Was sich seit 2022 verändert hat: Eine Brücke zum bisherigen Artikel
Auf unserer Website haben wir bereits 2022 die Grundlagen des Phishing-Schutzes erläutert – darunter die Prüfung von Absenderadressen, den skeptischen Umgang mit Anhängen und die Kennzeichnung externer E-Mails durch die IT-Abteilung. Diese Empfehlungen haben nichts von ihrer Gültigkeit verloren. Was sich seither jedoch fundamental verändert hat, ist das Bedrohungsniveau selbst.
Im Jahr 2022 war Spear-Phishing ein bekanntes, aber vergleichsweise aufwändiges Angriffswerkzeug – personalisierte Angriffe erforderten erhebliche manuelle Recherche durch die Täter. Dieser Aufwand ist durch den Einsatz generativer KI-Systeme nahezu vollständig weggefallen. Was früher Stunden dauerte, gelingt heute in Minuten: fehlerfreie, kontextuell korrekte E-Mails in perfektem Deutsch, abgestimmt auf laufende Projekte, interne Hierarchien und individuelle Schreibgewohnheiten der Zielperson. Das bis 2022 noch zuverlässige Erkennungsmerkmal schlechter Sprachqualität ist damit aus der Praxis verschwunden.
Gleichzeitig hat sich der Angriffskanal erweitert: Während unser 2022er-Beitrag sich auf E-Mail-Phishing konzentrierte, müssen Unternehmen heute auch SMS, Messenger-Dienste und sogar KI-generierte Sprachanrufe (Voice Cloning) als vollwertige Angriffsvektoren einkalkulieren. Phishing-as-a-Service-Plattformen stellen technisch ausgereiften Angreifern fertige Infrastruktur inklusive täuschend echten Login-Seiten mit HTTPS-Zertifikaten zur Verfügung – das Vorhängeschloss im Browser ist damit kein Vertrauensmerkmal mehr. Und Business Email Compromise (BEC) hat sich zur teuersten Angriffskategorie weltweit entwickelt – ohne den Einsatz von Malware.
Kurz: Die Grundregeln von 2022 gelten weiterhin – die Bedrohung, gegen die sie schützen sollen, hat sich seither jedoch in einem Tempo weiterentwickelt, das kontinuierliche Aktualisierung von Wissen und Abwehrmaßnahmen zwingend notwendig macht.
Die neue Realität: Phishing ist kein E-Mail-Problem mehr
Wer Phishing noch als ärgerliche Spam-Welle mit schlecht formulierten Texten aus fernen Ländern betrachtet, unterschätzt die aktuelle Bedrohungslage fundamental. Phishing ist 2026 die dominierende Angriffsform im gesamten Cybercrime-Spektrum – technisch ausgereift, durch Künstliche Intelligenz industrialisiert und weit über den E-Mail-Kanal hinaus ausgedehnt. Laut dem „Global Threat Intelligence Report 2025″ von Mimecast macht Phishing mittlerweile 77 Prozent aller Cyberattacken aus. Für uns ergibt sich daraus eine klare Konsequenz: Die Aufklärung der Versicherungsnehmer über diese Bedrohungsformen ist nicht länger eine Serviceleistung, sondern Teil der Risikoberatungspflicht.
Vier Angriffsvektoren im technischen Detail
Spear-Phishing: Die chirurgische Präzision des Angriffs
Klassisches Phishing funktioniert nach dem Prinzip „Spray and Pray” – Massenmails, geringe Trefferquote, keine Personalisierung. Spear-Phishing verfolgt das exakte Gegenteil. Obwohl diese Angriffsform laut Barracuda-Analysen nur 0,1 Prozent des gesamten E-Mail-Aufkommens ausmacht, ist sie für rund zwei Drittel aller erfolgreichen Sicherheitsverletzungen verantwortlich. In der DACH-Region waren bereits 55 Prozent der Unternehmen von solchen gezielten Angriffen betroffen.
Der Ablauf eines Spear-Phishing-Angriffs folgt einer strukturierten Methodik:
-
Recherchephase (OSINT): Angreifer werten LinkedIn-Profile, Unternehmenswebseiten, Pressemitteilungen, Stellenanzeigen und öffentliche Ausschreibungen systematisch aus. Das Ziel ist ein präzises Bild von Organigramm, laufenden Projekten, Zahlungsprozessen und eingesetzten Technologien.
-
Zielauswahl: Im Fokus stehen Personen mit Zahlungsbefugnis, administrative Konten oder Assistenzfunktionen mit Kalender- und Postfachzugriff.
-
Erstellung: Inhalte, Sprache, Anrede und Zeitpunkt werden individuell auf die Zielperson abgestimmt. Bekannte DACH-Fälle wie die Leoni AG (Schaden: ca. 40 Mio. Euro) und die FACC AG (ca. 50 Mio. Euro) zeigen das Schadenspotenzial in aller Deutlichkeit.
-
Technische Umsetzung: Domains, Absenderadressen und Antwortpfade werden so eingerichtet, dass sie legitimen Absendern maximal ähnlich sehen.
Was diese Angriffe 2026 besonders gefährlich macht: Generative KI-Systeme übernehmen die Recherche-Arbeit und spezialisierte Cybercrime-Modelle erzeugen fehlerfreie Texte in korrektem Branchenjargon. Das bis dato verlässlichste Erkennungsmerkmal – die schlechte Qualität der Texte – ist damit weitgehend weggefallen. Autonome KI-Agenten sind zu vollständig eigenständigen Angriffen in der Lage – es ist daher davon auszugehen, dass die Frequenz dramatisch zunehmen wird. Hinzu kommt Voice Cloning: Mit wenigen Sekunden Audiomaterial aus öffentlich zugänglichen Podcasts oder LinkedIn-Videos lassen sich Stimmen täuschend echt nachbilden. Angreifer kombinieren Spear-Phishing-Mail und gefälschten Bestätigungsanruf zu einem zweistufigen Angriff, der selbst skeptische Mitarbeitende überzeugt.
Smishing: Phishing ohne Spam-Filter
Smishing – SMS- und Messenger-basiertes Phishing – hat in den letzten Jahren erheblich an Bedeutung gewonnen. Lt. Studien machten Smishing-Bedrohungen 2025 bereits mehr als zwei Drittel aller mobilen Phishing-Angriffe aus. Gleichzeitig sind mobile Endgeräte für Unternehmen problematisch: Viele Mobilgeräte laufen auf veralteten Betriebssystemen mit bekannten Sicherheitslücken.
Der entscheidende Vorteil für Angreifer: Unternehmens-E-Mail-Systeme verfügen in der Regel über mehrschichtige Schutzfilter, Sandboxing und Logging. Eine SMS oder WhatsApp-Nachricht auf dem privaten Smartphone des Geschäftsführers passiert diese Kontrollen schlicht nicht. Eine harmlos wirkende Nachricht wie „Hallo, ich bin gerade im Meeting, kannst du mir schnell einen Gefallen tun?” erscheint auf einem privaten Gerät in einem anderen Kontext als im Unternehmenspostfach – die kognitive Schutzsperre ist deutlich niedriger. Awareness-Programme, die sich ausschließlich auf E-Mail-Phishing konzentrieren, schließen diese Lücke nicht.
Quishing: Der unsichtbare Link im Bild
Quishing – ein Kofferwort aus „QR-Code“ und „Phishing“ – ist 2026 der am schnellsten wachsende Angriffsvektor im Phishing-Spektrum. Allein im ersten Quartal 2026 registrierte Microsoft einen Anstieg der QR-Code-Phishing-Angriffe um 146 Prozent, mit weltweit Millionen blockierter Quishing-Mails.
Der strukturelle Vorteil für Angreifer liegt in einer klaren Sicherheitslücke: Klassische E-Mail-Gateways analysieren Textinhalte und Klartext-URLs, einen QR-Code behandeln sie jedoch als harmlose Bilddatei. Er passiert Filter oft ungehindert. Zusätzlich verlagert Quishing den Angriffsvektor vom meist gut geschützten Unternehmensrechner auf das deutlich schwächer kontrollierte Smartphone der Nutzer: Scannt ein Mitarbeitender den QR-Code – häufig mit dem privaten Gerät – umgeht er damit viele Sicherheitskontrollen des Unternehmens. Studien zeigen, dass ein Großteil der Nutzer die Ziel-URL nach dem Scan nicht überprüft und QR-Codes als „per se vertrauenswürdig“ wahrnimmt.
Die technischen Taktiken werden dabei zunehmend raffinierter. Neben dem klassischen QR-Code in E-Mails oder PDF-Dokumenten verfolgen Angreifer insbesondere drei Varianten: ASCII-Quishing, bei dem der QR-Code nicht als Bild, sondern als Zeichenmuster dargestellt wird und von einfachen Scannern schlechter erkannt wird; physisches Quishing, bei dem gefälschte QR-Code-Aufkleber über legitime Codes an Parkscheinautomaten, E-Ladesäulen, Restaurant-Tischaufstellern oder Briefsendungen angebracht werden; sowie CAPTCHA-Quishing, bei dem die Phishing-Seite hinter dem Code durch echte Schutzmechanismen (z. B. Cloudflare Turnstile oder ähnliche CAPTCHA-Dienste) „legitim“ wirkt.
Business Email Compromise (BEC): Der teuerste Angriff ohne Schadsoftware
Auch Business Email Compromise wird als eigene Kategorie geführt und ist in dieser Definition die Bedrohungsform mit dem höchsten finanziellen Schadenspotenzial für Unternehmen – und das vollständig ohne den Einsatz von Malware. Enthalten sind hier natürlich auch die unterschiedlichen Formen von Phishing insb. Spear-Phishing als Methoden, welche die verschiedenen BEC-Typen so erfolgreich machen.
Man kann grob folgende BEC-Typen und Angriffsmuster unterscheiden, die die Bandbreite des Angriffsspektrums abdecken:
Besonders alarmierend ist die technische Schutzlücke: Da BEC in der Regel aus reinem Text ohne Anhänge oder Links besteht, passiert es signaturbasierte Filter unbehelligt.
Versicherungsrechtliche Relevanz: Ob und inwieweit BEC-Schäden von Cyberpolicen gedeckt sind, hängt stark vom Einzelfall ab. Marktübliche Cyberpolicen können BEC-Fälle grundsätzlich abdecken, insbesondere wenn Angreifer sich echten Zugang zu Unternehmenskonten verschaffen. Bei Fällen, in denen lediglich die Absenderadresse gefälscht wird (Spoofing), ohne echten Systemeingriff, kann die Deckungssituation je nach Police und Klauselwerk abweichen. Kunden müssen explizit auf die Unterscheidung zwischen „echter Kontoübernahme” und „Display-Name-Spoofing” in den Bedingungswerken hingewiesen werden.
Die Psychologie dahinter: Warum Menschen klicken
Alle drei Angriffsvarianten basieren auf demselben Fundament: der systematischen Ausnutzung kognitiver Verzerrungen. Effektive Phishing-Nachrichten aktivieren gezielt psychologische Trigger, die das rationale Urteilsvermögen umgehen. Angreifer setzen dabei auf folgende Mechanismen:
-
Autorität: Die Nachricht stammt scheinbar von der Geschäftsführung, einem Anwalt oder einer Behörde. Autorität erzeugt Compliance ohne kritisches Hinterfragen.
-
Dringlichkeit und Knappheit: Zeitdruck verhindert Verifikation. „Überweisen Sie bis 14:00 Uhr, sonst verfällt der Deal” ist kein Inhalt, der zur Rückfrage einlädt.
-
Vertraulichkeit und Isolation: Die Bitte, die Anfrage mit niemandem zu besprechen, schaltet den sozialen Schutzmechanismus des Mehraugen-Prinzips aus.
-
Soziale Bewährtheit: Vorgespiegelte Legitimität durch korrekte interne Details, Projektnummern oder bekannte Namen erhöht das Vertrauen.
-
Reziprozität: Ein scheinbar hilfsbereiter erster Kontakt (z. B. ein „freundliches Angebot”) legt die psychologische Basis für spätere Compliance.
Menschliches Versagen ist laut aktuellen Studien für den Großteil aller Sicherheitsverletzungen verantwortlich. Diese Zahl belegt, warum rein technische Schutzmaßnahmen nie ausreichen können.
Im Beitrag des nächsten Monats zeigen wir auf, wie man sich gegen diese Angriffsmethoden schützen kann und welche Maßnahmen im Unternehmen dafür notwendig sind.
Unsere Produkte
D&O
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
CYBER
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
SPEZIAL STRAF-RECHTSSCHUTZ
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
CRIME
Finanzinstitutionen,
Kommerzielle Kunden
VERMÖGENSSCHADEN-HAFTPFLICHT
Finanzinstitute, Private Equity, Werbung & Medien etc.
Lesen Sie hier weiter
Wenn die KI selbst zum Cyberrisiko wird
Was klassische Cyberversicherungen heute nicht mehr abdecken
WEITERLESEN
Wenn die E-Mail lügt – Was wir über die Ghost-Sender-Lücke wissen müssen
Eine neue Betrugsmasche macht klassische Schutzmaßnahmen wirkungslos.
WEITERLESEN
Der versicherte Geschäftsbetrieb bei Cyberversicherungen
Cyberversicherungen sind Unternehmensversicherungen — kein Graubereich, kein Ermessensspielraum.
WEITERLESEN





