Phishing in der Ära der KI: Wie man betrügerische E-Mails erkennt, wenn sie nicht mehr verdächtig aussehen

Eine Nachricht kommt an. Sie sieht seriös aus, behauptet, Sie hätten ein Problem mit Ihrem Konto, und am Ende werden Sie aufgefordert, Ihr Passwort zu bestätigen. Alles wirkt vertrauenswürdig – und genau das ist das Problem. Phishing-Angriffe haben einen stillen Wandel durchgemacht: Sie sind nicht mehr zum Lachen, sondern um sie zu stoppen. Dank künstlicher Intelligenz können Betrüger wie eine echte Bank, ein Geschäft oder ein Arbeitskollege schreiben. Und sie sind in der Lage, den Ton, die Sprache und die Situation zu treffen, in der Sie sich tatsächlich befinden.

Während früher Betrug an fehlerhaftem Deutsch oder verdächtigen Adressen erkennbar war, zählen heute Feinheiten. Unerwartete Handlungsaufforderungen, ein veränderter Kommunikationsstil oder unauffälliges Umleiten. Phishing ist heute präziser, intelligenter und deutlich schwerer zu erkennen als je zuvor.

In diesem Artikel zeigen wir, wie moderner Phishing funktioniert, warum man darauf achten sollte und wie man sich effektiv schützen kann – egal, ob Sie ein erfahrener Nutzer oder ein Anfänger im Internet sind, der nicht auf Betrügereien hereinfallen möchte.

Was ist Phishing und warum fallen Menschen immer noch darauf herein?

Phishing ist eine Form des Betrugs, die darauf abzielt, vom Nutzer sensible Daten zu erlangen – wie Anmeldenamen, Passwörter oder Zahlungsinformationen. Am häufigsten kommt es per E-Mail, aber es kommt auch zunehmend in SMS-Nachrichten, auf sozialen Netzwerken oder in Chat-Apps vor. Der Angreifer gibt sich normalerweise als vertrauenswürdige Organisation oder Person aus, um einen Eindruck von Legitimität zu erwecken und eine schnelle Reaktion hervorzurufen.

Obwohl schon seit Jahren über Phishing gesprochen wird, funktioniert es immer noch. Warum? Weil es auf menschliche Emotionen abzielt – Angst, Vertrauen, Neugier oder gar routinemäßige Unachtsamkeit. Und weil es sich als etwas Bekanntes tarnt. Oft handelt es sich um Nachrichten mit Warnungen, dass ein Konto ausläuft, ein verdächtiger Zugriff festgestellt wurde oder dass etwas schnell bestätigt werden muss. Die Angreifer verlassen sich darauf, dass Sie in der Eile und im alltäglichen Trubel nicht besonders aufmerksam sind.

KI hilft Angreifern, überzeugender zu sein

Der Aufstieg der generativen künstlichen Intelligenz hat die Erstellung von Phishing-Nachrichten, die wie legitime Unternehmenskommunikation aussehen, erheblich vereinfacht. Betrüger nutzen heute Tools wie ChatGPT, Gemini oder Claude, um Texte ohne grammatikalische Fehler, in natürlicher Sprache und mit einem Ton zu generieren, der den Erwartungen des Empfängers entspricht.

Durch die Kombination von KI-Ausgaben mit Daten aus sozialen Netzwerken, öffentlich zugänglichen Datenbanken oder gestohlenen E-Mail-Vorlagen sind Angreifer in der Lage, Nachrichten mit einem hohen Maß an Personalisierung zu erstellen. Der Empfänger erhält so eine E-Mail, die keinen Verdacht erregt. Aufgrund des Kontextes und des Stils wirkt sie vielmehr wie eine gewöhnliche Kommunikation, an die man gewöhnt ist.

Zu den fortgeschrittenen Techniken gehört auch die Nutzung von KI für Übersetzungen ohne Anzeichen maschineller Übersetzung, die Simulation der Markenstimme des Unternehmens oder das Generieren glaubwürdiger visueller Elemente einschließlich gefälschter Anmeldeseiten. Phishing bewegt sich so aus der Kategorie amateurhafter Betrügereien in den Bereich professionell geplanter Angriffe, die ein höheres Maß an Vorsicht erfordern.

Wie erkennt man, dass etwas nicht in Ordnung ist?

Phishing-Nachrichten sehen heute auf den ersten Blick vertrauenswürdig aus, aber es gibt immer noch Anzeichen, an denen Sie sie erkennen können. Es geht nicht um auffällige Fehler, sondern um subtile Unstimmigkeiten. Wenn Sie wissen, wonach Sie suchen müssen, ist es einfacher, rechtzeitig aufmerksam zu werden.

Druck zu schnellem Handeln

Phishing erzeugt oft ein künstliches Gefühl der Dringlichkeit. Nachrichten behaupten, dass Sie, wenn Sie nicht sofort etwas tun – zum Beispiel eine Zahlung bestätigen oder das Passwort ändern – Ihr Konto, Geld oder den Zugang zu einem Dienst verlieren werden. Ziel ist es, dass Sie ohne Nachzudenken handeln. Seriöse Institutionen geben jedoch in der Regel Raum für Überprüfung und verwenden keine Druckmethoden.

Unerwartete Nachricht ohne vorherigen Zusammenhang

Wenn Ihnen eine Bank, ein Transportunternehmen oder ein Online-Shop ohne vorherigen Grund schreibt, zum Beispiel, dass ein Paket nicht zugestellt werden konnte oder der Zugang gesperrt wurde, seien Sie vorsichtig. Angreifer setzen darauf, dass solche Situationen jederzeit auftreten können und die Nachricht daher glaubwürdig klingt.

Verdächtige E-Mail-Adresse oder Domain

Die Adresse des Absenders mag auf den ersten Blick in Ordnung sein, weist aber oft kleine Unterschiede auf: vertauschte Zeichen, eine andere Endung oder eine völlig andere Domain, die durch den Namen eines bekannten Unternehmens maskiert ist. Sehen Sie genau hin, auch eine kleine Abweichung kann einen Betrug bedeuten.

Verborgener oder irreführender Link

Hyperlinks können glaubwürdig aussehen, aber auf eine betrügerische Seite führen. Auf einem Computer fahren Sie mit der Maus darüber, um zu sehen, wohin sie tatsächlich führen. Auf dem Handy halten Sie den Finger darauf und überprüfen die Adresse. Wenn Ihnen etwas nicht geheuer ist – zum Beispiel fehlt der Domainname oder sie ist zu lang und komplex – klicken Sie lieber nicht.

Ungewöhnlicher Ton, Format oder Sprache

Die Nachricht kann einen zu förmlichen oder im Gegenteil einen zu lockeren Ton haben, ungewöhnliche Ausdrücke, verwirrendes Format oder einen Stil, den das Unternehmen normalerweise nicht verwendet. Wenn Sie gewohnt sind, E-Mails in einer bestimmten Form zu erhalten, sollte jede Abweichung Sie alarmieren.

Wie schützt man sich im Jahr 2025?

Die gute Nachricht ist, dass Sie gegen Phishing nicht wehrlos sind. Neben der grundlegenden Vorsicht gibt es auch konkrete Werkzeuge und Verfahren, die Sie im Jahr 2025 besser schützen als je zuvor.

1. Verwenden Sie die Zwei-Faktor-Authentifizierung (2FA)

Selbst wenn jemand Ihr Passwort erlangt, wird er ohne den zweiten Schritt in Form der Verifizierung über eine mobile App oder einen Hardware-Schlüssel nicht auf das Konto zugreifen können. Die sicherste Variante ist der sogenannte Passkey oder die biometrische Authentifizierung über das Gerät.

2. Nutzen Sie Passwort-Manager

Passwort-Manager generieren nicht nur starke und einzigartige Passwörter, sondern erkennen oft auch verdächtige Seiten. Wenn der Manager kein automatisches Ausfüllen anbietet, ist das ein Signal, dass die Seite möglicherweise nicht vertrauenswürdig ist.

3. Überwachen Sie die Aktivitäten Ihrer Konten

Die meisten E-Mail- und Bankdienste ermöglichen die Anzeige der Anmeldehistorie und ungewöhnlicher Zugriffe. Eine regelmäßige Überprüfung kann Ihnen helfen, eine Verletzung frühzeitig zu erkennen.

4. Halten Sie Software und Geräte auf dem neuesten Stand

Phishing zielt oft auf ungesicherte Systeme ab. Alte Versionen von Betriebssystemen, Browsern oder E-Mail-Clients können Schwachstellen aufweisen, die bereits behoben wurden – aber nicht bei Ihnen, wenn Sie nicht aktualisieren.

5. Verwenden Sie E-Mail-Filter und Spam-Schutz

Moderne E-Mail-Dienste enthalten fortschrittliche Algorithmen, die Phishing-Versuche anhand des Verhaltens, der Reputation des Absenders sowie des Inhalts selbst erkennen. Stellen Sie sicher, dass sie eingeschaltet und aktuell sind.

6. Bilden Sie sich weiter und verfolgen Sie Trends

Angreifer ändern ständig ihre Techniken. Verfolgen Sie aktuelle Betrugskampagnen, z.B. über die Websites von Banken, E-Mail-Anbietern oder nationalen Sicherheitsbehörden.

Vertraue, aber prüfe

Phishing in der Ära der künstlichen Intelligenz dreht sich nicht mehr um offensichtliche Fehler, sondern um Details, die nur der bemerkt, der weiß, dass er vorsichtig sein muss. E-Mails, die normal aussehen, Links, die glaubwürdig wirken, und Namen, die Sie kennen.

Digitales Vertrauen sollte niemals blind sein. Selbst wenn Sie den Dienst oder Absender kennen, verifizieren Sie es. Halten Sie inne. Klicken Sie erst, wenn Sie sicher sind. Denn Cybersicherheit ist keine Frage der Technologie, sondern des täglichen Verhaltens.