Über Jahre hinweg hat sich die Cybersicherheitsbranche auf die klassischen Abwehrmechanismen konzentriert: Mitarbeiterschulungen, E-Mail-Gateways mit Bedrohungsfiltern und Meldeprogramme, die Nutzer zum Flaggen verdächtiger Nachrichten ermutigen. Deutlich weniger Aufmerksamkeit erhielt bislang, was nach der Meldung einer verdächtigen E-Mail geschieht — und wie Angreifer diesen Untersuchungsprozess systematisch ausnutzen.
Das Kernproblem liegt in der sogenannten “Informational Denial-of-Service” (IDoS) — einem Ansatz, bei dem die Menge der Phishing-Meldungen selbst zur Waffe wird. Praktisch funktioniert das so: Ein Angreifer versendet Tausende von Low-Quality-Phishing-Mails, die von Gateways oder geschulten Mitarbeitern erkannt werden. Diese Flut führt zu einer Überflutung des SOC mit Meldungen. Die Analysten geraten in Rückstand, während die Warteschlange schneller wächst, als sie sie abarbeiten können. Verborgen in diesem Rauschen befinden sich dann zwei oder drei hochgradig personalisierte Spear-Phishing-Nachrichten, die es auf Personen mit kritischen Systemzugriffen abgesehen haben.
Forschungen zeigen: 66 Prozent der SOC-Teams können nicht mit den eingehenden Alarmen Schritt halten. Wenn die Arbeitsbelastung wächst, sinkt die Untersuchungstiefe. Analysten verlassen sich auf oberflächliche Indikatoren und übersehen möglicherweise kritische Details. Die versteckte Spear-Phishing-Mail ist dabei bewusst so gestaltet, dass sie wie eine harmlose Vendor-Kommunikation oder Benachrichtigung aus einem Business-Process aussieht — exakt das Muster, das überarbeitete Analysten schnell übersehen.
Diese Asymmetrie begünstigt die Angreifer massiv: Eine Phishing-Flut kostet sie fast nichts, insbesondere mit Generativer KI. Aber jede der gemeldeten Mails kostet die verteidigende Organisation echte Analysten-Zeit und kognitive Ressourcen. Der Verteidiger muss alles untersuchen, weil das Risiko, einen echten Bedrohung zu übersehen, zu hoch ist. Ironischerweise verschärft sich das Problem durch erfolgreiche Awareness-Programme: Mehr geschulte Mitarbeiter bedeuten mehr Meldungen, mehr Meldungen bedeuten mehr Warteschlangen-Druck, was wiederum zu weniger Aufmerksamkeit pro Untersuchung führt.
Den Kreislauf durchbrechen können Organisationen durch einen Paradigmenwechsel: Statt Phishing-Triage als E-Mail-Analyseproblem zu sehen, sollte es als “Decision-Precision-Problem” reframed werden. Moderne Ansätze nutzen agentische KI-Architekturen mit spezialisierten Agenten für verschiedene Untersuchungsdimensionen — ein Agent prüft die Authentizität des Absenders (SPF, DKIM, DMARC), ein anderer analysiert linguistische Muster und Social-Engineering-Indikatoren, ein dritter korreliert Endpoint-Telemetrie. Entscheidend ist Transparenz: Die KI zeigt ihre Arbeit, erklärt ihre Befunde und ermöglicht es Analysten, das System zu verstehen und zu vertrauen.
Der praktische Effekt: Untersuchungen, die normalerweise 3 bis 12 Stunden dauern, werden in unter fünf Minuten abgeschlossen. In diesen fünf Minuten kann eine kompromittierte Anmeldedaten revoziert werden, bevor der Angreifer Persistenz aufbaut. Eine compromittierte E-Mail bleibt ein “Non-Event” statt eines Sicherheitsvorfalls. Die Phishing-Flut wird von einem System absorbiert, das nicht ermüdet, während die gezielte Spear-Phish dieselbe rigorose Analyse erhält wie jede andere Meldung.