Liebe Security Awareness-Interessenten,
erinnern Sie sich noch an die klassischen Phishing-Mails früherer Tage? Holpriges Deutsch, offensichtliche Rechtschreibfehler, absurde Absenderadressen – die Warnsignale waren unübersehbar. Viele Ihrer Mitarbeiter haben gelernt, diese plumpen Versuche zu erkennen.
Doch diese Zeiten sind vorbei. Die Verfügbarkeit von KI-Tools hat das Spielfeld fundamental verändert. Was früher Tage an Vorbereitung und muttersprachliche Kenntnisse erforderte, ist heute in Minuten erledigt – in perfektem Deutsch, mit korrekter Anrede und authentischem Kontext.
Ob eine Phishing-Mail mit einer KI generiert oder von einem Menschen geschrieben wurde, lässt sich heute überhaupt nicht mehr feststellen. Das spielt aber auch überhaupt keine Rolle. Entscheidend ist: Die Qualität ist dramatisch gestiegen, und damit auch die Gefahr, dass so eine Phishing-E-Mail „durchrutscht“.
Als Gegenmaßnahme helfen nur regelmäßige, immer wieder aktualisierte Schulungen und Beispiele für Phishing-E-Mails um alle im Unternehmen auf dem Laufenden über die immer professioneller gestalteten Phishing-Attacken zu halten.
Herzliche Grüße
Werner Grohmann
Die KI machts möglich: Die neue Qualität von Phishing – Perfekt formuliert, schwer zu durchschauen
Noch vor wenigen Jahren konnte man Phishing-Mails oft an verhältnismäßig simplen Merkmalen erkennen:
- Grammatikfehler und holpriges Deutsch
- Unpersönliche Anreden wie „Sehr geehrter Kunde“
- Unpassender Tonfall und Formulierungen
- Offensichtlich gefälschte Absenderadressen
Diese Zeiten sind endgültig vorbei.
Die Verfügbarkeit moderner Sprach-KI-Tools hat die Einstiegshürde für professionelles Phishing dramatisch gesenkt. Selbst Cyberkriminelle ohne Deutschkenntnisse können heute fehlerfreie, kontextgerechte und überzeugend formulierte KI-generierte E-Mails erstellen, indem sie dabei auf Künstliche Intelligenz zurückgreifen.
Vier Faktoren, die Phishing gefährlicher machen
1. Perfekte Sprachqualität als Standard
Fehlerfreie E-Mails in perfektem Deutsch sind kein Luxus mehr, sondern die neue Normalität. Die typischen Warnzeichen wie Rechtschreibfehler? Weitgehend verschwunden.
2. Skalierbare Personalisierung
Aus öffentlich verfügbaren Daten (LinkedIn, Unternehmenswebseiten, Social Media) lassen sich heute in großem Umfang personalisierte Nachrichten erstellen, die perfekt zum Empfänger passen – automatisiert und in Sekunden.
3. Kontextbewusste Kommunikation
Moderne Angriffe passen Tonalität, Formalitätsgrad und Formulierungen präzise an die Zielgruppe an. Eine E-Mail an die Geschäftsführung klingt professionell-förmlich, eine an die IT-Abteilung technisch-kollegial.
4. Masse trifft Qualität
Früher war individuelles Spear-Phishing aufwendig und zeitintensiv, beschränkt auf hochwertige Ziele. Heute? Tausende personalisierte, perfekt formulierte Mails sind mit minimalem Aufwand möglich. Die Anzahl hochwertiger Angriffe steigt exponentiell.
Warum KMU jetzt nicht mehr warten können
Leider gilt aber noch heute die (traurige) Realität in deutschen KMU: 60 Prozent der Unternehmen verzichten komplett auf Security Awareness Schulungen für ihre Mitarbeiter. Das war bisher vielleicht noch vertretbar – schließlich konnte man sich darauf verlassen, dass Mitarbeiter grobe Fehler in Phishing-Mails erkennen.
Solange Phishing-Mails holpriges Deutsch und offensichtliche Fehler enthielten, funktionierte gesunder Menschenverstand als Schutz. Mitarbeiter konnten auch ohne spezielle Schulung viele Angriffe durchschauen.
Gegen die Möglichkeiten moderner Sprach-KI ist „gesunder Menschenverstand“ immer häufiger machtlos:
✗ Kein holpriges Deutsch mehr → Perfekte Formulierungen
✗ Keine Grammatikfehler mehr → Fehlerfreie Texte
✗ Keine unpersönliche Anrede mehr → Individualisierte Ansprache
✗ Kein falscher Tonfall mehr → Kontextgerecht angepasst
Die Konsequenz: Der „natürliche“ Schutz durch offensichtliche Fehler existiert nicht mehr. Was früher ohne Schulung erkennbar war, ist heute selbst für aufmerksame Mitarbeiter kaum zu durchschauen.
60 Prozent der Empfänger erkennen moderne, perfekt formulierte Phishing-Mails nicht als Betrug – einfach weil sie nie gelernt haben, worauf es wirklich ankommt.
Das bedeutet für KMU: Security Awareness-Schulungen sind vom „Nice-to-have“ zum existenziellen Muss geworden. Die Frage ist nicht mehr „Brauchen wir das?“, sondern „Wie schnell können wir anfangen?“
Plus: Regelmäßige Phishing-Simulationen zeigen, ob Ihre Mitarbeiter das Gelernte auch in der Praxis anwenden können – und helfen, die „Human Firewall“ kontinuierlich zu stärken.
Aktuelle Bedrohungslage: Die neue Normalität
Während Sie diesen Newsletter lesen, werden in Deutschland über 300.000 neue Schadprogramm-Varianten pro Tag registriert. Das sind nicht etwa theoretische Bedrohungen – das BSI dokumentiert 117 Millionen neue Varianten pro Jahr.
Die Realität für Entscheider:
Sie kennen das: Jeden Morgen eine Handvoll vermeintlicher Paketbenachrichtigungen, gefälschte Rechnungen, angebliche Sicherheitswarnungen. Und mittendrin – perfekt getarnt – die wirklich gefährlichen Angriffe. Der BSI-Newsletter vom Januar 2025 warnt explizit vor einem neuen Phänomen: „hyper-personalisierte“ Phishing-Mails, die sich gezielt an Führungskräfte richten.
Was sich verändert hat:
Die Masse ist nicht das Problem – die haben Sie im Griff. Das Problem ist die neue Qualität: Perfekt formulierte KI-generierte E-Mails von vermeintlichen Geschäftspartnern, die tatsächliche Projekte erwähnen, die echte Kommunikationsmuster imitieren. Keine Rechtschreibfehler, keine plumpen Formulierungen, kein holpriges Deutsch mehr.
Die deutsche Realität:
- 80% der Ransomware-Angriffe treffen KMUs (Polizeiliche Kriminalstatistik 2024)
- 67% der deutschen KMUs waren in den letzten 12 Monaten Opfer von Cyberangriffen
- 110 Millionen Euro Schaden durch CEO-Fraud seit 2013 (IHK Schwaben)
- Durchschnittlicher Schaden: 95.000 Euro – bei mittelständischen Betrieben bis zu 500.000 Euro (HDI-Studie)
Das eigentliche Problem:
60 Prozent der Empfänger erkennen moderne, KI-generierte Phishing-Mails nicht mehr als Betrug. Nicht weil sie unaufmerksam sind, sondern weil die alten Warnsignale nicht mehr funktionieren.
Die Botschaft ist klar: Phishing ist keine Randerscheinung mehr für die IT-Abteilung, sondern ein tägliches Geschäftsrisiko für jedes KMU.
Praxistipp des Monats: Die 5 neuen Warnzeichen für modernes Phishing
Während klassische Warnsignale nicht mehr greifen, gibt es neue Indikatoren, auf die Ihre Mitarbeiter achten sollten:
1. Die „Ungewöhnliche Dringlichkeit“
KI-generierte Mails kombinieren oft perfekte Form mit unangemessenem Zeitdruck. Fragen Sie sich: Ist die geforderte Schnelligkeit wirklich gerechtfertigt?
Praxis-Check: Jede Anfrage mit Zeitdruck sollte über einen zweiten Kanal verifiziert werden – egal wie professionell sie klingt.
2. Der „Zu perfekte Timing“-Faktor
E-Mails, die verdächtig perfekt zu aktuellen Geschäftsvorgängen passen, könnten auf intensiver Recherche basieren. Cyberkriminelle nutzen öffentliche Informationen (LinkedIn-Posts, Pressemitteilungen, Jahresabschlüsse) für kontextbezogene Angriffe.
Praxis-Check: Bei überraschend gut informierten Anfragen: Kurz innehalten und kritisch prüfen.
3. Die „Zweite-Kanal-Verweigerung“
Echte Kollegen haben kein Problem damit, eine Anfrage auch telefonisch zu bestätigen. Phisher schon. Achten Sie auf E-Mails, die explizit um ausschließlich schriftliche Kommunikation bitten.
Praxis-Check: Etablieren Sie eine „Verification Policy“ für sensible Anfragen – unabhängig vom E-Mail-Inhalt.
4. Die „Prozess-Abweichung“
KI kann perfekte E-Mails schreiben, aber sie kennt Ihre internen Prozesse nicht. Wenn eine Anfrage etablierte Abläufe umgehen will, ist Vorsicht geboten.
Praxis-Check: „Das machen wir normalerweise nicht so“ ist ein legitimer Grund zum Nachfragen.
5. Der „Unpassende Kanal“
Eine Rechnung per Teams-Chat? Eine Passwort-Anfrage via E-Mail? Moderne Angriffe nutzen manchmal ungewöhnliche Kommunikationskanäle, um Aufmerksamkeit zu erregen oder etablierte Sicherheitsmechanismen zu umgehen.
Praxis-Check: Kritisch bleiben, wenn der Kanal nicht zur Art der Anfrage passt.
Phishing-Simulationen erfolgreich durchführen: Vorbereitung, Durchführung, Auswertung
Über die insbesondere durch den Einsatz von KI-Technologien veränderte Bedrohungslage durch Phishing-Attacken sind wir in diesem Newsletter ausführlich eingegangen. Phishing-Simulationen sind ein eine gute Möglichkeit, zu überprüfen, ob und wie die Mitarbeiter im Unternehmen auf eine solche Bedrohung reagieren. Dienstleister und Software-Lösungen zur Durchführung von Phishing-Simulationen gibt es mittlerweile eine ganze Reihe. Dennoch fällt es gerade KMU, das stellen wir in vielen Gesprächen immer wieder fest, häufig noch schwer, den richtigen Einstieg in das Thema zu finden.
Aus diesem Grund haben wir eine praxisnahe Checkliste entwickelt, die Sie Schritt für Schritt durch den gesamten Prozess führt:
✓ Organisatorische Vorbereitung: Genehmigungen, Betriebsrat, Datenschutz – alle Pflichten auf einen Blick
✓ Technische Durchführung: Mit eigenen Ressourcen, Dienstleister oder Software – drei Wege zum Ziel
✓ Zeitplanung: Realistische Aufwandsschätzungen für KMU unterschiedlicher Größe
✓ Auswertung & Schulung: Wie Sie aus den Ergebnissen konkrete Maßnahmen ableiten
📋 Kostenloser Download: Checkliste Phishing-Simulationen
Bonus: Die Checkliste enthält eine Übersicht über 10 spezialisierte Anbieter für Deutschland sowie eine DIY-Anleitung, wie Sie mit handelsüblicher Newsletter-Software Ihre erste Simulation selbst durchführen können – ganz ohne zusätzliche Software-Tools.
Konkrete Phishing-Beispiele und moderne Testszenarien finden Sie in der Security Awareness Toolbox.