Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > KI-gestützte Phishing-Angriffe überfordern herkömmliche E-Mail-Sicherheitslösungen: Was der Osterman-Research-Bericht für Unternehmen mit sensiblen Daten bedeutet

KI-gestützte Phishing-Angriffe überfordern herkömmliche E-Mail-Sicherheitslösungen: Was der Osterman-Research-Bericht für Unternehmen mit sensiblen Daten bedeutet

von Bob Ertl updated Februar 25, 2026 Cybersecurity-Risikomanagement
Lesezeit: 8 Minuten

Ihr E-Mail-Sicherheitsgateway schützt Sie nicht. Es vermittelt ein trügerisches Sicherheitsgefühl, während KI-gesteuerte Angriffe ungehindert durch die Eingangstür kommen.

Das ist das zentrale Ergebnis eines neuen Forschungsberichts von Osterman Research im Auftrag von IRONSCALES mit dem Titel Restoring Trust in Business Communications. Die Studie befragte 128 Entscheidungsträger im Bereich Cybersicherheit und kommt zu einem Urteil, das jedes Unternehmen, das vertrauliche Kundendaten verarbeitet – Steuerberatungsgesellschaften, Finanzdienstleister, Kanzleien, Gesundheitsdienstleister – dazu veranlassen sollte, die gesamte Strategie für sichere Kommunikation zu überdenken.

88 Prozent der Unternehmen erlebten in den vergangenen 12 Monaten mindestens einen Sicherheitsvorfall, der das Vertrauen in digitale Kommunikation erschütterte. Kein hypothetisches Risiko. Keine angenommene Schwachstelle. Eine dokumentierte Vorfallquote, die bestätigt, was viele Sicherheitsexperten bereits vermuten: Das Modell „Erkennen und Blockieren“ bei der E-Mail-Sicherheit ist gescheitert.

5 wichtige Erkenntnisse

  1. KI-gesteuertes Phishing hat das Modell „Erkennen und Blockieren“ ausgehebelt. Osterman Research stellte fest, dass 88 % der Unternehmen im vergangenen Jahr mindestens einen Sicherheitsvorfall erlebten, der das Vertrauen in digitale Kommunikation untergrub. KI-generiertes Phishing produziert heute Nachrichten mit perfekter Grammatik, kontextbezogenen Inhalten und überzeugender Nachahmung – klassische E-Mail-Sicherheitslösungen sind dafür nicht konzipiert. Das Erkennungsmodell funktioniert nicht, wenn an der Nachricht nichts Auffälliges zu erkennen ist.
  2. Deepfake-Angriffe sind Realität – und Sicherheitsteams sind nicht vorbereitet. 60 % der Cybersicherheitsentscheider haben wenig Vertrauen in ihre Fähigkeit, Deepfake-Angriffe abzuwehren. Angreifer kombinieren KI-generierte E-Mails mit Deepfake-Stimmen und -Videos von Führungskräften, um Überweisungen zu autorisieren und Prüfmechanismen zu umgehen. Security-Awareness-Trainings erweisen sich als wenig wirksam: 38 % bewerten sie bei Deepfake-Audio als nur mäßig effektiv oder schlechter, bei Deepfake-Video sind es 39 %.
  3. Finanzabteilungen sind das Hauptziel – und am wenigsten vorbereitet. 59 % der Unternehmen sehen Finanzabteilungen als Ziel mit hoher oder höchster Priorität. Ebenso viele äußern große Bedenken hinsichtlich der Verteidigungsbereitschaft dieser Teams gegen vertrauensbasierte Angriffe. Business Email Compromise verursacht durchschnittlich 125.000 US-Dollar Schaden pro Vorfall, und die Angriffe werden jedes Quartal ausgefeilter.
  4. Die Bedrohungskurve wurde zurückgesetzt – und das Schlimmste steht noch bevor. Unternehmen werden bereits in alarmierendem Tempo kompromittiert, doch die Befragten glauben, dass KI-gestützte Angriffe noch nicht ausgereift sind. 28 % sagen, KI-generiertes Phishing stehe erst am Anfang. Die aktuelle Kompromittierungsrate von 88 % ist das Minimum, nicht das Maximum.
  5. Unternehmen sind bereit, ihre gesamte Sicherheitsarchitektur auszutauschen. 70 % der Unternehmen halten die Erkennung von Deepfake-Audio-Imitationen für äußerst wichtig. 68 % sind bereit, ihren E-Mail-Sicherheitsanbieter komplett zu wechseln. 70 % würden sogar ihre gesamte Sicherheitstechnologie austauschen.

Die Bedrohungskurve wurde zurückgesetzt

„Die Bedrohungskurve wurde gerade zurückgesetzt“, sagt Michael Sampson, Principal Analyst bei Osterman Research. „Sogar scheinbar ‚gelöste‘ Angriffstypen wie Phishing und Business Email Compromise sind wieder unreif geworden. BEC-Angriffe im Jahr 2025 haben kaum noch Ähnlichkeit mit denen aus 2020 – sie sind heute hyperpersonalisiert, kanalübergreifend und lassen sich autonom im großen Stil ausführen.“

KI hat alle Erkennungsmerkmale eliminiert, auf die sich Mitarbeitende und Sicherheitssysteme bei der Identifizierung bösartiger E-Mails verlassen haben. Grammatikfehler? Verschwunden. Verdächtige Absenderadressen? Verschwunden. Allgemeine Formulierungen? Verschwunden. KI-generiertes Phishing erzeugt Nachrichten mit perfekter Syntax, kontextbezogenen Inhalten aus öffentlichen Quellen wie LinkedIn und Firmenwebsites und einer Personalisierung, die legitime Geschäftskommunikation in Ton und Formatierung nachahmt.

Traditionelle E-Mail-Sicherheitslösungen – Proofpoint, Mimecast, Barracuda, Microsoft 365 Advanced Threat Protection – basieren auf dem Modell „Erkennen und Blockieren“. Sie analysieren eingehende E-Mails anhand von Signaturdatenbanken, Reputationsbewertungen, Sandboxing und maschinellem Lernen, um bösartige Inhalte zu identifizieren, bevor sie im Posteingang landen. Wenn die Unterscheidungsmerkmale zwischen Phishing und legitimer E-Mail verschwinden, bricht das Erkennungsmodell zusammen.

Und die Raffinesse nimmt weiter zu. 28 % der Befragten sagen, KI-generiertes Phishing stehe erst am Anfang. 25 % sehen Deepfake-Audio-Angriffe noch in der Frühphase. Die aktuelle Kompromittierungsrate von 88 % tritt ein, bevor diese Angriffsvektoren ausgereift sind.

Sie vertrauen darauf, dass Ihr Unternehmen sicher ist. Aber können Sie es nachweisen?

Jetzt lesen

Deepfakes haben Vertrauen zur Waffe gemacht

KI-gesteuerte Angriffe beschränken sich längst nicht mehr auf E-Mails. Angreifer kombinieren Phishing-Mails mit Deepfake-Sprachanrufen und -Videos, um kanalübergreifende Imitationsangriffe zu starten, die alle traditionellen Verifikationsmethoden aushebeln.

Ein Mitarbeiter erhält eine E-Mail vom CEO mit der Bitte um eine dringende Überweisung. Die E-Mail wirkt authentisch. Der Mitarbeiter ruft zur Verifizierung an. Die Stimme am anderen Ende ist ein KI-generiertes Deepfake. Die Überweisung wird ausgeführt. Das Geld ist weg. Das ist keine Theorie. Es passiert bereits. Und 60 % der Cybersicherheitsentscheider haben wenig Vertrauen, dies verhindern zu können.

Security-Awareness-Trainings sind unzureichend. Fast jeder fünfte Sicherheitsverantwortliche hält Schulungen für unwirksam gegen KI-gestützte Bedrohungen. 38 % bewerten Trainings bei Deepfake-Audio nur als mäßig effektiv oder schlechter, bei Deepfake-Video sind es 39 %, bei KI-generiertem Phishing 43 %. Menschen lassen sich nicht darauf trainieren, Angriffe zu erkennen, die von legitimer Kommunikation nicht zu unterscheiden sind.

Finanzteams: Höchstwertiges Ziel, geringstes Vertrauen

59 % der Unternehmen sehen Finanzteams als Ziel mit hoher oder höchster Priorität für Angreifer. Ebenso viele äußern große Bedenken hinsichtlich der Verteidigungsbereitschaft dieser Teams gegenüber vertrauensbasierten Angriffen. Business Email Compromise, der sich gegen Finanzabteilungen richtet, verursacht laut FBI IC3 durchschnittlich 125.000 US-Dollar Schaden pro Vorfall – noch ohne regulatorische Bußgelder, Rechtskosten und Reputationsschäden.

Imitierte Anbieter nehmen rasant zu. Über 33 % der Unternehmen beobachteten im vergangenen Jahr, dass Angreifer sich als vertrauenswürdige Anbieter ausgaben, um Gelder oder Informationen zu stehlen. 13 % berichten von deutlichen Steigerungen gegenüber dem Vorjahr. Für Steuerberatungsgesellschaften, Finanzdienstleister und Kanzleien kann ein erfolgreicher Angriff auf ein Unternehmen, das Kundendaten verwaltet, Jahrzehnte an Vertrauensaufbau zerstören. Die Kombination aus hochattraktiven Zielen und geringer Verteidigungsbereitschaft ist genau die Lücke, die Angreifer ausnutzen.

Warum sich klassische E-Mail-Sicherheit nicht reparieren lässt

E-Mail wurde nie für Sicherheit entwickelt. SMTP ermöglicht Absender-Spoofing, bietet keine integrierte Authentifizierung und überträgt Daten über Kanäle, die abgefangen werden können. Jede E-Mail-Sicherheitslösung ist ein Flickwerk für ein Protokoll, das nie für diesen Zweck gebaut wurde.

Erkennung erfordert ein Signal. Wenn KI Phishing-E-Mails erzeugt, die grammatikalisch perfekt und strukturell identisch mit legitimen E-Mails sind, fehlt das Signal. Signaturbasierte Erkennung, Reputations- und Verhaltensanalysen setzen auf das Erkennen von Anomalien. KI-generierte Angriffe erzeugen keine Anomalien.

Reaktive Architekturen sind proaktiven Angreifern unterlegen. KI ermöglicht es Angreifern, für jeden Angriff einzigartige, polymorphe Varianten zu generieren und diese schneller im großen Stil zu verbreiten, als Anbieter ihre Erkennungsmodelle aktualisieren können.

Sampson bringt es auf den Punkt: „Klassische E-Mail-Schutzmaßnahmen sind zu grob, um die subtilen Anzeichen moderner KI-gestützter Angriffe zu erkennen.“

Vom Erkennen und Blockieren zum Verifizieren und Kontrollieren

Die Lösung erfordert ein grundlegendes Umdenken, wie Unternehmen mit sensibler Kommunikation umgehen. Anstatt in einem inhärent unsicheren Kanal nach bösartigen Inhalten zu suchen, braucht es eine Kommunikationsarchitektur, die den Angriffsvektor vollständig eliminiert – basierend auf Identitätsprüfung und Zugriffskontrolle statt Inhaltsinspektion.

Nur authentifizierte Kommunikation. Jede Nachricht erfordert eine verifizierte Absenderidentität durch Multi-Faktor-Authentifizierung und digitale Signaturen. Imitation von Führungskräften – die häufigste KI-Phishing-Taktik – wird unmöglich.

Out-of-Band-Verifizierung. Hochrisikotransaktionen erfordern Mehrparteienfreigabe über unabhängige Verifizierungskanäle. Selbst bei kompromittierten Zugangsdaten können Angreifer keine betrügerischen Transaktionen abschließen.

Ende-zu-Ende-verschlüsselte Kommunikation. Vertrauliche Daten werden über ein privates, verschlüsseltes Netzwerk mit TLS 1.3 und FIPS 140-3-validierter Kryptografie übertragen – niemals über SMTP-Protokolle.

Granulare Zugriffskontrollen. Datenzugriff erfolgt nach dem Need-to-know-Prinzip mit zeitlich begrenzten Berechtigungen, Gerätebeschränkungen und Geolokalisierungskontrollen.

Vollständige Audit-Trails. Jede Aktion wird für Compliance-Nachweise, Anomalieerkennung und forensische Untersuchungen protokolliert.

Was das für Unternehmen mit sensiblen Kundendaten bedeutet

Steuerberatungen und Wirtschaftsprüfungsgesellschaften sind Ziel von KI-Phishing rund um die Steuersaison – gefälschte IRS-Kommunikation, Identitätsdiebstahl von Mandanten, W-2-Diebstahl. Ein sicheres Kundenportal mit authentifizierten, verschlüsselten Kanälen eliminiert E-Mail als Angriffsvektor. Mandantenidentitätsprüfung durch MFA, Freigabe-Workflows für risikoreiche Anfragen und vollständige Audit-Trails liefern Nachweise für Berufshaftung und IRS Publication 4557 Compliance.

Finanzdienstleister sind Ziel von KI-gestütztem CEO-Betrug und Kundenimitation mit regulatorischem Risiko durch DSGVO, DORA, NIS2 und PCI DSS. Verifizierte Kundenkommunikation, Mehrparteienfreigaben und integrierte Compliance-Kontrollen erfüllen verschiedene Vorgaben auf einer Plattform.

Kanzleien und professionelle Dienstleister sind Ziel von Anwaltsimitation und Diebstahl privilegierter Informationen. Verschlüsselte, authentifizierte Kommunikation wahrt das Anwaltsgeheimnis. Informationsbarrieren sichern ethische Trennwände. Audit-Trails dokumentieren die Chain of Custody für Gerichtsverfahren und regulatorische Prüfungen.

Gesundheitsorganisationen sind Ziel von Patientenimitation, Betrug durch Leistungserbringer und HIPAA-Verstößen durch E-Mail-Lecks. HIPAA-konforme verschlüsselte Kanäle, Patientenidentitätsprüfung durch MFA und sichere Kommunikation mit Leistungserbringern eliminieren E-Mail als Übertragungsweg für PHI.

Kiteworks: Zero-Trust-Kommunikation, die den Angriffsvektor eliminiert

Genau dieses Problem löst das Private Data Network von Kiteworks.

Kiteworks versucht nicht, KI-Phishing in E-Mails zu erkennen. Es bietet eine grundlegend andere Kommunikationsarchitektur, die den Angriffsvektor vollständig eliminiert. Anstatt in einem unsicheren Protokoll nach bösartigen Inhalten zu suchen, verifiziert Kiteworks Identitäten und kontrolliert Zugriffe, bevor Kommunikation überhaupt stattfindet.

Sichere E-Mail-Gateways wie Proofpoint, Mimecast und Barracuda setzen auf die Erkennung bösartiger Inhalte – ein Ansatz, der scheitert, wenn KI-generierte Angriffe keine erkennbaren Anomalien mehr aufweisen. Microsoft 365 Advanced Threat Protection bleibt im Modell „Erkennen und Blockieren“ gefangen. Security-Awareness-Trainings setzen auf menschliches Urteilsvermögen gegen Angriffe, die nicht von legitimer Kommunikation zu unterscheiden sind. Kiteworks ersetzt alle drei durch eine Verify-and-Control-Architektur, bei der alle nicht authentifizierten Kommunikationen standardmäßig blockiert werden.

Für CISOs ist es die zero-trust-Kommunikationsarchitektur, die Imitationsangriffe verhindert. Für CFOs ist es das Kontrollframework, das BEC-Vorfälle in Höhe von 125.000 US-Dollar verhindert, bevor sie entstehen. Für Compliance-Beauftragte ist es der Audit-Trail, der Aufsichtsbehörden überzeugt, wenn 82 % der Unternehmen ein gesteigertes Interesse von Angreifern an der Ausnutzung vertrauenswürdiger Kommunikation melden.

Das Zeitfenster schließt sich

KI-gestützte Angriffe haben 88 % der Unternehmen kompromittiert. Die Angriffe sind noch nicht ausgereift. Deepfake-Fähigkeiten stehen noch am Anfang. Klassische E-Mail-Sicherheitslösungen können nicht mithalten, und Security-Awareness-Trainings können Bedrohungen, die unsichtbar bleiben, nicht kompensieren.

Unternehmen, die jetzt auf eine zero-trust-Kommunikationsarchitektur umstellen, eliminieren den E-Mail-Angriffsvektor, schützen vertrauliche Kundendaten und bewahren das Vertrauen, auf dem ihr Geschäft basiert. Wer zögert, wird die Lücke durch den nächsten KI-Angriff entdecken, den die bisherigen Tools nicht verhindern können.

E-Mail ist für sensible Geschäftskommunikation nicht mehr vertrauenswürdig. Die Frage ist, ob Ihr Unternehmen rechtzeitig auf eine sichere Alternative umsteigt, bevor der nächste Angriff die Lücke nutzt, die Ihre aktuellen Tools nicht schließen können.

Erfahren Sie, wie Kiteworks Sie unterstützen kann – vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Der Osterman-Research-Bericht Restoring Trust in Business Communications ergab, dass 88 % der Unternehmen in den vergangenen 12 Monaten mindestens einen Sicherheitsvorfall erlebten, der das Vertrauen in digitale Kommunikation untergrub. Die Studie befragte 128 Cybersicherheitsentscheider und stellte fest, dass 82 % ein erhöhtes Interesse von Angreifern an der Ausnutzung vertrauenswürdiger Kommunikation melden, während 60 % wenig Vertrauen in die Abwehr von Deepfake-Angriffen haben. Klassische E-Mail-Sicherheitslösungen nach dem Modell „Erkennen und Blockieren“ scheitern an KI-Phishing, Deepfake-Imitationen und kanalübergreifenden Social-Engineering-Angriffen.

Klassische E-Mail-Sicherheitslösungen von Proofpoint, Mimecast und Barracuda arbeiten nach dem Modell „Erkennen und Blockieren“ und setzen auf das Erkennen von Anomalien – Grammatikfehler, verdächtige Absenderadressen, bekannte bösartige Signaturen. KI-generiertes Phishing eliminiert diese Signale durch Nachrichten mit perfekter Grammatik, kontextbezogenen Inhalten und überzeugender Personalisierung. Gibt es keinen erkennbaren Unterschied zwischen Phishing und legitimer E-Mail, versagt das Erkennungsmodell. Das SMTP-Protokoll verschärft das Problem durch Absender-Spoofing und fehlende Authentifizierung. Das Kiteworks Email Protection Gateway setzt stattdessen auf das Modell „Verifizieren und Kontrollieren“, bei dem nicht authentifizierte Kommunikation standardmäßig blockiert wird.

Branchen, die mit sensiblen personenbezogenen und finanziellen Informationen arbeiten, sind am stärksten gefährdet: Steuerberatungen und Wirtschaftsprüfungsgesellschaften werden während der Steuersaison mit gefälschten IRS-Kommunikationen und Mandantenimitationen angegriffen; Finanzdienstleister sind Ziel von KI-gestütztem CEO-Betrug und Kundenimitation mit regulatorischem Risiko durch DSGVO, DORA und PCI DSS; Kanzleien sind Ziel von Anwaltsimitation und Diebstahl privilegierter Informationen; Gesundheitsorganisationen sind Ziel von Patientenimitation und HIPAA-Verstößen. Der Osterman-Bericht zeigt: Finanzteams sind das wichtigste Angriffsziel, 59 % der Unternehmen sehen sie als Ziel mit hoher oder höchster Priorität.

Kiteworks bietet eine zero-trust-Kommunikationsarchitektur, die den E-Mail-Angriffsvektor eliminiert. Jede Kommunikation erfordert eine authentifizierte Absenderidentität durch MFA und digitale Signaturen, wodurch Imitation von Führungskräften unmöglich wird. Vertrauliche Daten werden über ein verschlüsseltes privates Netzwerk mit TLS 1.3 und FIPS 140-3-validierter Kryptografie übertragen – nie über anfällige SMTP-Protokolle. Granulare Zugriffskontrollen, zeitlich begrenzte Berechtigungen und Mehrparteienfreigaben verhindern Business Email Compromise. Vollständige Audit-Trails liefern Compliance-Nachweise und ermöglichen forensische Untersuchungen.

Proofpoint, Mimecast und Barracuda sind sichere E-Mail-Gateways, die bösartige E-Mails mit KI/ML, Sandboxing und Reputationsanalysen erkennen und blockieren. Dieser Ansatz scheitert an KI-generiertem Phishing, das keine erkennbaren Anomalien mehr aufweist. Kiteworks verfolgt einen grundlegend anderen Ansatz mit einer zero-trust-Kommunikationsarchitektur, die Identitäten verifiziert, bevor Kommunikation zugelassen wird. Nicht authentifizierte Kommunikation wird standardmäßig blockiert. Vertrauliche Daten werden über Ende-zu-Ende-verschlüsselte private Netzwerke übertragen, nicht über SMTP. Das Ergebnis ist ein proaktives Modell, das nicht auf die Erkennung von Bedrohungen angewiesen ist, die gezielt unerkennbar gemacht werden.

Weitere Ressourcen

  • Blogbeitrag Zero Trust Architecture: Never Trust, Always Verify
  • Video Microsoft GCC High: Nachteile, die Verteidigungsunternehmen zu intelligenteren Lösungen bewegen
  • Blogbeitrag Wie man klassifizierte Daten schützt, nachdem DSPM sie erkannt hat
  • Blogbeitrag Vertrauen in generative KI mit einem Zero-Trust-Ansatz aufbauen
  • Video Der definitive Leitfaden für die sichere Speicherung sensibler Daten für IT-Leiter

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks