secure-os.org
ENFRESDEITPT
Alle AnleitungenQubes OSTailsWhonixGehärtetes LinuxFestplattenverschlüsselungBedrohungsmodell
phishing

Phishing verhindern im Jahr 2026 — jetzt, da KI alles deutlich schlimmer gemacht hat

secure-os· Aktualisiert 21. Juni 2026· 4 Min. Lesezeit #phishing#ai#security#scams#passwords
Illustration eines maskierten Betrügers, der einen Nutzer dazu bringt, sein Passwort auf einer gefälschten Website einzugeben

Phishing — Sie dazu zu verleiten, ein Passwort, einen Code oder eine Zahlung auf einer Seite preiszugeben, die nur seriös aussieht — war schon immer der häufigste Weg, über den Konten kompromittiert werden. Im Jahr 2026 wurde es dramatisch schlimmer, denn generative KI verfasst nun fehlerfreie, personalisierte Köder in großem Maßstab. Sicherheitsforscher berichteten, dass KI-generiertes Phishing 2026 um rund das 14-Fache angestiegen ist, und das Internet Crime Complaint Center des FBI verzeichnete 2025 191.561 Phishing- und Spoofing-Beschwerden — mehr als in jeder anderen Kriminalitätskategorie, wobei die gemeldeten Verluste im Jahresvergleich um 208 % nach oben sprangen.

Die gute Nachricht: Die Abwehrmaßnahmen haben sich nicht so stark verändert wie die Angriffe. Eine Handvoll Gewohnheiten stoppt nach wie vor die überwältigende Mehrheit der Phishing-Versuche — Sie müssen sie nur konsequent anwenden, denn die E-Mails sind nun mit bloßem Auge deutlich schwerer zu erkennen.

Warum Phishing plötzlich schlimmer wurde

Jahrelang war das einfachste Erkennungsmerkmal einer Phishing-Mail die schlechte Schreibweise: holprige Grammatik, seltsame Formulierungen, allgemeine Anreden. Generative KI hat dieses Merkmal beseitigt. Angreifer erstellen nun flüssige, korrekt formatierte Nachrichten in jeder Sprache, personalisiert mit Details, die aus Datenlecks und sozialen Medien zusammengetragen wurden. Ein Bericht verfolgte den Anstieg KI-gestützten Phishings von etwa 4 % der gemeldeten Phishing-Fälle Ende 2025 auf einen Höchstwert von über der Hälfte innerhalb weniger Wochen.

Das bedeutet: Der alte Ratschlag — „Achten Sie auf Tippfehler” — reicht nicht mehr aus. Die verlässlichen Signale sind heute Kontext und Verhalten, nicht die sprachliche Qualität.

Eine rote Sicherheitswarnung über mehreren Codezeilen
KI hat keine neuen Angriffe erfunden — sie hat dieselben alten Phishing-Köder flüssig, personalisiert und mit bloßem Auge weit schwerer erkennbar gemacht.

Wie Sie einen modernen Phishing-Versuch erkennen

Beurteilen Sie die Situation, nicht die Rechtschreibung:

  • Unerwartete Dringlichkeit. „Ihr Konto wird in 24 Stunden geschlossen”, „bestätigen Sie diese Zahlung jetzt.” Künstlich erzeugter Zeitdruck ist die mit Abstand häufigste Manipulation.
  • Ein Link, der Ihre Anmeldedaten will. Jede Nachricht, die Sie auf eine Login-Seite schickt, ist verdächtig. Fahren Sie mit der Maus über den Link (oder halten Sie ihn gedrückt) und lesen Sie die echte Domain — paypa1.com oder secure-paypal.account-verify.com ist nicht paypal.com.
  • Eine Anfrage, die die üblichen Wege umgeht. Ein „Geschäftsführer”, der nach Geschenkkarten fragt, ein „Lieferant”, der per E-Mail die Bankverbindung ändert, ein „Kollege”, der einen 2FA-Code braucht — überprüfen Sie das über einen separaten, bekannten Kanal.
  • Anhänge, die Sie nicht angefordert haben, besonders Dokumente, die Sie auffordern, „Inhalte zu aktivieren” oder einen Link zum Anzeigen aufzurufen.
  • Nicht übereinstimmender Absender. Der angezeigte Name nennt Ihre Bank; die tatsächliche Adresse ist eine beliebige Gmail-Adresse. Tippen Sie auf dem Smartphone, um den echten Absender einzublenden.

Phishing verhindern — die Schritte, die wirklich funktionieren

  • Geben Sie niemals Anmeldedaten über einen Link aus einer E-Mail oder Nachricht ein. Rufen Sie die Website selbst auf, indem Sie die Adresse eintippen oder ein Lesezeichen verwenden. Diese eine Gewohnheit allein wehrt die meisten Phishing-Versuche ab.
  • Aktivieren Sie überall die Zwei-Faktor-Authentifizierung und bevorzugen Sie eine Authenticator-App oder einen Hardware-Passkey gegenüber SMS. Selbst wenn ein Passwort abgefischt wird, kann sich der Angreifer trotzdem nicht anmelden.
  • Verwenden Sie für jedes Konto ein einzigartiges Passwort, damit eine einzige abgefischte Anmeldung nicht den Rest Ihres Lebens aufschließen kann.
  • Lassen Sie sich von Dringlichkeit nicht hetzen. Seriöse Organisationen sperren Ihr Konto nicht, nur weil Sie sich zehn Minuten zum Überprüfen genommen haben.
  • Überprüfen Sie über einen zweiten Weg. Wenn eine Nachricht nach Geld, Anmeldedaten oder einem Code fragt, bestätigen Sie das über eine Nummer oder App, der Sie bereits vertrauen — niemals über die Kontaktdaten in der Nachricht selbst.
  • Halten Sie Software und Browser aktuell, damit bekannte Phishing-Seiten und schädliche Anhänge von den integrierten Schutzmechanismen erkannt werden.

Warum ein Passwort-Manager Ihr stärkstes Anti-Phishing-Werkzeug ist

Ein guter Passwort-Manager kann etwas, das Ihre Augen nicht zuverlässig leisten: Er überprüft die Domain. Sein Autofill bietet Ihr gespeichertes Passwort nur auf der exakt dazugehörigen Website an. Auf einer täuschend ähnlichen Phishing-Seite — wo ein Mensch vielleicht app1e.com nicht bemerkt — bleibt der Manager also schlicht stumm. Dieses Schweigen ist eine Warnung. Außerdem erzeugt und speichert er für jedes Konto ein einzigartiges Passwort, sodass ein einziger erfolgreicher Phishing-Angriff nicht auf alles andere übergreifen kann.

Das Fazit

KI hat Phishing flüssig, personalisiert und allgegenwärtig gemacht — aber sie hat nicht verändert, was es abwehrt. Geben Sie Ihre Anmeldedaten niemals über einen Link ein, aktivieren Sie die Zwei-Faktor-Authentifizierung, vergeben Sie für jedes Konto ein einzigartiges Passwort und lassen Sie sich Zeit, sobald eine Nachricht künstliche Dringlichkeit erzeugt. Die Angriffe sind cleverer geworden; die Gewohnheiten, die sie stoppen, sind nach wie vor einfach — und funktionieren immer noch.