Phishing-Flut: 94 Prozent aller Firmen betroffen

Täglich erreichen schätzungsweise 3,4 Milliarden betrügerische Nachrichten die Postfächer weltweit. Eine neue Analyse vom Mai 2026 zeigt: 94 Prozent aller Organisationen wurden bereits Opfer von Phishing-Angriffen. Die Methoden werden immer komplexer – von manipulierten Geräte-Code-Flows bis hin zu KI-generierten Stimmimitationen.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Device-Code-Phishing: Die neue Gefahr für Microsoft-365-Nutzer

Ein besonders besorgniserregender Trend ist der rasante Aufstieg des sogenannten Device-Code-Phishings. Seit März 2026 setzt die als TA4903 bekannte Hackergruppe fast ausschließlich auf diese Methode. Mit Tools wie EvilTokens kompromittieren Angreifer Microsoft-365-Konten, ohne dass Opfer auf eine gefälschte Login-Seite gelockt werden müssen.

Die Täter nutzen den „Device Code Flow" aus – ein Verfahren, das eigentlich für Geräte mit eingeschränkter Eingabefähigkeit wie Smart-TVs entwickelt wurde. Neuere Versionen dieser Angriffswerkzeuge generieren die Codes erst dynamisch, wenn ein Nutzer auf einen Link klickt. Damit umgehen sie die übliche 15-Minuten-Frist, die solche Angriffe bislang zeitlich begrenzte.

Parallel dazu gewinnt „Quishing" – Phishing über QR-Codes – an Bedeutung. Die Täter verstecken schädliche URLs in Bildern, die von herkömmlichen E-Mail-Scannern nicht erkannt werden. Der Betrug verlagert sich so auf das Smartphone der Opfer, das meist weniger gut geschützt ist als der Firmenrechner.

Erst am 15. Mai 2025 wurde eine Kampagne gegen LuxTrust-Nutzer bekannt: Eine vermeintliche Sicherheitswarnung, die angeblich von einer legitimen Polizei-Domain stammte, leitete Opfer auf eine betrügerische Telefonnummer in Frankreich weiter. Der Vorwand: ein nicht autorisierter Login-Versuch aus Portugal.

KI macht Betrug gefährlicher denn je

Künstliche Intelligenz revolutioniert die Methoden der Cyberkriminellen. Eine Studie des Sicherheitsunternehmens Saigiss vom 15. Mai 2026 belegt: 72 Prozent der Beschäftigten halten KI-generierte Phishing-Versuche für überzeugender als traditionelle Methoden. 64 Prozent fürchten, dass KI ihre Kollegen täuschend echt imitieren könnte.

Die psychologische Dynamik moderner Arbeitswelten verschärft das Problem: 56 Prozent der Arbeitnehmer fühlen sich unter Druck, schnell auf Nachrichten zu reagieren. 68 Prozent checken ihre Kommunikation auch außerhalb der Arbeitszeiten.

Besonders perfide: Sprachklon-Technologie. Mit nur wenigen Sekunden Audio aus sozialen Medien können Betrüger die Stimme einer Person nachahmen. Sie nutzen dies für „Pig Butchering"-Investmentbetrug oder simulieren Notrufe angeblicher Familienmitglieder. 95 Prozent dieser Betrugsfälle beginnen mit einem mündlichen Gespräch.

Sicherheitsexperten empfehlen die „Triple-A-Regel": Vorsicht bei Nachrichten, die hohe Aufmerksamkeit (Attention), Geheimhaltung (Authentication) und sofortige Zahlung (Amount) verlangen.

Doch die KI-Gefahr kommt nicht nur von außen. Forscher der University of Washington bestätigten, dass KI-Chatbots wie Google Gemini und ChatGPT unbeabsichtigt private Telefonnummern preisgegeben haben – ein Phänomen, das als „AI Doxxing" bekannt ist.

Milliarden-Schäden und explodierende Sicherheitsbudgets

Die finanziellen Folgen sind dramatisch: Jeder verlorene Euro durch Betrug verursacht den betroffenen Organisationen Gesamtkosten von 5,16 Euro, wie der AppGate Fraud Beat 2026 zeigt. Darin enthalten sind Rechtskosten, Ermittlungsausgaben und Imageschäden.

Besonders betroffen: Lateinamerika mit einem Anstieg der Digitalbetrugsfälle um 228 Prozent. In Venezuela tobt der Kampf besonders heftig. Soziale Medien sind dort mit 86 Prozent der beobachteten Bedrohungen der dominierende Angriffsvektor.

Bildungseinrichtungen und die Finanzbranche bleiben Hauptziele. Ein aktueller Hack der Canvas-Plattform durch die Gruppe ShinyHunters traf 9.000 Bildungseinrichtungen weltweit – 275 Millionen Nutzerdaten wurden kompromittiert. Allein in Hongkong waren 72.000 Schüler und Mitarbeiter betroffen.

Die Reaktion der Unternehmen: massiv steigende IT-Sicherheitsbudgets. Der RSM MMBI Cybersecurity Report für Mai 2026 zeigt: 81 Prozent der mittelständischen Firmen erwarten höhere Sicherheitsausgaben. Der Anteil der Unternehmen, die 16 bis 20 Prozent ihres IT-Budgets für Sicherheit reservieren, hat sich von 4 auf 13 Prozent verdreifacht.

Sicherheitslücken als Einfallstore

Die Phishing-Welle fällt mit einer Zunahme kritischer Software-Schwachstellen zusammen. Am 15. Mai 2026 veröffentlichte Google Chrome Version 148 – sie schließt 127 Sicherheitslücken, drei davon als kritisch eingestuft. Auch Cisco warnte kürzlich vor einer Schwachstelle in seinen SD-WAN-Controllern (CVE-2026-20182), die unbefugten administrativen Zugriff ermöglicht und bereits aktiv ausgenutzt wird.

Der menschliche Faktor bleibt die größte Schwachstelle. Eine Kaspersky-Studie von Ende 2025 ergab: Nur jede dritte Familie sichert alle ihre digitalen Geräte vollständig. 21 Prozent der über 55-Jährigen ergreifen gar keine Schutzmaßnahmen.

Da in Deutschland pro Quartal Millionen Konten gehackt werden, ist der Schutz Ihrer digitalen Identität wichtiger denn je. Dieser kostenlose Report zeigt, wie Sie Passkeys bei Amazon, Microsoft und Co. einrichten und Hackerangriffe verhindern. Kostenlosen Passkey-Ratgeber jetzt herunterladen

Ausblick: Passwortlose Zukunft als Lösung?

Der Kampf gegen Phishing bewegt sich in Richtung passwortloser Umgebungen. Microsoft kündigte an, dass die native Verwaltung von Passkeys in Windows 11 bis Ende Juni 2026 für Unternehmen verfügbar sein wird. WhatsApp plant ebenfalls eine optionale Passwort-Funktion für den Gerätewechsel.

Neue Plattformen wie „Keycard for Multi-Agent Apps", gestartet am 14. Mai 2026, sollen Interaktionen zwischen autonomen KI-Agenten durch sitzungsbasierte Zugriffe statt dauerhafter Berechtigungen sichern.

Trotz dieser Fortschritte: Der Markt für Betrugserkennung und -prävention wird sich von 21 Milliarden Euro (2025) auf 39 Milliarden Euro bis 2030 fast verdoppeln. Solange die durchschnittliche Klickzeit auf einen Phishing-Link bei nur 21 Sekunden liegt, bleibt die Kombination aus Echtzeit-Überwachung und Mitarbeiterschulung die wirksamste Verteidigung.

de | wissenschaft | 69343801 |