Eine Zahl, die die Abwehr verändert
Im Microsoft Digital Defense Report 2025 steht eine Kennzahl, die die Grundannahmen vieler Sicherheitskonzepte infrage stellt: KI-gestützte Phishing-Kampagnen erreichten Klickraten von bis zu 54 Prozent, während klassische Phishing-Kampagnen bei rund 12 Prozent lagen. Microsoft beziffert die Wirksamkeit KI-generierter Angriffe im selben Bericht auf das rund 4,5-fache klassischer Kampagnen — bei einer Profitabilität, die um bis zu das 50-fache steigen kann.
Diese Verschiebung ist der Grund, warum Microsoft Passkeys zum Standard in Entra ID macht und die SMS-basierte Anmeldung ausmustert. Doch die eigentliche Frage reicht weiter als die Wahl der Anmeldemethode: Wenn mehr als jeder zweite Empfänger auf eine KI-generierte Phishing-Mail klickt, dann trägt die klassische Verteidigungslinie — der geschulte, aufmerksame Mensch — nicht mehr allein. Dieser Beitrag ordnet die Zahlen ein und zeigt, welche Schutzschichten die verlorene Erkennungsleistung auffangen.
Warum KI-Phishing so viel wirksamer ist
Jahrelang beruhte die Erkennung von Phishing auf verräterischen Merkmalen: holprige Grammatik, unpersönliche Anrede, unlogische Kontexte, kulturelle Missgriffe, ein Tonfall, der nicht zum vermeintlichen Absender passte. Genau diese Merkmale hat Security-Awareness-Training den Mitarbeitenden über Jahre beigebracht — und genau diese Merkmale beseitigt generative KI.
Ein Sprachmodell formuliert grammatikalisch einwandfreies, idiomatisch korrektes Deutsch, passt Tonfall und Fachvokabular an die Branche an und baut plausible Kontexte auf. Öffentlich verfügbare Informationen aus LinkedIn, Unternehmenswebseiten oder früheren Datenlecks fließen in eine personalisierte Ansprache ein, die von legitimer Korrespondenz kaum zu unterscheiden ist. Aus Social Engineering im Gießkannenprinzip wird gezieltes Spear-Phishing in industriellem Maßstab.
Hinzu kommt der Geschwindigkeitsvorteil. IBM X-Force zeigte in einem Experiment, dass sich eine überzeugende Phishing-Kampagne mithilfe generativer KI in rund fünf Minuten erstellen lässt — statt der etwa 16 Stunden, die ein erfahrenes Team dafür klassisch benötigt. Was früher gezieltes, arbeitsintensives Handwerk war, wird zur skalierbaren, quasi kostenlosen Massenproduktion. Die Angreifer müssen nicht mehr zwischen Breite und Qualität wählen — sie bekommen beides.
| Merkmal | Klassisches Phishing | KI-generiertes Phishing |
|---|---|---|
| Sprachqualität | Oft fehlerhaft, erkennbare Merkmale | Fehlerfrei, idiomatisch, an Branche angepasst |
| Personalisierung | Gering, Massenansprache | Hoch, auf Basis öffentlicher Daten |
| Erstellungsaufwand | Stunden bis Tage manuell | Minuten, automatisiert und skalierbar |
| Klickrate (laut MDDR 2025) | rund 12 Prozent | bis zu 54 Prozent |
| Erkennbarkeit durch Nutzer | Anhand typischer Merkmale möglich | Klassische Merkmale weitgehend beseitigt |
Wie KI-Phishing in der Praxis auftritt
KI-gestützte Angriffe beschränken sich nicht auf die klassische E-Mail mit Link. Generative Werkzeuge erweitern das Repertoire über mehrere Kanäle hinweg, und für die Abwehr ist wichtig zu verstehen, dass „Phishing" längst nicht mehr nur den Posteingang meint.
Am verbreitetsten bleibt der Diebstahl von Zugangsdaten über täuschend echte Anmeldeseiten — sprachlich fehlerfrei, im Corporate-Design des imitierten Dienstes und oft eingebettet in einen glaubwürdigen Vorwand wie eine angebliche Sitzungsabmeldung oder eine Sicherheitsüberprüfung. Beim Business Email Compromise dagegen fehlt die Anmeldeseite ganz: Hier manipuliert der Angreifer Mitarbeitende direkt zu Zahlungen oder zur Weitergabe von Daten, indem er den Schreibstil einer realen Führungskraft oder eines Lieferanten imitiert — eine Disziplin, in der Sprachmodelle besonders stark sind. Hinzu kommen Vishing-Anrufe mit geklonten Stimmen und QR-Code-Phishing, das den bösartigen Link aus der maschinell prüfbaren E-Mail auf das private Smartphone des Empfängers verlagert.
Diese Vielfalt hat eine praktische Konsequenz: Eine Abwehr, die nur auf einen Kanal ausgelegt ist, greift zu kurz. Der gemeinsame Nenner aller Varianten ist nicht der Kanal, sondern das Ziel — eine Identität übernehmen oder eine Handlung auslösen. Genau dort muss die Verteidigung ansetzen.
Was das für Security-Awareness bedeutet
Aus diesen Zahlen den Schluss zu ziehen, Awareness-Schulungen seien sinnlos geworden, wäre falsch — aber ihre Rolle verschiebt sich grundlegend. Wenn die klassischen Erkennungsmerkmale verschwinden, kann Schulung nicht länger die primäre technische Schutzlinie sein. Ein Konzept, das darauf setzt, dass Mitarbeitende die gefährliche Mail zuverlässig als solche erkennen, arbeitet gegen eine Erfolgsquote, die sich mehr als vervierfacht hat.
Was Awareness weiterhin leisten kann und muss, ist etwas anderes: das Melden verdächtiger Vorgänge, das Misstrauen gegenüber ungewöhnlichen Handlungsaufforderungen — etwa Zahlungsanweisungen oder Datenanfragen außerhalb des üblichen Prozesses — und das Einhalten von Rückkanälen zur Verifikation. Der Mensch bleibt Teil der Verteidigung, aber als Melder und Prozess-Prüfer, nicht als Grammatik-Detektor. In der Praxis heißt das: Awareness-Programme sollten sich weg vom „Erkenne die schlechte Mail" hin zum „Verifiziere ungewöhnliche Anweisungen über einen zweiten Kanal" entwickeln.
Die entscheidende Konsequenz aber ist architektonischer Natur. Wenn davon auszugehen ist, dass ein Teil der Belegschaft klickt — und bei über 50 Prozent Klickrate ist das keine pessimistische Annahme, sondern eine realistische —, dann muss die Sicherheit dahinter greifen. Der Angriff darf nicht deshalb scheitern, weil niemand geklickt hat, sondern weil der Klick keinen Schaden mehr anrichten kann.
Die erste Schutzschicht: phishing-resistente Anmeldung
Das häufigste Ziel von Phishing ist der Diebstahl von Zugangsdaten. Der Angreifer bringt das Opfer auf eine gefälschte Anmeldeseite, fängt Benutzername, Passwort und — bei einem Adversary-in-the-Middle-Angriff — auch den zweiten Faktor in Echtzeit ab. Selbst Mehr-Faktor-Authentifizierung per SMS oder App-Code schützt hier nicht zuverlässig, weil der Code ein geteiltes Geheimnis ist, das mitgephisht werden kann.
Genau an dieser Stelle bricht phishing-resistente Authentifizierung die Angriffskette. Passkeys auf Basis von FIDO2 und WebAuthn sind kryptografisch an die Domain des echten Dienstes gebunden. Landet der Nutzer auf einer Phishing-Domain, verweigert der Browser die Signatur — der Passkey funktioniert dort schlicht nicht, egal wie überzeugend die Fälschung aussieht. Der Schutz hängt damit nicht mehr an der Aufmerksamkeit des Nutzers, sondern an einer kryptografischen Eigenschaft, die auch der beste KI-generierte Köder nicht aushebelt.
Das ist der Grund, warum die Umstellung auf Passkeys mehr ist als ein Komfortgewinn: Sie neutralisiert die häufigste Auszahlung eines erfolgreichen Phishing-Angriffs. Wie diese Umstellung in Microsoft Entra ID konkret abläuft und welche Stichtage gelten, beschreiben wir im Beitrag zur Passkey-Umstellung. Für jede Organisation, die Cloud-Identitäten nutzt, ist die Einführung phishing-resistenter Methoden die wirkungsvollste Einzelmaßnahme gegen KI-Phishing.
Verteidigung in der Tiefe: die übrigen Schichten
Phishing-resistente Anmeldung entwertet den Diebstahl von Zugangsdaten — aber nicht jeder Phishing-Angriff zielt darauf. Business Email Compromise etwa manipuliert Mitarbeitende zu Zahlungen oder Datenweitergabe, ganz ohne Anmeldeseite. Deshalb braucht es mehrere sich ergänzende Schichten, die eine Defense-in-Depth-Strategie ausmachen.
Am Eingang steht die technische Filterung der Zustellung. Korrekt konfigurierte E-Mail-Authentifizierung mit SPF, DKIM und DMARC im Enforcement-Modus verhindert, dass Angreifer die eigene Domain fälschen, und reduziert die Zahl der Mails, die überhaupt im Postfach landen. Wie sich diese Standards praxistauglich aufsetzen lassen, behandelt unser Beitrag zur E-Mail-Zustellbarkeit.
Auf der Zugriffsebene ergänzt Conditional Access die Anmeldung um Kontextprüfungen: Gerätestatus, Standort, Anmelderisiko. Selbst wenn ein Angreifer einen gültigen Faktor erbeutet, kann eine kontextbasierte Policy den Zugriff verweigern oder eine erneute, phishing-resistente Verifikation erzwingen. Auf dem Endgerät erkennt eine EDR-Lösung nachgelagerte Aktivitäten, falls doch Schadcode ausgeführt wird. Und für die BEC-Fälle ohne technische Nutzlast bleiben verbindliche Prozesse die wirksamste Kontrolle — etwa das Vier-Augen-Prinzip und die Zweitkanal-Verifikation bei Zahlungs- und Stammdatenänderungen.
Diese Schichten sind bewusst redundant. Keine einzelne fängt jeden Angriff — aber ihre Kombination sorgt dafür, dass ein erfolgreicher Klick nicht automatisch zu einem erfolgreichen Angriff wird. Genau das ist die Antwort auf eine Klickrate, die sich technisch nicht mehr auf niedrige Werte drücken lässt.
KI verschiebt beide Seiten
Bei aller Bedrohung lohnt der Blick auf die Gegenseite: Dieselben KI-Fähigkeiten, die Phishing skalieren, verstärken auch die Verteidigung. Anomalieerkennung im E-Mail-Verkehr, Verhaltensanalyse bei Anmeldungen und die Korrelation schwacher Signale über ein SIEM profitieren von maschinellem Lernen ebenso wie die Angreifer. Das enthebt Organisationen nicht der Aufgabe, ihre Grundlagen zu ordnen — im Gegenteil: KI-gestützte Erkennung wirkt nur auf einem Fundament aus sauberer Identitätsarchitektur, konsequenter Protokollierung und definierten Reaktionswegen. Wie sich die Bedrohungslage durch KI insgesamt verschiebt, hat auch das BSI in einer Cybersicherheitswarnung aufgearbeitet.
Für den Mittelstand ergibt sich daraus eine klare Priorisierung. Die 54-Prozent-Klickrate ist kein Grund zur Resignation, sondern ein Grund, die Verteidigung von der Erkennung durch den Menschen auf technische Schichten zu verlagern, die auch dann tragen, wenn geklickt wurde. Phishing-resistente Anmeldung an erster Stelle, ergänzt durch E-Mail-Authentifizierung, kontextbasierte Zugriffskontrolle und belastbare Prozesse — das ist die Architektur, die einem Angriff standhält, der jede sprachliche Prüfung besteht.
Prüfen, wo ein erfolgreicher Klick heute noch echten Schaden anrichten könnte. Ein Cloud Security Assessment analysiert Ihre Entra-ID-Konfiguration — Authentifizierungsmethoden, Conditional-Access-Policies und Zugriffswege — und liefert einen priorisierten Plan zur Einführung phishing-resistenter Anmeldung und einer tragfähigen Schutzarchitektur. Sprechen Sie mit uns über Ihren Schutz vor KI-Phishing.