Über Jahre konzentrierte sich die Branche auf die Vordertür der Phishing-Abwehr: Schulungen, E-Mail-Gateways, die bekannte Bedrohungen filtern, und Meldeprogramme, die Beschäftigte zum Markieren verdächtiger Nachrichten ermutigen. Weit weniger Aufmerksamkeit galt laut Quelltext der Frage, was nach einer Meldung passiert – und wie Angreifer den anschließenden Untersuchungsprozess ausnutzen.

Das beschriebene Angriffsmuster funktioniert so: Ein Angreifer verschickt tausende Nachrichten. Die meisten sind wenig ausgefeilte Köder, die Gateways oder geschulte Mitarbeiter erkennen. Diese Masse überflutet das SOC mit Meldungen, die Warteschlange wächst schneller, als die Analysten sie leeren können. In dieser Menge verstecken sich einige gezielt gebaute Spear-Phishing-Mails – die eigentliche Nutzlast. Die Flut ist damit faktisch ein Denial-of-Service gegen die Aufmerksamkeit des SOC.

Die Taktik wirkt, weil die Phishing-Triage in den meisten Organisationen einem vorhersehbaren Muster folgt. Steigt das Meldevolumen, triagieren Analysten schneller und verbringen weniger Zeit pro Fall, die Untersuchungstiefe sinkt. Der Quelltext verweist auf Branchenforschung, wonach 66 Prozent der SOC-Teams mit den eingehenden Warnmeldungen nicht Schritt halten können. Hinzu kommt, dass Manager nutzergemeldete Berichte gegenüber anderen Erkennungssystemen mitunter als weniger zuverlässig einstufen und nachrangig behandeln.

Unter Druck verlassen sich Analysten zunehmend auf oberflächliche Indikatoren. Nachrichten, die früheren harmlosen Meldungen ähneln, werden weniger genau geprüft. Genau das nutzen die gefährlichsten Mails aus: Eine Spear-Phishing-Mail an die Assistenz eines Finanzvorstands ist so gestaltet, dass sie der Kategorie von Nachrichten gleicht, die Analysten unter Zeitdruck gelernt haben, schnell abzuhaken – etwa eine Lieferantenmitteilung oder eine Benachrichtigung zur Dokumentenfreigabe.

Die Ökonomie begünstigt laut Quelltext klar den Angreifer: Tausende Massen-Phishing-Mails zu erzeugen kostet fast nichts, zumal generative KI die Produktionshürde weiter senkt. Jede gemeldete Mail kostet die Verteidiger hingegen reale Analystenzeit. Paradoxerweise hat der Erfolg von Awareness-Schulungen das Problem verschärft: Mehr geschulte Mitarbeiter melden mehr, die Warteschlange wächst, die Aufmerksamkeit pro Fall sinkt.

Gängige Automatisierung – das automatische Schließen von Meldungen vertrauenswürdiger Absender, Deduplizierung, Reputationsprüfungen – hilft gegen das Grundvolumen, versagt aber gegen dieses Bedrohungsmodell und kann es teils verschärfen. Regelbasierte Filter schaffen vorhersehbare blinde Flecken: Wer weiß, dass Meldungen reputierter Domains automatisch geschlossen werden, kann diese Domains kompromittieren oder fälschen. Gruppiert die Logik nach Betreff oder Absender, lassen sich diese Merkmale variieren, während die Nutzlast gleich bleibt. Hinzu kommt das Vertrauensproblem: Schließt ein System eine Meldung, ohne seine Begründung offenzulegen, untersuchen Analysten Fälle erneut oder überstimmen die Automatisierung.

Als Gegenentwurf beschreibt der Quelltext „entscheidungsreife" Untersuchungen statt zusätzlicher Signale – ein vollständiges, begründetes Urteil mit nachvollziehbarer Beweiskette. Skizziert werden agentische KI-Architekturen, in denen spezialisierte Agenten parallel arbeiten: Einer prüft die Absenderechtheit über SPF, DKIM und DMARC sowie die Domain-Historie, ein zweiter analysiert sprachliche Muster und Social-Engineering-Hinweise, ein dritter gleicht die Meldung mit Endpoint-Telemetrie ab. Ziel ist, dass jede Meldung dieselbe Prüfung erhält, unabhängig von Warteschlange und Tageszeit – und die Bearbeitungszeit von drei bis zwölf Stunden auf unter fünf Minuten sinkt.

Der Quelltext verweist abschließend auf die CognitiveSOC-Plattform des Anbieters Conifers.ai, die mit agentischer KI entscheidungsreife Phishing-Untersuchungen in Minuten statt Stunden liefern soll.