anspricht und auf eure tatsächliche Bank verweist, hat eine ganz andere Wirkung als eine generische Massenmail.
Für Banking-Nutzer ist das Risiko besonders hoch: Ein einziger Klick auf einen gefälschten Login-Link, eine Eingabe von Zugangsdaten oder die Freigabe einer manipulierten TAN – und das Konto ist offen.
Wie könnt ihr KI-Phishing-Mails sicher erkennen?
Auch wenn der Text perfekt klingt: Es gibt verlässliche Prüfschritte, die fast immer funktionieren. Wichtig ist, sie konsequent durchzuziehen – auch wenn die Mail noch so dringend wirkt.
- Absenderadresse prüfen: Nicht nur den Anzeigenamen, sondern die vollständige Mailadresse. Echte Banken verwenden eigene Domains, keine kryptischen Endungen.
- Links nicht anklicken: Mit der Maus über den Link fahren (ohne klicken) und das Ziel in der Statusleiste prüfen. Bei Zweifeln: Adresse manuell im Browser eingeben.
- Druck und Dringlichkeit hinterfragen: „Sofort handeln!“, „innerhalb von 24 Stunden“ – das ist ein klassisches Manipulationsmuster.
- Niemals Zugangsdaten per Mail-Link eingeben: Banken fordern das grundsätzlich nicht.
- Im Zweifel direkt nachfragen: Über die offizielle App, Website oder Telefonnummer eurer Bank – nie über Kontaktdaten aus der verdächtigen Mail.
Ein weiterer Tipp: Loggt euch bei Verdacht direkt über die offizielle Banking-App oder die gespeicherte Lesezeichen-URL ein. Echte Mitteilungen findet ihr dort meist im Postfach der Bank – fehlt die Nachricht dort, ist die Mail höchstwahrscheinlich Fake.
Online-Banking Sicherheit: So schützt ihr euch vor Phishing
Neben der Wachsamkeit beim Lesen helfen technische Maßnahmen. Diese vier solltet ihr aktiv haben:
- Zwei-Faktor-Authentifizierung für alle wichtigen Konten – E-Mail, Banking, Shopping, Social Media.
- Aktuelles Betriebssystem und Browser – Sicherheitsupdates schließen Lücken, die Phishing-Seiten ausnutzen.
- Passwort-Manager nutzen: Er füllt Zugangsdaten nur auf der echten Domain aus. Reagiert er auf einer Phishing-Seite nicht, ist das ein klares Warnsignal.
- Separate E-Mail-Adresse für Banking und sensible Dienste – getrennt von der Adresse für Newsletter und Online-Shops.
Falls ihr trotzdem mal auf eine Phishing-Mail hereingefallen seid: Sofort handeln. Zugangsdaten der betroffenen Konten ändern, Bank anrufen und Karte sperren lassen (zentrale Sperrnummer 116 116), Vorgang dokumentieren und Anzeige bei der Polizei erstatten. Die Mail selbst könnt ihr an die Verbraucherzentrale unter phishing@verbraucherzentrale.nrw weiterleiten – dort fließt sie in das Phishing-Radar ein und hilft anderen.
Cybersicherheit im Alltag: Diese Gewohnheiten solltet ihr ändern
KI-Phishing ist kein vorübergehendes Phänomen, sondern der neue Standard. Wer sich auf die alten Erkennungsmerkmale verlässt, wird früher oder später Opfer. Die gute Nachricht: Die wichtigsten Schutzmaßnahmen sind dieselben geblieben – nur müsst ihr sie konsequenter anwenden.
Mein Rat: Behandelt jede Mail mit Link oder Handlungsaufforderung grundsätzlich skeptisch, egal wie professionell sie aussieht. Nicht der Text entscheidet, ob eine Nachricht echt ist, sondern der Absender, der Link und der Kontext. Und wenn eine Mail Druck aufbaut, ist das fast immer ein Alarmsignal – echte Banken geben euch Zeit.
Der Phishing-Radar der Verbraucherzentrale ist eine gute Anlaufstelle, um aktuelle Maschen im Blick zu behalten. Ein kurzer Check dort – etwa einmal pro Woche – reicht, um informiert zu bleiben. Wachsamkeit bleibt euer wichtigster Schutz.
