Die Zahlen sind beunruhigend: Der Helsinki-basierte Sicherheitsdienstleister Hoxhunt dokumentierte zwischen Dezember 2025 und Januar 2026 einen explosiven Anstieg von AI-generiertem Phishing — von vier Prozent auf 56 Prozent während der Feiertage. Auch wenn die Quote im Januar auf 40 Prozent sank, bleibt die Tendenz eindeutig: Künstliche Intelligenz hat das Phishing fundamental verändert.
Was macht AI-Phishing so gefährlich? Laut Nick Biasini, Senior Technical Leader bei Cisco Talos, liegt es an der schieren Qualität: “Wir haben plötzlich jedem die Fähigkeit gegeben, sehr überzeugend wirkende Phishing-Mails zu schreiben — und das nicht nur in einer, sondern in vielen Sprachen.” Microsoft-Daten zeigen die praktischen Auswirkungen: Die Klickrate bei KI-gestütztem Phishing liegt bei 54 Prozent — gegenüber durchschnittlich zwölf Prozent bei traditionellen Angriffen.
Besonders tückisch ist die sogenannte “polymorphe Phishing”-Strategie: Früher verschickten Angreifer dieselbe E-Mail an mehrere Ziele, bevor sie Änderungen vornahmen. Heute generiert KI für praktisch jedes Opfer eine individualisierte Variante. Erich Kron, CISO-Berater bei KnowBe4, bestätigt: “Das ist definitiv KI-getrieben. Niemand sitzt mehr manuell am Rechner und ändert Payloads in jeder einzelnen Nachricht.”
Eine besondere Gefahr liegt in den Zielen: Cyberkriminelle konzentrieren sich zunehmend auf privilegierte Nutzer — Systemadministratoren, Geschäftsführer, Buchhaltung. Google Mandiant fand heraus, dass 83 Prozent der Erstinfektionen auf Identitätsdiebstahl abzielen. Die Logik der Angreifer ist rational: Statt Schwachstellen auszunutzen, ist es einfacher und geheimer, sich legitime Anmeldedaten zu beschaffen.
Besonders heimtückisch: Angreifer nutzen legale Dienste wie Gmail, Docusign oder Salesforce als Köder. Die Links führen auf vertrauenswürdige Plattformen, die Mails stammen von Domains mit aktivierter DMARC-Authentifizierung. Damit umgehen sie klassische Sicherheitsfilter — die Nachrichten wirken legitim.
Der Report enthält auch eine ernüchternde Feststellung zu Multifaktor-Authentifizierung (MFA): 35 Prozent der untersuchten Vorfälle bei Cisco Talos involvierten MFA-Schwachstellen. MFA ist notwendig, aber nicht ausreichend.
Cisco empfiehlt deutschen Unternehmen, selbst verstärkt in KI für Sicherheit zu investieren. “Wenn Ihre Angreifer KI nutzen, müssen Sie das auch tun,” sagt Biasini. Das bedeutet konkret: Automatisierte Anomalieerkennung, KI-basierte Mailfilter und kontinuierliche Mitarbeiterschulungen — denn menschliche Aufmerksamkeit bleibt ein kritischer Faktor.