Phishing wird nicht schlauer, nur besser verkleidet
Phishing ist keine neue Erfindung, sondern die digitale Variante eines alten Geschäfts: jemand gibt sich glaubwürdig aus, um an Geld, Daten oder Zugang zu kommen. Neu ist im Fall der aktuellen Entwicklung nicht die Masche, sondern ihre Oberfläche. Der Hinweis in der NZZ auf steigende beim Bundesamt für Cybersicherheit gemeldete Phishing-Fälle und auf die bessere Qualität durch KI beschreibt genau diesen Punkt: Die Angriffe werden nicht origineller, aber präziser. Und das reicht schon.
Das ist die unbequeme Nachricht für alle, die bei Cyberkriminalität gern zuerst an spektakuläre Einbrüche denken. Die meisten Phishing-Angriffe leben nicht von technischer Raffinesse, sondern von Routine, Zeitdruck und kleinen Fehlern im Alltag. Eine gefälschte Zustellbenachrichtigung, ein angeblicher Login-Hinweis der Bank, eine E-Mail vom Chef kurz vor Feierabend: Das sind keine Hollywood-Szenen, sondern Massenware. Gerade weil sie so banal sind, funktionieren sie. Und genau hier verschiebt KI die Lage: Sie macht aus groben Texten sauber formulierte, sprachlich stimmige Nachrichten. Der Betrug wirkt dadurch weniger billig, nicht unbedingt weniger gefährlich.
Die Zahl der gemeldeten Fälle beim Bundesamt für Cybersicherheit ist dabei nur die sichtbare Spitze. Meldungen steigen nicht automatisch im gleichen Mass wie die Angriffe selbst. Viele Vorfälle werden nie angezeigt, manche werden erst spät erkannt, andere verschwinden in der privaten Schamlogik der Opfer: Wer klickt schon gern auf einen falschen Link und erzählt es dann auch noch? Das ist einer der unterschätzten Punkte beim Thema Phishing-Angriffe: Die Schäden sind nicht nur technisch, sondern sozial verteilt. Wer im Büro Zugriff auf Kundendaten hat, trägt ein anderes Risiko als jemand, der privat nur sein Streaming-Konto verliert. Die Folgen landen aber oft im gleichen System: bei Support, IT, Versicherung, Verwaltung und am Ende bei allen, die für mehr Sicherheitsaufwand zahlen.
Die Hoffnung, KI werde die Lage schon irgendwie verbessern, ist deshalb naiv. Ja, dieselben Werkzeuge können auch helfen, verdächtige Muster schneller zu erkennen, Texte zu filtern oder Warnungen zu automatisieren. Aber das Grundproblem bleibt: Angreifer profitieren von der asymmetrischen Lage. Sie müssen nur einmal erfolgreich täuschen. Unternehmen, Behörden und Privatpersonen müssen dagegen jeden Tag richtig reagieren. Das ist kein fairer Wettkampf, sondern ein Dauerstress mit schlechten Quoten. Und je stärker Kommunikation in Messenger, E-Mail und automatisierte Dienste wandert, desto leichter lassen sich die Übergänge zwischen echt und gefälscht verwischen.
Man kann natürlich einwenden, dass der Mensch immer das schwächste Glied bleibt. Das stimmt nur halb. Menschen sind nicht einfach zu leichtgläubig; sie sind oft überlastet, abgelenkt und an Prozesse gewöhnt, die auf Schnelligkeit statt auf Prüfung setzen. Wer im Alltag zwischen mehreren Geräten, Konten und Passwörtern jongliert, macht Fehler nicht aus Dummheit, sondern weil digitale Arbeit so gebaut ist. Genau deshalb greift die übliche Eigenverantwortungs-Rhetorik zu kurz. Ein starker Hinweistext im Mail-Client, klare Standards für Identitätsprüfung, sichere Voreinstellungen, weniger Sonderwege in Firmen und Behörden: Das wäre wirksamer als die nächste Predigt über Vorsicht.
Der aktuelle Fall rund um Phishing ist deshalb mehr als eine Technikmeldung. Er zeigt, wie sich digitale Risiken verschieben: weg von der plumpe Fälschung, hin zur glaubwürdigen Simulation. Das ist keine Revolution, sondern eine Verfeinerung des alten Betrugs. Und sie trifft vor allem jene, die im Alltag wenig Zeit haben, alles doppelt zu prüfen. Wer daraus nur den Appell macht, man müsse eben besser aufpassen, hat das Spiel schon halb verloren. Denn Phishing wird nicht deshalb gefährlicher, weil Menschen plötzlich naiver werden, sondern weil die Täuschung endlich professionell genug aussieht, um in einen normalen Arbeitstag zu passen.
Am Ende ist die unbequeme Wahrheit simpel: Nicht die Opfer werden immer unvorsichtiger, sondern die Angriffe immer alltagstauglicher. Genau deshalb ist Phishing heute weniger ein Randthema der IT als ein Symptom dafür, wie fragil unser digitaler Alltag organisiert ist.