Ein neuer KnowBe4-Bedrohungsbericht zeigt: 86 Prozent aller Phishing-Angriffe sind 2026 KI-gesteuert. Microsoft blockierte allein im ersten Quartal 8,3 Milliarden Phishing-E-Mails. Was das für deutsche Mittelständler konkret bedeutet und welche Angriffspfade jetzt explodieren.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Geht es Ihnen auch so? Ihre Mitarbeiter sind sensibilisiert, das Unternehmen hat in Schulungen investiert, und trotzdem fallen jeden Monat zwei oder drei Beschäftigte auf Phishing-Mails herein. Der Grund ist statistisch erklärbar: KI hat die Mechanik des Phishings 2026 fundamental verändert. Der aktuelle Bedrohungsbericht von KnowBe4 zeigt, dass 86 Prozent aller Phishing-Angriffe inzwischen KI-gesteuert sind. Die Mails sind fehlerfrei, persönlich zugeschnitten und kaum von echter Unternehmenskommunikation zu unterscheiden.
Das Wichtigste in Kürze
- 86 Prozent aller Phishing-Angriffe sind laut KnowBe4-Report 2026 KI-gesteuert
- Microsoft blockierte im ersten Quartal 2026 rund 8,3 Milliarden Phishing-E-Mails
- Plus 49 Prozent bei Phishing über Kalendereinladungen, plus 41 Prozent bei Microsoft-Teams-Angriffen
- Spyware-as-a-Service ab 60 Euro pro Monat senkt die Einstiegshürde drastisch
- US-Behörden erwägen, Patch-Fristen von zwei bis drei Wochen auf drei Tage zu kürzen
Wie KI das Phishing-Geschäft verändert
Vor zwei Jahren waren Phishing-Mails am gebrochenen Deutsch erkennbar. Heute schreiben generative Modelle in jeder Sprache fehlerfrei und passen Tonalität, Anredeform und Kontext an die Zielperson an. KnowBe4 hat das Vorgehen analysiert und drei typische Angriffsmuster identifiziert.
Spear-Phishing mit LinkedIn-Daten ist das erste Muster. Angreifer scrapen öffentliche Profile, generieren mit KI eine plausible Geschäftsmail an den vermeintlichen Vorgesetzten oder Kunden und bekommen Zugriff auf Firmenkonten. Das zweite Muster ist Kalender-Phishing mit gefälschten Einladungen, das im ersten Quartal 2026 um 49 Prozent zugenommen hat. Das dritte Muster sind Teams- und Slack-Angriffe, bei denen Angreifer kompromittierte Konten nutzen, um sich seitlich im Unternehmen weiterzuhangeln. Microsoft Teams allein verzeichnete 41 Prozent mehr Angriffe gegenüber dem Vorquartal.
Lesetipp: Cybersecurity Grundlagen: Was KMU 2026 können müssen
Was die Microsoft-Zahlen bedeuten
Die 8,3 Milliarden blockierten Phishing-Mails im ersten Quartal 2026 sind eine bemerkenswerte Zahl, die zwei Lesarten zulässt. Optimistisch: Microsofts Filter funktionieren, der Großteil der Angriffe erreicht die Postfächer nicht. Pessimistisch: Die Angriffsmenge ist so explodiert, dass selbst hochentwickelte Filter mit dieser Industrialisierung kämpfen.
Lesetipp: Mobile Geräte in Unternehmen: Was müssen Chefs und Mitarbeiter beachten?
Beide Lesarten haben recht. Wer als Mittelständler Microsoft 365 nutzt, profitiert von den Plattform-Filtern. Wer auf eigene Mailserver setzt, ohne vergleichbare Filter-Tiefe, ist deutlich verwundbarer. Die KnowBe4-Analyse zeigt: Branchen mit hohem KMU-Anteil und gemischter IT-Landschaft, also klassischer deutscher Maschinenbau, Handwerk und Mittelstand, sind die häufigsten Opfer.
Die Zeit der Phishing-Mails mit Rechtschreibfehlern ist vorbei. Wer 2026 noch Mitarbeiter mit dem alten Rechtschreib-Argument schult, schult an der Realität vorbei. Es geht jetzt um Verhaltensmuster, Verifikations-Routinen und schnelle Patch-Fristen.
— Markus Seyfferth, Chefredakteur Dr. Web
Spyware-as-a-Service ab 60 Euro
Die zweite große Veränderung 2026: Cyberkriminalität ist als Service buchbar geworden. Der Android-Trojaner KidsProtect wird bereits ab 60 Euro pro Monat als Abo angeboten und erlaubt Nachrichten-Abfangen, GPS-Tracking und Keylogging. Die Einstiegshürde für Angreifer sinkt damit drastisch. Wer früher technisches Know-how brauchte, klickt heute durch ein Webformular und mietet eine Angriffsplattform.
Parallel laufen größere Datenlecks. Ende April veröffentlichte die Gruppe ShinyHunters die Daten von 1,4 Millionen Udemy-Dozenten nach einem gescheiterten Erpressungsversuch. Hunderttausende Roblox-Konten wurden ebenfalls geleakt. Diese Zugangsdaten zirkulieren in Darknet-Foren und befeuern weitere Phishing-Wellen, häufig in Form von Business-E-Mail-Compromise-Attacken.
Was Mittelständler 2026 prüfen sollten
Drei Maßnahmen haben die größte Wirkung.
Patch-Fristen drastisch kürzen
US-Behörden erwägen, kritische Sicherheitslücken statt in zwei bis drei Wochen innerhalb von drei Tagen schließen zu lassen. Wer als deutsches Unternehmen heute drei Wochen für einen kritischen Patch braucht, ist 2026 zu langsam. Automatisierte Patch-Pipelines mit Test- und Rollback-Stufen sind 2026 Pflicht, nicht Kür.
Zwei-Faktor-Authentifizierung überall
KI-gesteuertes Phishing umgeht klassische Passwort-Schulungen. Die einzige verlässliche Verteidigung ist 2FA mit Hardware-Token oder App-Authentifizierung, idealerweise passwortlos via FIDO2. Das gilt für E-Mail, VPN, Cloud-Konten und alle Admin-Zugänge.
Verifikations-Routinen für Geld- und Datentransfers
Bei Zahlungsanweisungen oder Datenexports ab einem definierten Schwellenwert muss eine zweite Person über einen unabhängigen Kanal verifizieren. CEO-Fraud-Mails sind 2026 so überzeugend, dass nur der zweite Kanal sie zuverlässig entlarvt.
Was bedeutet das für 2026?
Cybersecurity ist 2026 keine IT-Abteilung mehr, sondern eine Querschnittsaufgabe für Geschäftsführung, Personalabteilung und Fachbereiche. Wer das Thema delegiert und sich auf Antivirus und Firewall verlässt, hat die letzten zwei Jahre verschlafen.
Die BSI-Bedrohungslage dokumentiert wöchentlich neue Angriffsmuster. Wer den BSI-Newsletter nicht abonniert hat und die wöchentlichen Updates nicht bei der IT-Sicherheit ausliegt, verliert den Anschluss an die aktuelle Lage. Der KnowBe4-Bericht zeigt: Die Angreifer sind 2026 schneller als die meisten deutschen Mittelständler. Das muss nicht so bleiben, verlangt aber eine andere Priorisierung als noch 2024.
Mehr #Cybersecurity News
Mehr zu KI-Phishing
Praxis-Wissen für Cybersecurity im Mittelstand
Wer die eigene Verteidigung gegen KI-Phishing systematisch aufbauen will, findet bei Dr. Web mehrere Service-Anker für die operative Umsetzung.
Der Grundlagenartikel So schützt du dich vor Cyberkriminalität liefert die strategische Übersicht über typische Angriffsmuster und Gegenmaßnahmen. Praxis-Tipps für den Alltag bietet Internetsicherheit: Tipps mit konkreten Empfehlungen zu VPN, 2FA und Passwort-Hygiene.
Wer als WordPress-Betreiber die eigene Site absichern will, sollte die WordPress-Sicherheits-Anleitung kennen, weil viele Phishing-Wellen WordPress-Sites als Verteilungsplattform missbrauchen. Den klassischen Login-Schutz beschreibt Unsichere Login-Daten: Der häufigste WordPress-Fehler. Und für den Vorfallsfall liefert WordPress gehackt? Das musst du jetzt tun! die Schritt-für-Schritt-Anleitung.
Mehr Newshunger?
