Die digitale Welt hat sich in den vergangenen Jahren rasant verändert. Mit der Verbreitung von Künstlicher Intelligenz, Sprachmodellen und immer stärker vernetzten Kommunikationskanälen stehen nicht nur Unternehmen, sondern auch Privatpersonen einer neuen Generation von Cyberbedrohungen gegenüber. Phishing und Social Engineering, lange Zeit als „klassische“ Angriffsmethoden belächelt, haben 2024/2025 eine neue Qualität erreicht – intelligenter, schneller, überzeugender und vor allem personalisierter.
Was früher plumpe Spam-Mails mit Rechtschreibfehlern waren, ist heute eine perfekt formulierte E-Mail mit täuschend echtem Absender, einem korrekt gesetzten Logo und sogar einem realistischen, KI-generierten Sprach- oder Videoanruf. Der digitale Betrug hat sich professionalisiert – und genau das macht ihn so gefährlich.
Die neue Dimension der Täuschung
Cyberkriminelle nutzen heute nicht mehr nur gefälschte Webseiten und manipulierte Links. Sie arbeiten mit hochentwickelten Phishing-Kits, generativer KI und sogar Deepfakes, um ihre Opfer zu manipulieren. Die Angriffe erfolgen nicht mehr eindimensional, sondern über mehrere Kanäle hinweg: E-Mail, SMS, Messenger-Dienste, QR-Codes und Telefongespräche. Diese „multimodalen Angriffe“ zielen darauf ab, kognitive Dissonanz zu erzeugen – also Unsicherheit beim Empfänger, die ihn zu unüberlegten Handlungen verleitet.
Laut einem aktuellen Bericht von SlashNext ist die Zahl der Phishing-Angriffe 2024 weltweit um über 700 Prozent gestiegen. Insbesondere Angriffe auf Zugangsdaten – sogenanntes Credential Phishing – explodierten förmlich. Gleichzeitig nahm die Anzahl sogenannter Zero-Day-Links zu, also Links, die beim Versand einer Nachricht noch harmlos aussehen, aber später in Schadsoftware umgewandelt werden. 80 Prozent der Phishing-Links fielen laut Bericht in diese Kategorie¹.
Was diesen Trend besonders beunruhigend macht: Rund 83 Prozent aller Phishing-Mails im Jahr 2025 wurden mithilfe von KI erstellt, wie eine Untersuchung des Security-Anbieters KnowBe4 zeigt². Die künstliche Intelligenz übernimmt nicht nur das Schreiben der Nachrichten, sondern auch deren Anpassung an Zielpersonen. Sie analysiert vorher öffentlich zugängliche Informationen – etwa aus LinkedIn-Profilen oder Firmenwebsites – und formuliert daraus überzeugende Inhalte. So entstehen hochgradig personalisierte Angriffe, die selbst erfahrene Nutzerinnen und Nutzer täuschen.
Die Rückkehr der Stimme – Vishing, Deepfakes und emotionale Täuschung
Neben E-Mails ist vor allem das sogenannte „Vishing“, also Voice-Phishing, auf dem Vormarsch. Angreifer rufen ihre Opfer telefonisch an und geben sich als Mitarbeitende von Banken, Paketdiensten oder sogar als Familienangehörige aus. Dank KI-generierter Stimmen, sogenannter „Voice Clones“, klingt die Stimme dabei täuschend echt. In einem dokumentierten Fall aus den USA gelang es Betrügern 2024, über eine Deepfake-Stimme eines Firmenchefs innerhalb von Minuten eine Millionenüberweisung auszulösen³.
Die emotionale Dimension solcher Angriffe darf nicht unterschätzt werden. Während technische Firewalls Angriffe vielleicht erkennen können, sind menschliche Reaktionen auf Emotionen schwer kontrollierbar. Wenn ein scheinbarer Kollege panisch anruft oder ein angebliches Familienmitglied in Not ist, versagen in vielen Fällen die kognitiven Schutzmechanismen.
Quishing – Wenn der QR-Code zur Falle wird
Eine besonders perfide neue Methode ist das sogenannte „Quishing“ – Phishing mit QR-Codes. Diese Codes, die längst zum Alltag gehören – etwa beim Restaurantbesuch oder für Parktickets – werden in gefälschte E-Mails oder sogar auf Aufklebern im öffentlichen Raum untergebracht. Wer den QR-Code scannt, landet auf einer manipulierten Website, die etwa nach Login-Daten fragt oder Schadsoftware installiert.
Allein im letzten Quartal 2024 registrierte das Sicherheitsunternehmen Barracuda über 500.000 Angriffe dieser Art⁴. Die besondere Gefahr liegt darin, dass QR-Codes auf mobilen Geräten geöffnet werden – häufig außerhalb der Kontrolle gängiger Sicherheitssoftware. Zudem suggerieren QR-Codes aufgrund ihrer Allgegenwärtigkeit eine gewisse Unschuld. Diese Kombination aus technischer Unsichtbarkeit und psychologischer Täuschung macht Quishing zu einer der effektivsten Methoden im Arsenal moderner Angreifer.
Die Industrie der Täuschung – Phishing as a Service
Nicht nur die Methoden, sondern auch das „Geschäftsmodell“ hinter Phishing hat sich verändert. Phishing-as-a-Service (PhaaS) ist ein wachsender Schwarzmarkt, auf dem Angriffe, Softwarekits und Zugangsdaten „as a Service“ verkauft werden. Kriminelle ohne tiefes technisches Wissen können dort für wenige hundert Euro ein komplettes Angriffspaket kaufen – inklusive Anleitung, täuschend echter Webseiten-Klone und sogar Support.
Diese Demokratisierung der Cyberkriminalität lässt die Zahl der Angriffe weiter steigen. Plattformen wie „Tycoon 2FA“ oder „EvilProxy“ bieten Funktionen an, mit denen selbst Zwei-Faktor-Authentifizierungen ausgehebelt werden können – live und in Echtzeit⁵. Die Folge: Selbst vermeintlich sichere Login-Verfahren reichen nicht mehr aus, wenn der Mensch als Einfallstor agiert.
Zwischen Technik und Mensch: Was wirklich schützt
Angesichts dieser Entwicklungen stellt sich die Frage, wie man sich als Unternehmen oder Einzelperson wirksam schützen kann. Technische Maßnahmen wie KI-gestützte E-Mail-Filter, verhaltensbasierte Erkennungssysteme und der Einsatz sicherer QR-Code-Scanner sind ein wichtiger erster Schritt. Ebenso essenziell ist die konsequente Nutzung von Multi-Faktor-Authentifizierung.
Doch Technik allein reicht nicht aus. Unternehmen müssen eine Kultur der Wachsamkeit schaffen. Schulungen, die nicht nur erklären, was Phishing ist, sondern in realistischen Simulationen echte Gefahrensituationen nachstellen, sind wirkungsvoller als theoretische Seminare. Führungskräfte sollten sich der Tatsache bewusst sein, dass sie selbst bevorzugte Ziele sind – sogenannte „Whaling-Angriffe“ richten sich gezielt gegen das Top-Management.
Auch im Privaten hilft vor allem eines: Skepsis. Eine kurze Rückfrage beim angeblichen Absender, das Misstrauen gegenüber ungewöhnlichen Kommunikationswegen oder eine schnelle Recherche können im Zweifel vor großem Schaden bewahren.
Ein vorsichtiger Blick in die Zukunft
Phishing und Social Engineering werden auch in den kommenden Jahren weiter an Raffinesse gewinnen. Die Angreifer verfügen nicht nur über bessere Tools, sondern über eine enorme Kreativität – getrieben von finanziellen Interessen, ideologischen Motiven oder schlicht dem Reiz, Systeme zu überlisten. Künstliche Intelligenz wird dabei eine zentrale Rolle spielen – sowohl als Waffe der Angreifer als auch als potenzieller Schutzmechanismus.
Die größte Schwachstelle bleibt aber der Mensch. Nur wenn Technik, Organisation und individuelles Verhalten zusammenspielen, kann der Kampf gegen Phishing und Social Engineering erfolgreich geführt werden.
Quellenverzeichnis
¹ SlashNext: Phishing Report H2 2024 – Anstieg Credential Phishing um 703 %, Zero-Day-Links in 80 % der Fälle
² KnowBe4: Global Phishing Report 2025 – 83 % der Phishing-Mails KI-generiert
³ Financial Times: Cybercrime and the Rise of AI Voice Cloning, Juni 2025
⁴ Barracuda Networks: Quishing Threat Analysis Q4 2024 – 500.000+ Fälle weltweit
⁵ Reddit / Barracuda Threat Labs: Analyse von Phishing-as-a-Service (Tycoon 2FA, EvilProxy), Feb. 2025