Sicherheit: Vom Prompt zum Angriff – Wie KI das Phishing für Nerds demokratisiert

86 Prozent aller Phishing-Angriffe sind 2026 KI-gestützt. Microsoft blockierte allein im ersten Quartal 8,3 Milliarden Phishing-Mails. Deepfake-basiertes Vishing stieg im Vergleich zum Vorjahr um 1.633 Prozent. ^[1] Das sind keine Zahlen aus einem dystopischen Whitepaper. Das ist der Status quo – und er betrifft nicht irgendwelche Hochsicherheitsziele, sondern jeden mit einer E-Mail-Adresse.

Die Debatte über KI-Sicherheit kreist seit Monaten um Alignment, Kontrollmechanismen und hypothetische Superintelligenz. Die reale Gefahr liegt woanders. Sie liegt in der Tatsache, dass jeder Mensch mit einem Chat-Interface heute Angriffswerkzeuge produzieren kann, für die vor zwei Jahren spezialisiertes Wissen nötig war. Die KI-Industrie hat nicht nur Produktivitätstools demokratisiert – sie hat auch die Angriffsfläche der gesamten digitalen Gesellschaft exponentiell vergrößert.

Die Skill Compression: Wenn jeder zum Angreifer werden kann

Der IMF veröffentlichte am 8. Mai 2026 einen Bericht mit dem Titel „Financial Stability Risks Mount as Artificial Intelligence Fuels Cyberattacks". Die zentrale Warnung: KI senkt die Kosten und die Zeit, die Angreifer brauchen, um Schwachstellen zu identifizieren und auszunutzen, „dramatisch". ^[2] Aber das eigentlich Beunruhigende steht zwischen den Zeilen.

Der IMF nennt das Phänomen „Skill Compression". Modelle wie Claude Mythos Preview demonstrierten laut dem Bericht die Fähigkeit, Schwachstellen in allen gängigen Betriebssystemen und Webbrowsern zu finden – auch wenn sie von Personen ohne Fachexpertise eingesetzt werden. ^[3] Das ist der entscheidende Punkt. Es geht nicht um einen einzelnen brillanten Hacker. Es geht um die massive Skalierung: Tausende parallele Angriffe, automatisiert durch KI-Agenten, gesteuert von Menschen, die vor einem Jahr noch nicht wussten, was eine SQL-Injection ist.

Die Analogie ist treffend: Was die Druckerpresse für die Verbreitung von Wissen war, ist das Large Language Model für die Verbreitung von Angriffsfähigkeiten. Der Unterschied ist die Geschwindigkeit. Die Druckerpresse brauchte Jahrhunderte, um die Welt zu verändern. ChatGPT brauchte 18 Monate.

69 Prozent der Cybersicherheitsexperten erwarten, dass KI-basierte Schwachstellen noch in diesem Jahr gefährlicher werden als menschliche Fehler. ^[1] Nicht weil die KI selbst angreift – sondern weil sie Menschen befähigt, die es vorher nicht konnten.

Anatomie des KI-gestützten Phishing

Ein klassischer Phishing-Angriff vor der KI-Ära war erkennbar. Gebrochenes Deutsch, generische Anrede, ein offensichtlich falscher Link. Die Erfolgsquote lag bei ein bis drei Prozent – genug bei Millionen von Mails, aber leicht zu filtern.

KI-generierte Phishing-Mails erreichen heute Click-Through-Raten, die viermal höher liegen als bei menschlich erstellten Angriffen. ^[4] Der Grund ist simpel: Ein LLM kann in Sekunden eine perfekt formulierte, kontextbezogene, sprachlich einwandfreie Nachricht generieren. Es kann den Schreibstil eines Vorgesetzten imitieren, wenn es mit genügend Beispielen gefüttert wird. Es kann auf aktuelle Ereignisse referenzieren, die es aus öffentlichen Quellen extrahiert.

Der Angriff sieht heute so aus: Ein Angreifer recherchiert ein Ziel auf LinkedIn – automatisiert. Die KI extrahiert Position, Kollegen, aktuelle Projekte, kürzliche Posts. Daraus generiert sie eine Mail, die klingt, als käme sie vom CFO: „Bezüglich der Restrukturierung, über die wir letzte Woche im Board gesprochen haben – kannst du die angehängte Kostenaufstellung prüfen und freigeben?" Der Anhang enthält Malware. Der Empfänger hat keinen Grund zur Skepsis, denn die Restrukturierung wurde tatsächlich im letzten LinkedIn-Post des CEOs erwähnt. ^[5]

82,6 Prozent der zwischen September 2024 und Februar 2025 analysierten Phishing-Mails enthielten KI-generierten Content. ^[4] Seitdem hat sich die Technologie um Generationen weiterentwickelt. GPT-5.5 Instant, das aktuelle Standardmodell in ChatGPT, halluziniert deutlich weniger als seine Vorgänger und produziert kontextuell kohärentere Texte. ^[6] Was für den normalen Nutzer ein Qualitätsgewinn ist, ist für den Angreifer ein Präzisionswerkzeug.

Deepfakes: Die nächste Eskalationsstufe

Text ist nur der Anfang. Deepfake-Videobetrügereien stiegen 2025 um 700 Prozent. ^[7] Die Industrialisierung läuft: „Deepfake-as-a-Service" ist kein Konzept mehr, sondern ein Geschäftsmodell im Darknet.

Der spektakulärste Fall 2025: Ein Finanzmanager in Hongkong wurde über WhatsApp kontaktiert – von einer KI-generierten Stimme, die seinen Vorgesetzten imitierte. Er überwies 145 Millionen Hongkong-Dollar (etwa 18,5 Millionen US-Dollar) auf betrügerische Krypto-Konten. ^[7] Die Ingenieurfirma Arup verlor durch einen einzigen Deepfake-Videocall 25,6 Millionen Dollar. ^[7]

Das Muster ist konsistent: Der Angriff nutzt nicht eine technische Schwachstelle, sondern menschliches Vertrauen. Die KI ist das Werkzeug, nicht der Akteur. Sie macht die Täuschung perfekt genug, um das natürliche Misstrauen zu überwinden, das Menschen gegenüber unbekannten Anfragen haben. Ein verzerrter Videocall von 2023 hätte Misstrauen geweckt. Ein HD-Deepfake von 2026, das Mimik, Stimmlage und Sprechpausen des echten Vorgesetzten reproduziert, tut es nicht.

Der IMF warnt explizit: Im Finanzsystem, das auf gemeinsamer Software und geteilten Dienstleistern aufgebaut ist, kann ein erfolgreicher Angriff einen Vertrauens- oder Liquiditätsschock auslösen, der sich sektorübergreifend ausbreitet – vergleichbar mit der Finanzkrise 2008. ^[2] Angreifer haben den strukturellen Vorteil: Eine Schwachstelle zu entdecken und auszunutzen geht schneller als sie zu patchen.

Die Sicherheitslücke in den Modellen selbst

Parallel zur Waffenfähigkeit auf der Nutzerseite gibt es ein zweites Problem: Die Modelle selbst sind anfälliger, als die Hersteller zugeben.

Tests mit GPT-5.5 Instant zeigten, dass das Modell bei realen Nutzeranfragen gefährliche Prompts zuverlässig ablehnt. Bei harten, synthetischen Angriffen – mehrstufiges, adversarisches Prompting mit Rollenspiel-Elementen – sank die Ablehnungsrate jedoch um die Hälfte. ^[8] OpenAI patcht diese Lücken nicht auf Modellebene, sondern mit vorgeschalteten und nachgeschalteten Classifier-Systemen – KI-„Türsteher", die problematische Anfragen erkennen sollen, bevor sie das Modell erreichen.

Das ist ein Pflaster, kein Fundament. Jeder, der sich mit der Geschichte der IT-Sicherheit beschäftigt hat, weiß: Filter lassen sich umgehen. Die Frage ist nicht ob, sondern wann. Und „wann" bedeutet in der KI-Welt nicht Monate – sondern Stunden, nachdem ein neues Modell veröffentlicht wird.

OpenAI hat reagiert – zumindest teilweise. Advanced Account Security mit phishing-resistentem Login wurde Ende April 2026 eingeführt. Das Modell GPT-5.5-Cyber wurde als eingeschränkte Preview für die Absicherung kritischer Infrastruktur angekündigt. ^[6] Anthropic hat sein Bug-Bounty-Programm auf HackerOne öffentlich gemacht. ^[9] Das sind richtige Schritte. Sie adressieren aber primär die Verteidigungsseite – die Angriffsseite skaliert schneller.

Warum Sicherheitskonzepte, die nur auf die KI schauen, scheitern

Die politische Debatte um KI-Sicherheit ist fixiert auf Alignment und Kontrollmechanismen für die Modelle selbst. Die EU AI Act-Diskussionen drehen sich um Hochrisikokategorien und Transparenzpflichten. Das ist notwendig, aber es greift zu kurz.

Das fundamentale Problem ist ein Asymmetrie-Problem: Die Verteidigung muss jeden einzelnen Angriffsvektor abdecken. Der Angreifer muss nur einen finden. KI verschiebt diese Asymmetrie dramatisch zugunsten des Angreifers, weil sie die Kosten für das Finden und Ausnutzen von Schwachstellen auf nahezu null senkt – während die Kosten für die Verteidigung gleich bleiben oder steigen.

Kalender-Phishing mit gefälschten Einladungen nahm im ersten Quartal 2026 um 49 Prozent zu. Die Nutzung von Reverse Proxies zum Diebstahl von Microsoft-365-Zugangsdaten stieg um 139 Prozent. ^[1] Das sind keine Angriffe auf KI-Systeme. Das sind Angriffe mit KI-Systemen auf die gewöhnliche digitale Infrastruktur, die jedes Unternehmen nutzt.

Was fehlt, ist ein Sicherheitsansatz, der den Menschen als Angriffsvektor ernst nimmt – nicht als Schwachstelle, die man mit einem Security-Awareness-Training wegschult, sondern als systemische Konstante. Solange Menschen Entscheidungen treffen, die auf Vertrauen basieren, und solange KI dieses Vertrauen simulieren kann, wird kein technisches Sicherheitssystem allein ausreichen.

Die unbequeme Wahrheit

Die größte unmittelbare Gefahr durch KI liegt nicht darin, dass sie „durchgeht" oder unkontrollierbar wird. Sie liegt darin, dass sie bereits jetzt, in ihrer aktuellen Form, als Waffe eingesetzt wird – von Menschen gegen Menschen. Und die Werkzeuge werden jeden Tag besser, billiger und zugänglicher.

Mitte 2026 werden vollständig autonome Angriffssysteme erwartet, die öffentliche Daten von Organisationen und Mitarbeitern scrapen, personalisierte Phishing-Nachrichten generieren und versenden – ohne menschliches Eingreifen. ^[5] Das ist keine Science-Fiction. Die Einzelkomponenten existieren heute alle. Sie müssen nur zusammengesetzt werden.

Die Ironie ist bitter: Dieselbe Industrie, die „Safety" als Kernwert propagiert, liefert gleichzeitig die Infrastruktur für die größte Demokratisierung von Angriffswerkzeugen in der Geschichte der Cybersicherheit. OpenAI stellt einen Fünf-Punkte-Aktionsplan für Cybersicherheit vor ^[6] – und vertreibt gleichzeitig Modelle, deren adversarische Robustheit bei gezielten Angriffen um die Hälfte einbricht. ^[8]

Das ist kein Widerspruch aus Böswilligkeit. Es ist die strukturelle Logik eines Marktes, in dem Leistungsfähigkeit verkauft und Sicherheit als Kostenfaktor behandelt wird. Die Lösung liegt nicht in besseren Filtern für Modelle. Sie liegt in einem Paradigmenwechsel: Sicherheit muss vom Rand ins Zentrum der KI-Entwicklung rücken – nicht als Feature, sondern als Architekturprinzip. Und die Gesellschaft muss begreifen, dass die Frage „Wie kontrollieren wir die KI?" nur die halbe Wahrheit ist. Die andere Hälfte lautet: „Wie kontrollieren wir, was Menschen mit der KI tun?"

Referenzen

1. KnowBe4-Studie: 86 Prozent der Phishing-Angriffe sind KI-gestützt, Mai 2026
   https://sectank.net/magazin/2026/05/05/knowbe4-studie-86-prozent-der-phishing-angriffe-sind-ki-gestuetzt/
2. IMF: Financial Stability Risks Mount as Artificial Intelligence Fuels Cyberattacks, Mai 2026
   https://www.imf.org/en/blogs/articles/2026/05/07/financial-stability-risks-mount-as-artificial-intelligence-fuels-cyberattacks
3. World Banks JUST got scared – IMF warnt vor KI-bedingtem Finanzmarkt-Schock, Mai 2026
   https://www.youtube.com/watch?v=fabe7nYQa1Q
4. AI-Generated Phishing: The Top Enterprise Threat of 2026 – StrongestLayer
   https://www.strongestlayer.com/blog/ai-generated-phishing-enterprise-threat
5. Social Engineering Attacks in the Age of Generative AI – Risks & Prevention, 2026
   https://www.eccu.edu/blog/social-engineering-attacks-generative-ai-2026/
6. OpenAI Produkt- und Sicherheitsinitiativen – GPT-5.5, Advanced Account Security, Cybersecurity Action Plan, Mai 2026
   https://openai.com/news/
7. Deepfake-as-a-Service Exploded In 2025: 2026 Threats Ahead – Cyble, 2026
   https://cyble.com/knowledge-hub/deepfake-as-a-service-exploded-in-2025/
8. OpenAI's GPT 5.5 Instant: The Good, The Bad And The Insane – Two Minute Papers, Mai 2026
   https://www.youtube.com/watch?v=4nQnhjimB4Y
9. Anthropic macht Bug-Bounty-Programm auf HackerOne öffentlich, Mai 2026
   https://x.com/AnthropicAI