KI in der Cybersicherheit: Chancen, Risiken, Strategie
Das Wichtigste in Kürze
- KI-generierte Phishing-Mails sind heute fehlerfrei und kontextuell überzeugend — Rechtschreibfehler als Erkennungsmerkmal sind nicht mehr zuverlässig
- CEO Fraud 2.0 nutzt Deepfake-Stimmen, um Mitarbeitende in Buchhaltung und Finanzen zu dringenden Überweisungen zu veranlassen — ein Vier-Augen-Prinzip und Rückrufprozess sind unverzichtbar
- Auf der Verteidigungsseite erkennt KI in SIEM-Systemen wie Microsoft Sentinel Verhaltensabweichungen, die manuell kaum zu identifizieren wären
- DMARC, SPF und DKIM für E-Mail-Domänen sind technisch überschaubare Maßnahmen mit direkter Wirkung gegen KI-gestützte Phishing-Kampagnen
- KI macht bestehende Sicherheitskonzepte nicht obsolet, aber sie verschiebt Prioritäten: Awareness-Training und Freigabeprozesse müssen dringend aktualisiert werden
Künstliche Intelligenz hat die Cybersicherheit 2026 grundlegend verändert. Angreifer nutzen KI, um Phishing-Kampagnen zu automatisieren, Stimmen zu imitieren und Schwachstellen schneller zu finden. Gleichzeitig setzen Sicherheitsteams KI ein, um Anomalien zu erkennen und Vorfälle schneller zu bearbeiten. Für Unternehmen ist es wichtig, beide Seiten nüchtern zu bewerten.
Wie Angreifer KI einsetzen
KI-generierte Phishing-Mails sind kaum noch von echten Nachrichten zu unterscheiden. Sprachmodelle erzeugen fehlerfreie, kontextuell passende E-Mails in jeder Sprache. Die Zeiten, in denen Phishing-Mails an schlechter Grammatik erkennbar waren, sind vorbei.
Besonders relevant für Unternehmen ist der Einsatz von Deepfake-Stimmen und -Videos. Angreifer können die Stimme eines Geschäftsführers synthetisch nachbilden und per Telefonanruf eine dringende Überweisung anweisen. Diese Angriffe werden als CEO Fraud 2.0 bezeichnet und zielen gezielt auf Mitarbeitende in der Buchhaltung oder Finanzabteilung.
Darüber hinaus nutzen Angreifer KI-Werkzeuge, um Schwachstellen in Netzwerken und Anwendungen automatisiert zu identifizieren. Was früher Stunden manueller Arbeit erforderte, kann mit KI-Unterstützung in Minuten geschehen.
Wo KI bei der Verteidigung hilft
Auf der Verteidigungsseite bietet KI vor allem in zwei Bereichen einen Mehrwert: bei der Erkennung von Anomalien und bei der Beschleunigung der Vorfallbearbeitung.
SIEM-Systeme wie Microsoft Sentinel nutzen maschinelles Lernen, um Abweichungen vom normalen Nutzerverhalten zu erkennen. Meldet sich ein Benutzerkonto plötzlich zu ungewöhnlichen Zeiten an, greift auf unübliche Ressourcen zu oder überträgt große Datenmengen, kann das System automatisch einen Alarm auslösen.
Bei der Vorfallbearbeitung unterstützt KI Sicherheitsanalysten durch automatisierte Zusammenfassungen, Korrelation von Ereignissen und Handlungsvorschläge. Das ersetzt keine Fachkompetenz, beschleunigt aber die Reaktionszeit erheblich.
Was Unternehmen konkret anpassen sollten
Awareness-Schulungen aktualisieren. Mitarbeitende müssen wissen, dass Phishing-Mails heute fehlerfrei und kontextuell überzeugend sein können. Schulungen sollten aktuelle Beispiele verwenden und nicht mehr primär auf Rechtschreibfehler als Erkennungsmerkmal setzen.
Freigabeprozesse härten. Kein Geldtransfer, keine Änderung von Bankverbindungen und keine Freigabe sensibler Daten sollte allein auf Basis eines Telefonats oder einer E-Mail erfolgen. Führen Sie ein Vier-Augen-Prinzip und einen definierten Rückrufprozess über verifizierte Kontaktdaten ein.
Technische Kontrollen verstärken. DMARC, SPF und DKIM sollten für Ihre E-Mail-Domänen konfiguriert sein, um E-Mail-Spoofing zu erschweren. Diese Maßnahmen sind technisch überschaubar, werden aber in vielen Unternehmen nicht vollständig umgesetzt.
Handlungsempfehlung
KI verändert die Spielregeln, macht aber bestehende Sicherheitskonzepte nicht obsolet. Prüfen Sie, ob Ihre Awareness-Schulungen auf dem aktuellen Stand sind, ob Ihre Freigabeprozesse gegen Social Engineering bestehen und ob Ihre E-Mail-Sicherheit korrekt konfiguriert ist. Diese drei Maßnahmen adressieren die unmittelbarsten KI-gestützten Bedrohungen.
Haeufig gestellte Fragen
Wie erkenne ich KI-generierte Phishing-Mails, wenn sie keine Fehler mehr haben?
Statt auf sprachliche Mängel zu achten, sollten Mitarbeitende auf den Kontext achten: Kommt diese Anfrage aus dem normalen Arbeitsablauf? Passt der Absender zur Anfrage? Stimmt die Absenderadresse exakt überein? Und vor allem: ungewöhnliche Dringlichkeit, vertrauliche Informationsanfragen oder Überweisungsaufforderungen sollten immer über einen verifizierten Rückrufkanal bestätigt werden.
Was ist CEO Fraud 2.0 und wie unterscheidet es sich von klassischem CEO Fraud?
Klassischer CEO Fraud nutzt E-Mails, die den Anschein erwecken, vom Geschäftsführer zu stammen. CEO Fraud 2.0 nutzt KI-synthetisierte Stimmen oder Videos, die in Echtzeit täuschend echte Anrufe simulieren. Der Schaden ist höher, weil die Hürde für den Angriff deutlich gesunken ist — ein kurzes Sprachsample aus einem öffentlichen Video genügt für eine überzeugende Imitation.
Welche technischen Maßnahmen wirken konkret gegen KI-gestütztes E-Mail-Phishing?
DMARC (Domain-based Message Authentication, Reporting and Conformance), SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) erschweren das Spoofing von E-Mail-Absenderadressen erheblich. Wenn diese drei Standards für Ihre Domain korrekt konfiguriert sind, können Angreifer nicht einfach E-Mails verschicken, die scheinbar von Ihrer Domain stammen.
Ersetzt KI die Security-Analysten im SOC?
Nein — aber sie verändert ihre Arbeit. KI in SIEM-Systemen übernimmt die Ersterkennung von Anomalien und die Korrelation von Ereignissen. Analysten werden dadurch von repetitiver Arbeit entlastet und können sich auf komplexe Vorfälle konzentrieren. Fachliche Urteilskraft, Kontextwissen und Entscheidungsfähigkeit bleiben menschliche Stärken.