Zurück zum Blog

Phishing Trends im Jahr 2026: Was sich wirklich ändert (und was nicht)

Sieh dir die wichtigsten Phishing-Trends für 2026 an - KI-Depfakes, Mobile/QR, SaaS-Zustimmungsmissbrauch und Vertrauensinfrastruktur. Praktische Schutzmaßnahmen für KMU.

Von Autophish Team|Veröffentlicht am 11/26/2025
Cover image for Phishing Trends im Jahr 2026: Was sich wirklich ändert (und was nicht)

Wenn du im Bereich Sicherheit oder Compliance arbeitest, kann es dir vorkommen, dass jedes Jahr zum "Jahr des Phishings " erklärt wird. Die schlechte Nachricht: Das ist auch 2026 noch so. Die gute Nachricht: Die Trends sind eher Evolution als Science-Fiction.

Das meiste von dem, was wir 2026 sehen werden, baut direkt auf dem auf, was Unternehmen schon heute schadet: QR- und Handy-Betrug, Missbrauch von SaaS-Zustimmungen, Kompromittierung von Geschäfts-E-Mails (BEC) und Angreifer, die es auf das Vertrauen selbst und nicht nur auf Passwörter abgesehen haben. In den großen Bedrohungsberichten von ENISA und Microsoft werden Social Engineering und Phishing immer noch als Hauptrisiken genannt, wobei Smishing (SMS-Phishing) und QR-basierte Angriffe ("Quishing") stark zunehmen (z. B. in den Zusammenfassungen der ENISA Threat Landscape: ENISA Threat Landscape overview und der ENISA Threat Landscape 2023 report: ENISA Threat Landscape 2023 report, und die Digital Defense Reports von Microsoft: Microsoft Digital Defense Report Portal).

Dieses Playbook führt dich durch 10 konkrete Phishing-Trends für 2026, warum sie speziell für KMU wichtig sind und was du in den nächsten 90 Tagen realistisch tun kannst - ohne ein Hollywood-Budget zu benötigen.

Die kurze Liste: Was sich 2026 wirklich ändert

Hier ist die Kurzfassung für deine nächste Vorstands- oder Geschäftsführersitzung:

  • Deepfake-gestütztes BEC wird zum Mainstream Sprach- und Video-Imitationen entwickeln sich von "wow, coole Demo" zu "das Finanzteam hat letzte Woche tatsächlich so einen Anruf bekommen". In den neueren Ausgaben des Digital Defense Report von Microsoft werden Deepfakes ausdrücklich als BEC-Ermöglicher genannt (zum Beispiel: Microsoft Digital Defense Report 2025 (PDF)).

  • Phishing folgt deinen Chats und QR-Codes WhatsApp, Signal, Teams und QR-Loginströme werden zu Hauptzielen, nicht zu Nebenzielen. In den Sektorberichten und der Bedrohungslandschaft der ENISA für den Finanzsektor werden Smishing und QR-basiertes Phishing als zunehmende Angriffsvektoren hervorgehoben: ENISA Threat Landscape - Finance Sector.

  • Passwörter sind weniger wichtig als Token und Einwilligungen OAuth-Phishing und Session-Token-Diebstahl ermöglichen Angreifern dauerhaften Zugang, ohne sich jemals "einzuloggen". Siehe Microsofts "OAuth consent phishing explained and prevented": Microsoft Entra blog - OAuth consent phishing explained and prevented.

  • Ausnutzung der "Vertrauensinfrastruktur" schlägt Spoofing deiner Marke Legitime Microsoft/Google-Domains, Webformulare, Site-Builder und Helpdesk-Tools werden gekapert, um äußerst überzeugende Köder auszuspielen.

  • Große Datenanwendungen werden zu Schatztruhen mit einem Klick Data Warehouses (Snowflake u.a.) und Dateifreigaben sind hochwertige, leicht zu erbeutende Ziele, wenn eine einzelne Identität oder ein Token kompromittiert wird. Die UNC5537/Snowflake-Kampagne ist ein Paradebeispiel, das hier dokumentiert ist: [Google Cloud / Mandiant - UNC5537 zielt auf Snowflake] (https://cloud.google.com/blog/topics/threat-intelligence/unc5537-snowflake-data-theft-extortion) und in der dazugehörigen Anleitung zur Bedrohungsjagd: Snowflake threat-hunting guide (PDF).

  • Regulierung holt endlich auf Rahmenwerke wie NIS2 erwarten ausdrücklich eine fortlaufende, überprüfbare Schulung des Sicherheitsbewusstseins und Phishing-Schulungen - und nicht nur ein einmaliges E-Learning (siehe den NIS2-Rechtstext auf EUR-Lex: NIS2-Richtlinie Rechtstext und praktische Schulungsanleitungen wie NIS2 training and awareness guidance).

Und ja: Automatisierung gewinnt. Organisationen, die kontinuierlich testen, messen und die Kontrollen anpassen, schneiden einfach besser ab als diejenigen, die eine "Cyber-Awareness-Woche" pro Jahr durchführen.

Auf einen Blick: 10 Phishing-Trends und schnelle Kontrollen

| Trend | Warum Angreifer es lieben | Schnellkontrollen zum Start dieses Monats | |---|-------|-----------------------|----------------------------------------| | 1 | Deepfake-gestütztes BEC | Hoher ROI, geringes Volumen, stark personalisiert | Starke Zahlungsfreigaben + Rückrufregeln | | 2 | Mobile & Messaging + QR | Jeder lebt im Chat; QR = stiller Login | BYOD-Aktualisierung, Einschränkung der Verknüpfung auf nicht verwalteten Geräten | | 3 | SaaS-Zustimmung & OAuth-Missbrauch | Passwortloser Zugang mit langlebigen Token | App-Zustimmungs-Governance, Tenant-Allow-Listen | | 4 | Missbrauch der "Vertrauensinfrastruktur" | Domains von Erstanbietern sehen "offensichtlich sicher" aus | URL-Altersfilter, strenges DMARC für alle Mailpfade | | 5 | Intern aussehendes Phishing | "Es kam von innen" senkt das Misstrauen | Härtet Konnektoren ab, überwacht intern aussehende Mails | | 6 | Credential-less phishing | Token, nicht Passwörter, sind die neuen Schlüssel | FIDO2-Schlüssel, gerätegebundene Token, MFA-Müdigkeitskontrollen | | 7 | Zeitlich abgestimmte Kampagnen | Steuern / Reisen / Sport = Klickspitzen | Kalendergesteuerte Hinweise & Simulationen | | 8 | Lokalisierte LLM-Köder | Muttersprachlicher Ton & Jargon umgehen den "schlechtes Englisch"-Filter | Bringen Sie strukturelle rote Flaggen bei, nicht die Sprachqualität | | 9 | Data-warehouse & file-share pivot | Ein Konto → Millionen von Datensätzen | SSO + MFA überall, Verhaltensanalyse | |10| Regulatorischer Druck & Audits | Vorstände müssen Sorgfaltspflicht zeigen | Vierteljährliche Simulationen mit sauberen Audit Trails |

Nachfolgend gehen wir auf jeden Trend ein: **Was ist neu im Jahr 2026 → Was wir sehen → Jetzt handeln

Trend 1: Deepfake-gestütztes BEC wird zum Mainstream

Was gibt es Neues im Jahr 2026

Die Kompromittierung von Geschäfts-E-Mails ist seit Jahren eine der kostspieligsten Cyber-Bedrohungen, und die Digital Defense Reports von Microsoft sowie die Analysen anderer Anbieter zeigen, dass BEC nach wie vor zu den folgenschwersten Angriffen gehört (z. B. der Bericht 2023: Microsoft Digital Defense Report 2023 (PDF)).

Was sich geändert hat, ist die Qualität und Zugänglichkeit von Deepfake-Tools:

  • Voice-Cloning-Dienste können innerhalb von Minuten einen glaubwürdigen "CFO über Bluetooth in einem Taxi" produzieren.
  • Standardtools können kurze Videoclips erstellen, die in einem eiligen Team-Call eine kurze Überprüfung der Glaubwürdigkeit bestehen.
  • Aufsichtsbehörden und Finanzkriminalität warnen ausdrücklich vor Betrugsversuchen mit gefälschten Audio- und Videodateien bei hochwertigen Transaktionen (siehe Abschnitt über gefälschten Betrug im Microsoft Digital Defense Report 2025: Microsoft Digital Defense Report 2025 (PDF)).

Das Ergebnis: Klassische BEC-Geschichten, aber mit einem synthetischen Gesicht und einer synthetischen Stimme.

Was wir in der Praxis sehen

Die Angreifer überspringen zunehmend lange E-Mail-Threads und gehen direkt zu "dringenden Anrufen " über, um Zahlungsänderungen, neue Empfängerkonten oder risikoreiche Überweisungen durchzusetzen - mit Verweis auf echte Projekte und internen Jargon, den sie aus E-Mails, LinkedIn und durchgesickerten Daten abgeschöpft haben.

Jetzt handeln

  • Politik:
    • Verlangt eine Out-of-Band-Verifizierung (telefonischer Rückruf an eine verifizierte Nummer aus eurem ERP/CRM) für alle neuen oder geänderten Bankdaten und große Überweisungen.
  • Kontrolle:
    • Konfiguriere Zahlungsstopps und doppelte Genehmigungen oberhalb von Schwellenwerten - idealerweise zwei Genehmiger aus verschiedenen Abteilungen.
  • Awareness:
    • Bringe den Mitarbeitern bei, dass "Ich habe sie auf Video gesehen" keine Kontrolle ist. Führe Live-Rollenspiele durch, bei denen ein falscher "CFO" während eines geschäftigen Moments anruft.

Trend 2: Mobile & Messaging Phishing + QR-Codes als Authentifizierungstoken

Was ist neu im Jahr 2026

Phishing ist nicht mehr nur ein E-Mail-Problem:

  • Smishing und Phishing über Messaging-Apps (WhatsApp, Signal, Telegram, Firmen-Chat) haben stark zugenommen, wobei URL-basierte Angriffe und QR-Code-Tricks eingesetzt werden, um Konten zu kapern. In der ENISA-Bedrohungslandschaft für den Finanzsektor wird festgestellt, dass Phishing, Smishing und Vishing zu den häufigsten Angriffsarten gegen europäische Finanzinstitute gehören: [ENISA Threat Landscape - Finance Sector] (https://www.enisa.europa.eu/publications/enisa-threat-landscape-finance-sector).
  • Angreifer missbrauchen zunehmend QR-Codes als Anmeldemechanismen, indem sie Menschen dazu verleiten, Codes zu scannen, die ihre Konten mit einem vom Angreifer kontrollierten Gerät oder einer Sitzung verbinden. Dieses Muster taucht in mehreren aktuellen Fallberichten über Messaging-Account-Takeover und mobile Malware-Kampagnen auf.

Kombiniert mit BYOD und Schattennachrichtenkanälen ist es ein ideales Spielfeld.

Was wir in der Praxis sehen

Fälle aus der Praxis zeigen, dass Regierungsbeamte und Führungskräfte Messaging-Konten über bösartige QR-Codes verloren haben, und Berichte über Bedrohungen zeigen, dass URL- und QR-basierte Phishing-Kampagnen im Vergleich zu klassischen Anhängen stark zunehmen (z. B. ENISAs Überblick über Social-Engineering-Angriffsvektoren: ENISA Threat Landscape overview).

Jetzt handeln

  • Policy:
    • Aktualisiere BYOD- und Messaging-Richtlinien: Welche Apps sind für die Arbeit okay, welche nicht und was ist streng verboten (z. B. das Teilen von Login-QR-Codes oder Screenshots von Authentifizierungsaufforderungen).
  • Kontrolle:
    • Erzwinge Nummernabgleich und Gerätebindung für MFA; schränke die Verknüpfung von Konten mit neuen Geräten von nicht verwalteten Endpunkten ein, wo es möglich ist.
  • Awareness:
    • Führe Simulationen durch, die Zustellungsmitteilungen, MFA-Aufforderungen und Chat-Einladungen - einschließlich QR-Codes - imitieren, um zu lernen, vor dem Scannen innezuhalten.

Trend 3: SaaS-Zustimmungsphishing und OAuth-Token-Missbrauch

Was ist neu im Jahr 2026

Anstatt Passwörter zu stehlen, fordern Angreifer deine Nutzer einfach auf, auf "Akzeptieren " zu klicken.

Beim OAuth consent phishing wird ein Nutzer auf einen legitim aussehenden Zustimmungsbildschirm gelockt, der um die Erlaubnis bittet, E-Mails, Dateien oder Kalender zu lesen. Sobald der Benutzer zustimmt, erhält der Angreifer ein langlebiges Zugriffstoken - kein Passwort, keine MFA-Abfrage und oft auch kein offensichtliches Anmeldeprotokoll, das er überprüfen könnte. In der offiziellen Erklärung von Microsoft wird dieses Muster im Detail beschrieben:
Microsoft Entra blog - OAuth consent phishing explained and prevented

Unabhängige Forscher beobachten auch, wie sich das Einwilligungs-Phishing weiterentwickelt, um die Erkennungskontrollen zu umgehen, zum Beispiel: Push Security - How consent phishing is evolving und Valence Security - Die wachsende Bedrohung durch Consent Phishing

Jüngste Kampagnen nutzen AI-Agenten und Low-Code-Tools; kompromittierte Bots können verwendet werden, um OAuth-Tokens in großem Umfang zu stehlen (z. B. die "CoPhish"-Technik, die Microsoft Copilot Studio-Agenten missbraucht: TechRadar - Copilot Studio agents hijacked to steal OAuth tokens).

Was wir in der Praxis sehen

Cloud-Sicherheitsteams berichten von mehr Vorfällen mit "geheimnisvollem Datenzugriff", bei denen keine Passwortänderung oder verdächtige Anmeldung zu sehen ist - nur eine neu genehmigte App mit weitreichenden Zugriffsmöglichkeiten auf Postfächer und SharePoint.

Jetzt handeln

  • Richtlinien:
    • Lege fest, welche Teams neue Apps genehmigen können und welche "Hochrisikobereiche " (z.B. Mail.ReadWrite, Files.Read.All) eine formelle Überprüfung erfordern.
  • Kontrolle:
    • Nutze die Zustimmungsregelung für Apps deines IdPs: Deaktiviere die nutzergesteuerte Zustimmung, wo es möglich ist, behalte die Zulassungslisten für Mandanten bei und aktiviere die kontinuierliche Zugriffsbewertung oder etwas Vergleichbares.
  • Awareness:
    • Beziehe Zustimmungsbildschirme und "Anmelden mit..."-Flows in die Schulung ein - die meisten Nutzer wissen nicht, dass diese Pop-ups bösartig sein können.

Trend 4: Missbrauch der "Vertrauensinfrastruktur" (Formulare, Site Builder, Support-Tools)

Was ist neu im Jahr 2026

Warum sollte man sich die Mühe machen, seine Domain zu fälschen, wenn ein Angreifer Links weiterschicken kann:

  • *.microsoft.com (Forms, SharePoint, Copilot, etc.)
  • *.google.com" (Docs, Drive, Sites)
  • Bekannte Site-Builder und Support-Plattformen (Ticket-Systeme, RMM-Tools, CRM-E-Mailer)

In den wichtigsten Bedrohungsberichten wird darauf hingewiesen, dass bösartige URLs, die auf legitimen Diensten gehostet werden, inzwischen die Zahl der klassischen bösartigen Anhänge bei weitem übertreffen (siehe z. B. die Digital Defense Reports von Microsoft und die Zusammenfassungen der Trends im Bereich Social Engineering von ENISA: Microsoft Digital Defense Report Portal ENISA - Emerging technologies make it easier to phish).

Was wir in der Praxis sehen

Wir sehen immer mehr Kampagnen, bei denen der gesamte Datenfluss - vom Formular über die Datei bis hin zur Folge-E-Mail - über eine legitime Cloud-Infrastruktur läuft, was es herkömmlichen Filtern, die sich allein auf die Domain-Reputation verlassen, sehr viel schwerer macht.

Jetzt handeln

  • Richtlinie:
    • Verlange, dass alle Kundenformulare, die sensible Daten erfassen, dokumentiert und zentral registriert werden (damit du Fälschungen erkennen kannst).
  • Kontrolle:
    • Verwende sichere E-Mail-Gateways oder Cloud-native Tools, die das URL-Alter, den Hosting-Kontext und die Dateitypen prüfen, anstatt nur die Reputation des Absenders zu überprüfen; erzwinge die DMARC-Anpassung für alle legitimen E-Mail-Pfade, einschließlich Support- und Ticketing-Tools. Die ENISA-Übersicht "Threat Landscape" enthält eine gute Zusammenfassung solcher Vektoren: ENISA Threat Landscape overview.
  • Aufklärung:
    • Unterrichte die Benutzer: "Legitime Domain" ≠ legitime Anfrage. Frage reflexartig "Habe ich dieses Formular/diese Datei/diese E-Mail erwartet? ".

Trend 5: Intern aussehendes Phishing ohne tatsächliche Gefährdung

Was ist neu im Jahr 2026

Viele Cloud-E-Mail-Systeme bieten Funktionen wie Direktes Senden, Konnektoren und Relays, damit Apps und Geräte E-Mails "als intern" versenden können. Falsch konfiguriert, ermöglichen sie:

  • E-Mails, die so aussehen, als kämen sie aus deinem Unternehmen oder von vertrauenswürdigen Partnern
  • System- oder Ticketing-E-Mails, die intensive Filterung umgehen

Angreifer missbrauchen diese Funktionen zunehmend oder kompromittieren ein einzelnes Dienstkonto, um "internes" Phishing zu versenden, ohne ein menschliches Postfach zu hacken.

Was wir in der Praxis sehen

Einsatzkräfte berichten häufig von "internen" Phishing-Kampagnen, die von unerwarteten IP-Bereichen, falsch konfigurierten Relays oder kompromittierten gemeinsamen Postfächern ausgehen und nicht vom Laptop des Geschäftsführers.

Jetzt handeln

  • Richtlinie:
    • Erfasse alle Systeme, die als deine Domäne senden dürfen, und lege den Besitzer und die geschäftliche Rechtfertigung fest. Kein Besitzer, kein Senden.
  • Kontrolle:
    • Verschärfe die E-Mail-Verbindungen: Sperre sie auf bestimmte IP-Bereiche und Authentifizierungsmethoden; achte auf Spitzen im Intern-zu-Intern-Verkehr mit ungewöhnlichen Mustern.
  • Aufklärung:
    • Füge dem Awareness-Training ein Mantra hinzu: "Intern ≠ standardmäßig sicher ". Ermutige dazu, jede seltsame interne Anfrage zu melden, nicht nur externe.

Trend 6: Phishing ohne Zugangsdaten - Token, Sitzungen und MFA-Müdigkeit

Was ist neu im Jahr 2026

Wenn deine Strategie lautet: "Starke Passwörter + MFA und alles ist gut", dann lässt 2026 grüßen.

Aktuelle Analysen von Sicherheitsverletzungen zeigen, dass Angreifer stattdessen auf Session-Cookies, Refresh-Tokens und MFA-Müdigkeit umsteigen:

  • Stehlen von Browser-Tokens über Malware oder Infostealers
  • "Push-Bombing" von Nutzern, bis sie die Authentifizierungsaufforderung aus Versehen akzeptieren
  • Erfassen von Token in Echtzeit über "Adversary-in-the-Middle"-Phishing-Kits

Die Snowflake/UNC5537-Kampagne ist ein Paradebeispiel dafür, was passiert, wenn gestohlene Anmeldeinformationen und fehlende MFA auf eine mächtige Datenplattform treffen:
Google Cloud / Mandiant - UNC5537 zielt auf Snowflake Snowflake Leitfaden zur Bedrohungsjagd (PDF) Eine gute Zusammenfassung auf hohem Niveau gibt es auch von der Cloud Security Alliance: Cloud Security Alliance - Unpacking the 2024 Snowflake data breach.

Was wir in der Praxis sehen

Bei großen Vorfällen wie dem Snowflake-Datendiebstahl nutzten die Angreifer oft vorher gestohlene Anmeldeinformationen und Token, um sich Zugang zu hochwertigen Datenplattformen zu verschaffen, die sie dann in großem Stil ausspionierten und erpressten.

Jetzt handeln

  • Politik:
    • Verpflichte phishing-resistente MFA (FIDO2-Sicherheitsschlüssel oder Passkeys) zuerst für Administratoren und Rollen mit hohem Risiko.
  • Kontrolle:
    • Erzwinge Gerätegebundene Token, bedingten Zugang (unmögliche Reisen, ungewöhnliche IPs) und automatischen Tokenentzug nach verdächtigen Ereignissen.
  • Awareness:
    • Bringe deinen Mitarbeitern bei, dass wiederholte MFA-Anfragen ein Notfall sind und kein Ärgernis. Simuliere MFA-Müdigkeitsszenarien in deinem Phishing-Programm.

Trend 7: Branchenbezogene Kampagnen (Steuern, Reisen, Sport, Zuschüsse)

Was ist neu im Jahr 2026

Angreifer sind hervorragend im Kalender-OSINT:

  • Steuerfristen
  • Große Sportereignisse
  • Zeitfenster für Zuschüsse und Subventionen
  • Übliche Reisesaisonen

Berichte über Bedrohungsdaten zeigen, dass sich Phishing-Kampagnen eng an solche Ereignisse anlehnen und Erstattungen, Tickets oder dringende Compliance-Aufgaben versprechen. Die ENISA und verschiedene Branchenberichte nennen Social Engineering als einen wichtigen Faktor bei Betrugsfällen und Vorfällen im Finanzbereich: [ENISA Threat Landscape - Finance Sector] (https://www.enisa.europa.eu/publications/enisa-threat-landscape-finance-sector) und eine lesenswerte Zusammenfassung hier: ComplexDiscovery - Rising cyber threats in Europe's financial sector.

Was wir in der Praxis sehen

Kleine und mittlere Unternehmen (KMU) berichten zunehmend von kurzen, intensiven Phishing-Wellen, die genau dann auftreten, wenn alle es eilig haben, Formulare auszufüllen, Tickets zu kaufen oder Rabatte in Anspruch zu nehmen.

Jetzt handeln

  • Politik:
    • Erstelle neben deinem Geschäftskalender auch einen "Cyber-Kalender ": Notiere risikoreiche Zeiträume für deine Branche und deine Region.
  • Kontrolle:
    • Konfiguriere E-Mail-Banner oder Warnungen für bestimmte Schlüsselwörter (Steuer, Erstattung, Ticket, Zuschuss) um diese Zeitfenster herum.
  • Awareness:
    • Führe Phishing-Simulationen mit Zeitangabe und Just-in-Time-Tipps eine Woche vor vorhersehbaren Risikoereignissen durch.

Trend 8: Lokalisierte LLM-Köder (Sprache & Ton-Nachahmung)

Was ist neu im Jahr 2026

Große Sprachmodelle (LLMs) haben der alten Heuristik "schlechte Rechtschreibung = Phishing" weitgehend den Garaus gemacht.

  • Angreifer können perfekt lokalisierte E-Mails in österreichischem Deutsch, britischem Englisch, brasilianischem Portugiesisch... inklusive Redewendungen und Höflichkeitsstufen erstellen.
  • Öffentliche Daten (Websites, soziale Medien, Stellenanzeigen) ermöglichen es ihnen, den Stimmklang deines Unternehmens unangenehm gut zu imitieren.

Die ENISA weist ausdrücklich darauf hin, dass neue Technologien wie KI und Automatisierung den Angreifern helfen, das Verhalten zu analysieren und gezielteres Phishing zu betreiben: ENISA - Emerging technologies make it easier to phish.
In Sensibilisierungskampagnen in ganz Europa werden KI, Deepfakes und Smishing mittlerweile als zentrale Themen hervorgehoben (zum Beispiel: ENISA - Förderung der Sicherheit in der digitalen Welt während des Europäischen Cybersicherheitsmonats).

Was wir in der Praxis sehen

Immer mehr Unternehmen berichten von Phishing-E-Mails, deren Sprachqualität nicht von echter interner Kommunikation zu unterscheiden ist - bis hin zu Signaturen und Standardformulierungen. Artikel wie diese TechRadar-Zusammenfassung beschreiben, wie KI-generierte Phishing-E-Mails jetzt sauberer und überzeugender aussehen als viele legitime E-Mails:
[TechRadar - KI macht Phishing-E-Mails viel überzeugender] (https://www.techradar.com/pro/security/ai-is-making-phishing-emails-far-more-convincing-with-fewer-typos-and-better-formatting-heres-how-to-stay-safe).

Jetzt handeln

  • Politik:
    • Verbanne Richtlinien wie "suche nach Rechtschreibfehlern" aus offiziellem Schulungsmaterial; sie sind mittlerweile aktiv irreführend.
  • Kontrolle:
    • Investiere in eine inhaltsbezogene Erkennung, die die Absicht, Links und Anhänge untersucht - nicht nur einfache Signaturen oder Blocklisten.
  • Bewusstsein:
    • Unterrichte stattdessen strukturelle Hinweise: unerwartete Dringlichkeit, ungewöhnliche Kanäle, Aufforderungen, den Prozess zu unterbrechen, oder Anmeldeseiten, die nicht dem normalen Ablauf entsprechen.

Trend 9: Data-warehouse & file-share pivot (Snowflake, Drive, SharePoint & friends)

Was ist neu im Jahr 2026

Datenzentrierte Systeme wie Snowflake, BigQuery, S3 Data Lakes und Kollaborationsplattformen speichern unglaubliche Mengen an Kunden- und Betriebsdaten.

Jüngste Untersuchungen des Snowflake-Datendiebstahls von 2024 zeigen, wie Angreifer gestohlene Anmeldeinformationen und Token verwendeten, um auf mehrere Kundenumgebungen zuzugreifen und groß angelegte Erpressungskampagnen zu starten, wie von Mandiant und Snowflake beschrieben: Google Cloud / Mandiant - UNC5537 zielt auf Snowflake Snowflake Leitfaden zur Bedrohungsjagd (PDF) Eine gute, anbieterneutrale Darstellung liefert auch die Cloud Security Alliance: Cloud Security Alliance - Unpacking the 2024 Snowflake data breach und der öffentliche Überblick auf Wikipedia gibt einen Überblick über die weitreichenden Auswirkungen: Wikipedia - Snowflake data breach

Für Angreifer sind diese Plattformen ein Traum:

  • Eine einzige kompromittierte Identität kann Zugang zu Millionen von Datensätzen verschaffen.
  • Daten können durch normal aussehende Abfragen unbemerkt exfiltriert werden.

Was wir in der Praxis sehen

Selbst kleinere Organisationen verlassen sich inzwischen auf Cloud-Data-Warehouses und gemeinsam genutzte Laufwerke für alles von CRM-Exporten bis hin zu HR-Berichten - oft mit Servicekonten und überprivilegierten Rollen, die niemand überprüft.

Jetzt handeln

  • Politik:
    • Behandeln Sie Datenplattformen als "Kronjuwelen " in Ihrem Risikoregister; verlangen Sie explizite Genehmigungen dafür, wer auf was zugreifen darf und warum.
  • Kontrolle:
    • Erzwinge SSO + MFA für alle Zugriffe; reduziere stehende Privilegien; überwache anomale Abfragen, Exporte und Downloads.
  • Awareness:
    • Beziehe Datenszenarien im großen Stil in die Schulung ein - die Mitarbeiter sollten wissen, dass ein kompromittiertes Analysekonto schlimmer sein kann als 100 Posteingänge.

Trend 10: Regulatorischer Druck → Auditierbare Awareness und Phishing-Programme

Was ist neu im Jahr 2026

Vorschriften wie die NIS2-Richtlinie (EU) legen die Messlatte für Governance, Risikomanagement und Mitarbeiterbewusstsein in vielen Branchen, auch in mittelständischen Unternehmen, deutlich höher.

Der Gesetzestext ist hier verfügbar:
https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng

Praktische Erklärungen machen die Erwartungen deutlicher:

Wichtige Themen:

  • Sicherheitsbewusstsein ist keine Option für Unternehmen im Geltungsbereich - die Regulierungsbehörden erwarten Beweise.
  • Vorstände und Leitungsgremien sind ausdrücklich für die Überwachung von Cyberrisiken verantwortlich.
  • Dokumentation ist wichtig: Richtlinien, Schulungsunterlagen und die Behandlung von Vorfällen müssen einer genauen Prüfung standhalten.

Was wir in der Praxis sehen

KMUs, die früher ein jährliches Dia-Deck führten, bemühen sich jetzt, strukturierte, wiederkehrende Phishing-Simulationen, Anwesenheitsnachweise und dokumentierte Folgemaßnahmen vorzuweisen - vor allem, wenn sie mit regulierten Kunden zu tun haben.

Hinweis: Dieser Artikel stellt keine Rechtsberatung dar. Erkundige dich immer bei deinem Rechts-/Compliance-Team, wie die NIS2 und die damit verbundenen Gesetze in deinem Land ausgelegt werden.

Jetzt handeln

  • Politik:
    • Lege eine formale Richtlinie zur Sicherheitsaufklärung und Phishing fest: Häufigkeit, Zielgruppen, Maßnahmen und Verantwortlichkeiten.
  • Kontrolle:
    • Implementiere eine Plattform, die Anonymisierungsoptionen, Opt-outs, wo nötig, und saubere Berichte bietet, die mit den Erwartungen des Betriebsrats und der GDPR übereinstimmen - zum Beispiel die datenschutzfreundlichen Modi, die im Anonymisierungsleitfaden von AutoPhish unter https://autophish.io/anonymization (oder einer entsprechenden URL in deinem Land) beschrieben sind.
  • Aufklärung:
    • Kommuniziere klar, dass es bei Phishing-Simulationen um Lernen, nicht um Bestrafung geht - eine No-Blamage-Kultur verbessert tatsächlich die Meldequote.

Was KMUs in diesem Quartal priorisieren sollten (90-Tage-Plan)

Du musst nicht alles auf einmal in Angriff nehmen. Hier ist ein realistischer 90-Tage-Fahrplan.

Wochen 1-4: Sichtbarkeit und schnelle Erfolge

  • Führe einen Basis-Phishing-Test mit einer breiten Benutzergruppe durch, um die Klick- und Melderaten zu verstehen.
  • Erstelle eine Übersicht über deine kritischen Geschäftsprozesse, die von Phishing betroffen sein könnten (Zahlungen, Personaländerungen, Fernzugriff, Datenexporte).
  • Aktiviere oder verschärfe MFA für alle Konten und priorisiere dabei Administratoren und externe Zugriffe.
  • Überprüfe E-Mail-Konnektoren/Relais und dokumentiere, welche Systeme als deine Domäne senden.

Wochen 5-8: Härtet risikoreiche Datenflüsse

  • Führe phishing-resistente MFA (FIDO2 / Passkeys) bei Finanz-, HR- und IT-Administratoren ein.
  • Implementiere die Grundregeln für die Zustimmung zu Apps: Deaktiviere die offene Zustimmung, wo es möglich ist, und lege eine Erlaubnisliste für Geschäftsanwendungen fest.
  • Aktualisiere BYOD- und Messaging-Richtlinien, einschließlich Regeln für QR-Logins und chatbasierte Genehmigungen.
  • Konfiguriere Sicherheitsbanner und Filter für steuer-, zuschuss- und zahlungsbezogene Nachrichten vor den bekannten Stoßzeiten.

Wochen 9-12: Nachhaltige, prüfbare Praktiken aufbauen

  • Gehe von einmaligen Tests zu einem wiederkehrenden Simulationsprogramm über (z.B. monatliche kleine Kampagnen + eine vierteljährliche "große").
  • Führe eine einfache Meldetaste in der Post ein und schule deine Mitarbeiter/innen darin, sie zu benutzen.
  • Dokumentiere dein Programm: Richtlinien, Zeitpläne, Anonymisierungseinstellungen und zusammenfassende Metriken - das hilft bei NIS2- und Kundenaudits.
  • Verbinde Phishing-Simulationen mit anderen Sicherheitsinitiativen (Incident Response Drills, Tabletop-Übungen, Anbieterbewertungen).

Wenn du im Jahr 2026 nichts anderes tust, wirst du mit der Umsetzung dieser Grundlagen vielen anderen voraus sein.

Wie AutoPhish hilft (ohne Buzzword-Bingo)

Tools reparieren die Kultur nicht auf magische Weise - aber sie können die richtigen Dinge einfacher und die falschen Dinge schwieriger machen.

AutoPhish wurde speziell für KMUs entwickelt, die modernes Phishing-Training benötigen, ohne sich in Vollzeit-SOCs zu verwandeln:

  • Führen Sie automatisierte, kalendergesteuerte Phishing-Kampagnen durch, die die oben genannten Trends widerspiegeln (Handy, QR, Zustimmungsbildschirme, BEC-ähnliche Köder).
  • Verwende privatsphärenfreundliche Modi und Anonymisierungsoptionen, die Betriebsräte und Datenschutzbeauftragte viel weniger nervös machen (siehe z. B. den öffentlichen Anonymisierungsleitfaden: AutoPhish Anonymisierungsleitfaden).
  • Erfülle Vorschriften wie NIS2, indem du saubere Prüfpfade bereitstellst: wer angesprochen wurde, wie die Kampagnen konfiguriert wurden und welche Verbesserungen sich daraus ergeben haben.
  • Kombiniere rollenbasierte Vorlagen (Finanzen, HR, Führungskräfte, IT) mit lokalisierten Inhalten, damit die Nutzer realistische, sprachlich passende Köder sehen.
  • Integriere Simulationen mit deinen bestehenden Schulungsinhalten, einschließlich Videos von Anbietern und deinen eigenen Awareness-Materialien.

Wenn du gerade dabei bist, Tools zu vergleichen, sieh dir unsere Vertiefungsthemen an:

FAQ: Phishing im Jahr 2026

Geht es beim Phishing immer noch hauptsächlich um E-Mails?

E-Mail ist nach wie vor ein wichtiger Vektor, aber URL- und Chat-basiertes Phishing hat die klassischen, auf Anhängen basierenden Angriffe überholt, und Smishing sowie QR-basierte Betrügereien nehmen stark zu. Die Zusammenfassungen der ENISA-Bedrohungslandschaft und die Branchenberichte liefern gute Daten zu diesem Trend: ENISA Threat Landscape overview ENISA Bedrohungslandschaft - Finanzsektor

Kann Phishing wirklich über Telefon oder WhatsApp passieren?

Ja. Telefonanrufe, Sprachnachrichten, SMS und Messaging-Apps werden alle für Vishing, Smishing und Chat-basiertes Phishing genutzt. Die Materialien der ENISA für den Europäischen Monat der Cybersicherheit befassen sich ausdrücklich mit Social Engineering, Smishing und Deepfakes: [ENISA - Förderung der Sicherheit in der digitalen Welt während des Europäischen Cybersicherheitsmonats] (https://www.enisa.europa.eu/news/promoting-security-in-the-digital-world-during-the-european-cybersecurity-month)

Sind Phishing-E-Mails eigentlich illegal?

In den meisten Gerichtsbarkeiten ist Phishing ein Betrug, Identitätsdiebstahl oder Computermissbrauch. Selbst wenn ein Phishing-Versuch fehlschlägt, kann das Versenden solcher Nachrichten gegen Gesetze zum unerlaubten Zugriff oder Datenmissbrauch verstoßen. Erkundige dich bei deinem Rechtsberater vor Ort nach den Einzelheiten, vor allem, wenn du interne Simulationen entwirfst.

Macht KI Phishing unaufhaltsam?

Nein - aber sie macht Low-Effort-Phishing qualitativ hochwertiger. Es geht nicht mehr nur darum, offensichtliche Rechtschreibfehler zu erkennen, sondern verdächtige Zusammenhänge, Anfragen und Abläufe zu erkennen. Berichte wie ENISA's "Emerging technologies make it easier to phish" und TechRadar's Überblick über AI-boosted phishing zeigen, wie sich sowohl Angreifer als auch Verteidiger anpassen: [ENISA - Neue Technologien machen Phishing einfacher] (https://www.enisa.europa.eu/news/emerging-technologies-make-it-easier-to-phish) TechRadar - KI macht Phishing-E-Mails immer überzeugender

Mit der richtigen Mischung aus Kontrollen, Kultur und kontinuierlichen Tests ist KI-gestütztes Phishing sehr gut zu bewältigen.

Wie oft sollten wir Phishing-Simulationen durchführen?

Für die meisten KMU ist das ein guter Ausgangspunkt:

  • Eine kleine Kampagne pro Monat (gezielte Themen, kleine Gruppen)
  • Eine größere, unternehmensweite Kampagne pro Quartal
  • Zusätzliche, ereignisorientierte Simulationen zur Steuersaison, zu großen Produkteinführungen oder zu anderen arbeitsintensiven Zeiten.

Das Wichtigste ist, dass sie vorhersehbar wiederkehrend und nicht strafend sind, damit die Leute sich engagieren, anstatt das System zu spielen.

Weitere Lektüre & Quellen

Hier sind einige seriöse Quellen, die beim Schreiben dieses Artikels verwendet wurden (alle mit vollständigen URLs):

Willst du wissen, wo du stehst?

Du brauchst keine Kristallkugel, um dich auf das Jahr 2026 vorzubereiten.

Führe diese Woche einen Phishing-Basistest durch, halte fest, was passiert, und entscheide, welcher der 10 oben genannten Trends für dein Unternehmen am wichtigsten ist. Wenn du dabei Hilfe brauchst, und zwar auf eine privatsphärefreundliche, betriebsratskompatible Art und Weise, kannst du jederzeit eine Testversion von AutoPhish starten.

Zurück zu allen Beiträgen

Bereit, deine menschliche Firewall zu stärken?

Melde dich an und starte deine erste Phishing-Simulation in wenigen Minuten.

Jetzt Simulation startenKontakt aufnehmen