Phishing bleibt auch 2025 ein zentrales Cyberrisiko für Unternehmen. Der aktuelle BSI‑Lagebericht zeigt, dass die Angriffe nicht nur zahlreich, sondern vor allem raffinierter geworden sind. Besonders brisant: Durch den Einsatz von KI wirken gefälschte E‑Mails, Websites und Social‑Engineering‑Taktiken so authentisch wie nie zuvor. Hinzu kommt die Verbreitung neuer Angriffsvektoren wie QR‑Codes. In dieser Kombination entstehen genau dort gefährliche Lücken, wo Entscheidungen unter Zeitdruck und von ungeschulten Mitarbeitenden getroffen werden.
E‑Mail bleibt der Startpunkt: täuschend echte Prozesse, ein Klick bis zur Kompromittierung
Im Posteingang beginnt nach wie vor ein Großteil der Vorfälle. E‑Mails, die vermeintlich von bekannten Marken, Lieferanten oder internen Stellen stammen, treffen den Ton „perfekt“ – sprachlich einwandfrei, visuell sauber, mit vertrauten Absendernamen und nachvollziehbaren Anlässen. Statt holpriger Formulierungen dominieren heute Betreffzeilen und Inhalte, die exakt zu laufenden Prozessen passen: eine dringend benötigte „Verifikation“, eine „Kontoaktualisierung“, eine „Rechnungsfreigabe“ oder ein „Paketproblem“. Ein einziger Klick führt dann auf täuschend echt nachgebaute Login‑ oder Shopseiten. Dort geben Mitarbeitende ihre Zugangsdaten ein, lösen Zahlungen aus oder installieren unbemerkt Malware – oft, ohne den Moment der Kompromittierung zu bemerken.
KI hebt Social Engineering auf Niveau „echter Geschäftskommunikation“
Diese Entwicklung wird durch KI massiv beschleunigt. Texte wirken natürlich, Markensprache und Layouts sind stimmig, und sogar interne Kommunikationsmuster lassen sich überzeugend imitieren. Klassische Warnzeichen verlieren an Aussagekraft. Was früher wie Spam aussah, liest sich heute wie eine typische Nachricht aus dem Tagesgeschäft. Besonders kritisch wird es, wenn Single‑Sign‑On, Cloud‑Zugänge oder Lieferantenportale imitiert werden. Ein kompromittiertes Konto öffnet nicht nur die Tür ins eigene Netzwerk, sondern kann entlang der Lieferkette weitere Schäden verursachen.
QR‑Codes (Quishing) erweitern die Angriffsfläche im Arbeitsalltag
Parallel erweitert sich das Spielfeld über den Bildschirm hinaus. QR‑Codes – im beruflichen Umfeld längst allgegenwärtig – werden gezielt als Einfallstor genutzt. Auf Messen, in Gebäuden, an Aushängen oder sogar auf Paketen platzierte Codes führen auf manipulierte Webseiten, deren Ziel‑URL sich vorab kaum prüfen lässt. Viele Scanner blenden nur verkürzte Adressen ein; der gewohnte Kontext „schnell und bequem“ tut sein Übriges. Zwischen Meeting und Mittagspause ist die Hemmschwelle gering, einen Code zu scannen, um „mal eben“ eine Anmeldung zu bestätigen, WLAN zu nutzen oder eine Sendung zu verfolgen. Genau in solchen Momenten werden Anmeldedaten abgegriffen oder Geräte kompromittiert – oft auf privaten Smartphones, die dennoch geschäftlich relevante Zugänge haben.
Erpressung bleibt Geschäftsmodell – Zugriffsdaten sind die neue Währung
Das Kerngeschäft der Cyberakteure ist zwar weiterhin die Erpressung, doch die Erbeutung von Zugangsdaten, die sich im Darknet gut weiterverkaufen lassen, gewinnt an Gewicht. Entsprechend steigt die Zahl der Unternehmen und Institutionen, die durch Datenabfluss unmittelbar geschädigt sind. Da häufig Kundendaten betroffen sind, weiten sich die Folgen auf deren B2B- und B2C-Kunden aus.
Höhere Forderungen pro Angriff
Der Trend zu durchschnittlich höheren Lösegeldforderungen setzt sich fort. Forderungen im Bereich von 100.000 bis 250.000 US‑Dollar sind zur Regel geworden – mit Ausreißern nach oben; einzelne Gruppen erzielten 2024 Rekordsummen im hohen zweistelligen Millionenbereich. Im zweiten Quartal stiegen die Durchschnittszahlungen sprunghaft – vor allem, weil größere Unternehmen nach reiner Datenexfiltration zahlten. Gleichzeitig sank die Gesamtsumme aller Lösegelder, da Angreifer zunehmend auch kleine und mittlere Unternehmen mit schwach geschützten Angriffsflächen adressieren, die pro Fall weniger zahlen.
Der entscheidende Faktor Mensch: die Human Firewall als geschäftskritische Schutzschicht
Für Unternehmen liegt der Kern des Problems weniger in der Technik als im Arbeitsalltag. Mitarbeitende arbeiten oft unter Zeitdruck, wechseln zwischen Tools und Kanälen und verlassen sich auf gewohnte Marken, Logos und Routinen. Genau diese Muster nutzen Angriffe aus. Hier entscheidet die Human Firewall – informierte, sensibilisierte Teams, die Phishing in „Echtzeit“ erkennen und richtig reagieren. Systematische Awareness‑Programme mit realitätsnahen Phishing‑Simulationen und kurzen, wiederholten E‑Learnings zu aktuellen Bedrohungen machen den Unterschied: Sie reduzieren Klickraten, verkürzen Reaktionszeiten im Incident und senken das Risiko von Kontoübernahmen, Datenabfluss und Betriebsunterbrechungen messbar.
Fazit: Phishing wirkt wie normale Geschäftspost – Awareness entscheidet über Betriebssicherheit
Der Befund ist eindeutig: Phishing wirkt 2025 wie reguläre Geschäftskommunikation. KI macht Social Engineering glaubwürdiger, gefälschte Websites perfekter. QR‑Codes sind ein unauffälliger, aber hochwirksamen neuer Vektor. Ungeschulte Mitarbeitende werden so zur größten Angriffsfläche – nicht aus Unachtsamkeit, sondern weil die Täuschung genau auf ihre Arbeitsrealität zugeschnitten ist. Wer den Geschäftsbetrieb schützen will, muss diese Realität ernst nehmen: Die Gefahr sitzt nicht im Abstrakten, sondern im ganz normalen Arbeitstag, zwischen zwei E‑Mails, einem Login und einem gescannten Code. Deshalb ist die Human Firewall kein „Nice‑to‑have“, sondern eine betriebsnotwendige Schutzschicht: Kontinuierliche Awareness‑Trainings, praxisnahe Phishing‑Simulationen und regelmäßige E‑Learnings bringen nachweisbar weniger erfolgreiche Angriffe, geringere Schäden und mehr Resilienz entlang der gesamten Wertschöpfungskette.