Phishing-Mails waren früher leicht zu erkennen: schlechtes Deutsch, krude Anrede, offensichtliche Tippfehler. Diese Zeiten sind vorbei. Mit generativer KI haben Kriminelle ein Werkzeug bekommen, das ihre Angriffe auf ein völlig neues Niveau hebt.
Aktuelle Fälle zeigen, wie Angreifer den Schreibstil echter Personen imitieren – vom Vorgesetzten bis zum Hochschuldozenten. Die Mails wirken authentisch, persönlich und passen perfekt zum Kontext. Sicherheitsexperten sprechen von Hyper-Personalisierung: Angriffe werden individuell zugeschnitten, in Sekundenschnelle und in beliebiger Stückzahl.
Ich zeige euch in diesem Artikel, was sich gerade verändert, welche Warnsignale ihr kennen solltet und mit welchen konkreten Maßnahmen ihr euch und euer Umfeld schützt.
Was sich gerade verändert
Generative KI – also Sprachmodelle wie ChatGPT, Gemini oder Claude – kann Texte in beliebigem Stil, in beliebiger Sprache und in beliebiger Tonalität produzieren. Was Marketing-Teams hilft, hilft eben auch Kriminellen. Mit ein paar Beispieltexten lässt sich der Schreibstil einer Zielperson erstaunlich genau nachahmen.
Berichten zufolge nutzen Angreifer öffentlich verfügbare Informationen aus LinkedIn, Unternehmenswebsites, Social Media oder Vorlesungsverzeichnissen, um ihre Mails passgenau zu gestalten. Ein Beispiel: Studierende erhalten eine Mail, die aussieht, als käme sie vom eigenen Dozenten – inklusive korrekter Anrede, passendem Seminarbezug und glaubwürdiger Bitte um einen Klick auf einen Link.
Auch im Unternehmenskontext beobachten Sicherheitsexperten eine deutliche Zunahme solcher Angriffe. CEO-Fraud, also gefälschte Mails von Geschäftsführern an Mitarbeiter mit der Bitte um eine dringende Überweisung, wird durch KI deutlich überzeugender. Hinzu kommen Voice-Cloning-Angriffe: Aus wenigen Sekunden Audiomaterial – etwa aus einem Podcast oder YouTube-Video – lässt sich eine täuschend echte Stimmkopie erzeugen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit längerem davor, dass KI die Einstiegshürde für Cyberkriminalität deutlich senkt. Auch ohne Programmierkenntnisse oder Sprachgefühl lassen sich heute hochwertige Angriffe bauen.
Warum klassische Erkennungsmerkmale nicht mehr reichen
Die alten Faustregeln – auf Rechtschreibfehler achten, auf seltsame Anreden, auf komische Formulierungen – greifen kaum noch. KI-generierte Phishing-Mails sind sprachlich oft besser als die durchschnittliche interne Kommunikation. Auch der Tonfall stimmt: locker bei jungen Empfängern, formell bei Behördenkontakten, fachlich bei Spezialisten.
Für euch als Nutzer bedeutet das: Ihr könnt euch nicht mehr auf euer Bauchgefühl beim Lesen verlassen. Eine Mail kann perfekt klingen – und trotzdem ein Angriff sein. Das verschiebt die Aufmerksamkeit weg vom Text hin zu technischen Merkmalen und zum Kontext: Wer schickt was, warum, über welchen Kanal, und passt das wirklich?
Die neuen Warnsignale, auf die ihr achten solltet
Auch wenn Texte heute makellos sind, gibt es weiterhin verlässliche Indikatoren für einen Betrugsversuch. Hier die wichtigsten:
- Druck und Dringlichkeit: „Sofort handeln“, „nur heute“, „Konto wird gesperrt“ – Zeitdruck ist der älteste Trick und funktioniert immer noch
- Ungewöhnlicher Kanal: Der Chef schreibt plötzlich per WhatsApp statt per Firmen-Mail? Skeptisch werden
- Abweichende Absenderadresse: Der Anzeigename stimmt, aber die echte Mail-Adresse dahinter ist kryptisch oder nutzt eine fremde Domain
- Links, die nicht zum Ziel passen: Mauszeiger über den Link halten (ohne zu klicken!) und die echte URL prüfen
- Anfragen außerhalb des üblichen Prozesses: Überweisungen, Passwortänderungen, Datenfreigaben per Mail sind in seriösen Organisationen sauber geregelt
- Emotionale Trigger: Angst, Neugier, Mitleid, Schuldgefühl – wer euch emotional packt, will euer kritisches Denken ausschalten
Konkrete Schutzmaßnahmen für den Alltag
Technik allein reicht nicht, Wachsamkeit allein auch nicht. Ihr braucht beides. Diese Maßnahmen empfehle ich euch dringend:
- Zwei-Faktor-Authentifizierung überall aktivieren, wo es geht – am besten mit Authenticator-App oder Hardware-Schlüssel statt SMS
- Passwort-Manager nutzen: Er füllt Zugangsdaten nur auf der echten Domain aus – eine gefälschte Phishing-Seite erkennt er sofort
- Rückkanal etablieren: Bei verdächtigen Mails den Absender über einen zweiten, bekannten Weg kontaktieren – kurzer Anruf reicht
- Codewort vereinbaren: In Familie und engem Team ein Codewort festlegen, das bei Stimm- oder Video-Anrufen abgefragt werden kann. Das hilft gegen Voice-Cloning
- Updates einspielen: Betriebssystem, Browser und Mail-Programm aktuell halten – viele Angriffe nutzen bekannte Lücken
- Verdächtige Mails melden, statt nur zu löschen – im Unternehmen an die IT, privat etwa an die Verbraucherzentrale
Für Unternehmen und Bildungseinrichtungen gilt zusätzlich: Awareness-Schulungen sollten regelmäßig stattfinden – nicht einmal jährlich als Pflichtübung, sondern mit realistischen Beispielen aus dem eigenen Umfeld. Phishing-Simulationen helfen, das Sicherheitsbewusstsein zu trainieren, ohne dass im Ernstfall Schaden entsteht.
Wichtig dabei: Wer auf eine Simulation hereinfällt, darf nicht bloßgestellt werden. Eine offene Fehlerkultur ist die beste Verteidigung. Mitarbeiter, die Angst haben, einen Klick zuzugeben, melden auch echte Vorfälle zu spät.
Was das für euch bedeutet
KI verändert die Cyberkriminalität grundlegend. Angriffe werden günstiger, schneller, persönlicher – und damit gefährlicher. Die gute Nachricht: Die Grundprinzipien der Verteidigung gelten weiter. Wer Zweifel ernst nimmt, einen zweiten Kanal nutzt, technische Schutzmaßnahmen einsetzt und sich nicht unter Druck setzen lässt, ist auch gegen KI-gestützte Angriffe gut gewappnet.
Mein Rat: Geht davon aus, dass die nächste Phishing-Mail nicht mehr nach Phishing aussieht. Sie wird perfekt formuliert sein, sie wird zu eurem Kontext passen, und sie wird euch unter Zeitdruck setzen. Genau das ist der Moment, in dem ihr kurz innehalten solltet. Ein zweiminütiger Rückruf ist immer billiger als ein geleertes Konto oder ein kompromittiertes Firmennetz.
Die Angreifer werden weiter aufrüsten. Wir müssen mitziehen – nicht durch mehr Misstrauen, sondern durch klügere Routinen. Wer einmal verinnerlicht hat, sensible Aktionen grundsätzlich zu verifizieren, macht es Kriminellen deutlich schwerer, egal wie gut ihre KI ist.
