Phishing im Zeitalter der künstlichen Intelligenz

Phishing im Zeitalter der künstlichen Intelligenz

Ob vermeintliche Kontosperre oder Millionengewinn: Phishing-Mails sind leider nach wie vor allgegenwärtig. Mit der Verbreitung von intelligenten KI-Textgeneratoren entfallen einige der verräterischen Hinweise, die ein Phishing-Mail enttarnen. Wie man sich trotzdem bestmöglich vor einem Betrugsversuch schützen kann, verraten wir in unserem Update zum Thema Phishing.

Martin Schlatter Martin Schlatter · Abuse Desk Specialist

Zweifellos verändern maschinelles Lernen, Large Language Models (LLMs) und generative künstliche Intelligenz (gen AI) gerade die unterschiedlichsten Bereiche unserer Welt. Diese neuen Technologien sorgen für einen ungeahnten Sprung unserer Produktivität, indem sie mit nur wenigen Kommandos neue Text- und Bildwerke erschaffen, die zuvor ein Vielfaches an Aufwand erforderten. Vor allem rudimentäre Aufgaben werden in naher Zukunft komplett von künstlicher Intelligenz (KI) übernommen werden.

Leider können diese revolutionären Programme auch für betrügerische Ziele missbraucht werden. In einem früheren Artikel sind wir bereits auf die Risiken von Phishing-Angriffen und die Best Practices zur Abwehr eingegangen. In der Zwischenzeit hat sich die Situation mit der Öffnung von Sprachmodellen wie ChatGPT verändert, da man nun ganz einfach einwandfrei formulierte und damit vertrauenswürdige Texte erstellen lassen kann.

Studien von Sicherheitsspezialisten, wie zum Beispiel der auf Phishing spezialisierten Firma SlashNext, zeigen, dass die Zahl der Phishing-E-Mails seit der Lancierung von ChatGPT um ganze 1’265 % gestiegen ist. Aus diesem Anlass richten wir den Blick erneut auf die Best Practices gegen Phishing und zeigen auf, was sich mit dem Aufkommen der generativen KI verändert hat.

Die fünf häufigsten Phishing-Methoden

Zu den bekanntesten Methoden gehört das Verschicken von (Business-)E-Mails. Dabei gibt sich ein Betrüger als eine legitime Organisation wie Facebook oder eine hochrangige Führungskraft innerhalb eines Unternehmens aus.

Die Kreativität von Cyber-Kriminellen geht aber weit über das Versenden von E-Mails an zufällige Empfänger hinaus, wie die unten stehende Liste von weiteren häufig auftretenden Phishing-Methoden zeigt.

Methode Beschreibung
E-Mail-Phishing Massenversand von E-Mails, die vorgeben, von legitimen Organisationen oder Vorgesetzten zu stammen.
Spear-Phishing Personalisierte Angriffe, die spezifische Informationen über das Ziel nutzen.
Whaling (CEO Fraud) Angriffe speziell auf Führungskräfte wie CEOs, CFOs und COOs mit deren öffentlich verfügbaren Informationen.
Smishing (SMS-Phishing) Betrügerische SMS-Nachrichten, die zum Teilen sensibler Informationen auffordern.
Vishing (Voice Phishing) Anrufe von Personen, die sich als vertrauenswürdige Institution oder Führungsperson ausgeben, um persönliche Daten zu erfragen oder Anweisungen zu geben.

Kriminelle versuchen nicht nur durch den Massenversand von E-Mails an Zugangsdaten und Passwörter zu gelangen, sondern auch ganz gezielt per SMS und Telefon.


Da Phishing kein neues Phänomen ist, gibt es zum Glück bereits bewährte Praktiken zur Phishing-Abwehr, die vielen Internetnutzern inzwischen bekannt sein dürften. Aber können diese trotz des Aufkommens von generativer künstlicher Intelligenz heute noch bestehen?

Künstliche Intelligenz und Phishing: Was hat sich verändert?

Phishing-Mails sind in verschiedenen Formen im Umlauf. Während fortschrittliche Technologien wie künstliche Intelligenz zunehmend zur Erstellung von Phishing-E-Mails genutzt werden, findet man immer noch zahlreiche «klassische» Phishing-Mails, die oft typische Warnhinweise wie etwa Schreib- und Grammatikfehler aufweisen. Mit dem steilen Anstieg der Anzahl versendeter Phishing-Mails lässt sich trotzdem bereits erahnen, wie sich grosse Sprachmodelle auf die Frequenz auswirken.

Beim klassischen E-Mail-Phishing mit KI können überzeugende Texte automatisch und sehr viel schneller erstellt werden als von einer echten Person. Gleichzeitig steigt ohne die verräterischen Rechtschreibfehler die Qualität und damit die Glaubwürdigkeit eines Phishing-Mails. Warnzeichen in Form von Schreibfehlern, Sprachwechseln und unüblichen Formulierungen können damit zukünftig nicht mehr als eindeutigen Hinweis für ein verdächtiges E-Mail angesehen werden.

Durch den Einsatz von Deepfake-Programmen stellt sich zukünftig immer häufiger die Frage, wer eigentlich wirklich vor der Webcam sitzt. (Quelle: Artur Skoniecki / pixabay.com)


Umso perfider werden Betrugsversuche beim Spear-Phishing oder Whaling, bei denen durch künstliche Intelligenz und maschinelles Lernen der Schreibstil mit typischen Formulierungen einer Person imitiert werden soll. Die KI könnte durch öffentlich verfügbare Texte die sprachlichen Eigenheiten einer Person erlernen und diese dann replizieren. Ist sie erfolgreich, wird der Schreibstil eines Vorgesetzten oder Verwandten imitiert, um dann den Kontakt zu einer Führungskraft, einem Angestellten oder einer vertrauten Person aufzunehmen.

Die Imitation einer Persönlichkeit ist nicht nur in Textform möglich, sondern mit genügend Lernmaterial auch als Audioaufnahme und Videomaterial. Bekannt geworden ist diese Methode als Deepfake, bei dem Stimmen und Gesichter sehr überzeugend durch eine KI kopiert und anderen Personen aufgesetzt werden.

Erst vor Kurzem ereignete sich ein erfolgreicher Angriff auf ein Unternehmen in Hongkong. Ein Mitarbeiter erhielt ein E-Mail, das dazu aufforderte, diverse Zahlungen zu veranlassen.

Das anfängliche Misstrauen des Mitarbeiters wurde in einem nachfolgenden Video-Meeting von mittels Deepfake imitierten Vorgesetzten zerstreut. Für ein Opfer ist es bei einem derart hochkomplexen Angriff sehr schwierig, den Betrug zu durchschauen. Glücklicherweise handelt es sich bei diesem Szenario um eine der seltenen Ausnahmen, die eher auf einzelne Ziele gerichtet sind und eine weitaus höhere kriminelle Energie erfordern.

Aktuelle Best Practices gegen Phishing-Angriffe

Was kann man also tun, wenn potenziell jegliche digitale Kommunikation täuschend echt manipulierbar ist?

Die meisten Best Practices zur Abwehr von klassischem Phishing sind nach wie vor aktuell und helfen effektiv dabei, Schäden zu vermeiden. Auf unserer Phishing-Infoseite finden Sie hilfreiche Tipps und Beispiele zu den häufigsten Phishing-Mails, die sich als Hostpoint AG ausgeben.

Bei der Prävention von Angriffen sind folgende Punkte vor allem im Firmenkontext wichtiger als je zuvor:

  1. Grundregeln
    Klicken Sie bei verdächtigen E-Mails keine Links an, laden Sie keine Anhänge herunter und antworten Sie nicht auf solche Mails. Ebenfalls werden seriöse Unternehmen niemals nach Ihrem Passwort fragen. Sollte dies der Fall sein, handelt es sich höchstwahrscheinlich um einen Betrugsversuch.

  2. Achtsamkeit
    Lassen Sie sich nicht unter Druck setzen, sei es durch einen Zeitfaktor oder einen vermeintlichen Vorgesetzten. Sobald sich Ihr Bauchgefühl meldet und Unsicherheit aufkommt, sollte diese nicht einfach ignoriert werden. Fragen Sie beim Absender aktiv in einem kurzen mündlichen Gespräch nach, ob in der Nachricht alles seine Richtigkeit hat. So können Sie sich im Zweifelsfall absichern.

  3. Resiliente Prozesse
    Etablieren Sie schon heute in Ihrem Unternehmen oder Ihrer Abteilung Prozesse, an denen sich alle Beteiligten orientieren können. Sorgen Sie dafür, dass Multifaktor-Authentifizierungen aktiviert sind und Verantwortliche nur die Befugnisse erhalten, die sie auch wirklich brauchen. Ein offensichtlicher Bruch von definierten Abläufen kann ein erster Warnhinweis für einen Betrugsversuch sein.

  4. Kommunikation
    Klären Sie nicht nur Mitarbeitende und Kollegen, sondern auch Verwandte und Freunde über die Gefahren auf. Vereinbaren Sie für Notfälle ein Passwort, das nur Eingeweihte kennen. Sollte es zu einem Betrugsversuch kommen, der vor allem auf der emotionalen Ebene Druck aufbaut (Geldsorgen, Unfall), haben Betrüger auch mit einer täuschend echten Stimme eine geringere Erfolgschance.

Phishing-Mail gefunden?
Wenn Ihnen ein verdächtiges E-Mail mit Hostpoint-Bezug auffällt, dann informieren Sie sich auf unserer eigens eingerichteten Phishing-Infoseite und melden Sie uns Ihren Verdacht unter phishing-melden@hostpoint.ch.

Ich bin auf Phishing hereingefallen – was nun?

Falls die Phishing-Falle zugeschnappt ist, sollten Sie sowohl im geschäftlichen als auch privaten Kontext sofort reagieren.

In einer Firma trauen sich betroffene Mitarbeitende aus Angst vor (personellen) Konsequenzen oder aus Scham häufig nicht, Betrugsfälle unmittelbar oder frühzeitig zu melden. Das kostet wertvolle Zeit, da hierdurch nicht umgehend die notwendigen Schritte eingeleitet werden können.

Je früher die IT-Verantwortlichen informiert werden, desto besser. Diese können die Situation abschätzen und entsprechend reagieren. So können alle Bereiche geschützt und grösserer Schaden verhindert werden.

Damit die notwendigen Voraussetzungen in Firmen gegeben sind, ist es deshalb enorm wichtig, eine positive Fehlerkultur zu leben und Mitarbeitende aktiv zu motivieren, solche Fälle ohne Scheu zu melden.

Michael Naef · Head of System Engineering & Operations bei Hostpoint «Vertrauensvolle und offene Kommunikation gehören zu den fundamentalen Pfeilern, auf denen IT-Sicherheit gebaut wird. Bei einem Vorfall hängen die Möglichkeiten und der Erfolg von Gegenmassnahmen entscheidend davon ab, wie schnell und ehrlich die Experten der IT-Abteilung informiert und involviert werden.»

Eine sehr wichtige Erkenntnis ist, dass jede noch so geschulte Person auf einen Phishing-Angriff hereinfallen kann. Mit den raffinierten und technisch immer komplexeren Betrugsmethoden ist es keine Schande, wenn Sie einem Betrug zum Opfer gefallen sind.

Künstliche Intelligenz auch als Freund und Helfer

Die bahnbrechenden Entwicklungen in Bereichen wie dem maschinellen Lernen können zwar für betrügerische Zwecke wie Phishing missbraucht werden, doch dies macht sie nicht per se schlecht. Ganz im Gegenteil: Diese Technologien bieten auch bedeutende Möglichkeiten im Kampf gegen die Cyber-Kriminalität. Insbesondere für die Früherkennung und die Abwehr von schädlichen Angriffen ist künstliche Intelligenz bereits seit Jahren im Einsatz und wird mit zunehmender Präzision und Effizienz eine noch bedeutendere Rolle erhalten.

Auch bei Hostpoint werden die Mitarbeitenden regelmässig auf Sicherheitsrisiken sensibilisiert und geschult. Zudem investieren wir laufend in zusätzliche Sicherheitsmassnahmen für unsere Infrastruktur.

Weitere nützliche Quellen über die Gefahren von Phishing finden Sie auch beim Bundesamt für Cybersicherheit (BACS), bei der Schweizerischen Kriminalprävention sowie bei der Internet Security Alliance (iBarry). Sie informieren regelmässig über die Gefahren im Internet und helfen Ihnen, die neusten Betrugsmaschen zu erkennen und richtig zu reagieren.

Visualisierung eines E-Mail-Postfachs in einem Laptop-Screen mit Cloud Office-Icon. Visualisierung eines E-Mail-Postfachs in einem Laptop-Screen mit Cloud Office-Icon.

Ihre E-Mail-Adresse mit eigener Domain

Entdecken Sie die neuen E-Mail-Angebote mit Cloud Office von Hostpoint. Ihre Wunschdomain für Ihre E-Mail-Adressen, grosszügiger E-Mail- und Drive-Speicher, verschiedene Office-Tools und vieles mehr.

Cookie Cookie

Wir verwenden Cookies 🍪

Die digitalen Auftritte von Hostpoint (Website, Control Panel, Support Center etc.) verwenden Cookies. Diese werden dazu verwendet, um Daten über Besucherinteraktionen zu sammeln. Wenn Sie auf «Akzeptieren» klicken, stimmen Sie der Verwendung dieser Cookies für Werbezwecke, Website-Analyse und Support zu. Gewisse essenzielle Cookies sind jedoch für eine ordnungsgemässe Funktion dieser Seiten unerlässlich und können deshalb nicht deaktiviert werden. Auch ohne Ihre Zustimmung können gewisse Daten in anonymisierter Form für statistische Zwecke und zur Verbesserung unserer Websites verwendet werden. Bitte beachten Sie unsere Datenschutzerklärung.

Ablehnen
Akzeptieren