Phishing bleibt der häufigste Einstiegspunkt bei Cyberangriffen. Wer heute über Security-Maßnahmen nachdenkt, kommt daher an Awareness nicht vorbei. Doch was früher als lästige Pflichtübung in Form eines jährlichen E-Learnings galt, hat sich weiterentwickelt und ist inzwischen ein wichtiger Verteidigungsmechanismus gegen Angriffe, die inzwischen überwiegend KI-unterstützt stattfinden.
Häufig werden Angriffe erst bemerkt, wenn es zu spät ist. Unternehmen werden zwar zunehmend digitaler und integrieren Künstliche Intelligenz (KI) in Geschäftsprozesse, sie bieten damit aber mehr Angriffsflächen. Angreifer agieren technologisch auf Augenhöhe, auch sie setzen längst auf KI. Sie attackieren nicht mehr nur per E-Mail, sondern nutzen alle digitalen Kanäle wie beispielsweise Social Media und Messenger, SMS, LinkedIn-Anfragen oder Slack. Trainingsmaßnahmen müssen jede dieser Plattformen abdecken und dafür sensibilisieren, dass Angriffe plattformübergreifend stattfinden. Denn nach wie vor wird Phishing als häufigste Angriffsform genannt: Laut der Studie „Cybersecurity 2025“ des TÜV-Verbands berichteten dies 84 Prozent der betroffenen Unternehmen. Ein Anstieg um zwölf Prozentpunkte im Vergleich zum Vorjahr. Die meisten davon sollen demnach mittels KI generiert worden sein.
Schon 2024 wurden in Deutschland 37,5 Millionen Phishing-Versuche erkannt und abgewehrt, meldet der Sicherheitsanbieter Kaspersky. Das entspricht einem Plus von 15,7 Prozent gegenüber dem Vorjahr. Doch immerhin haben es 2,6 Millionen schädliche E-Mail-Anhänge in deutsche Postfächer geschafft. Im laufenden Jahr dürften täglich rund 3,4 Milliarden Phishing-E-Mails verschickt werden, schätzt das SQ-Magazine.
Perfektion durch KI
Während Phishing einst als plumpe Masche leicht zu entlarven war, hat sich das durch KI radikal verändert und wird deutlich raffinierter. Personalisiert und sprachlich perfekt sind sie schwer zu unterscheiden von echten Nachrichten. KI-generierte Mails sind so überzeugend, dass selbst geschulte Mitarbeiter darauf hereinfallen. Klassische Awareness-Muster wie der kritische Blick auf die Absenderadresse reichen nicht mehr aus. Zudem zeigen Analysen, dass viele Angreifer auf vorgefertigte Werkzeugsätze, sogenannte Phishing-Toolkits zurückgreifen. Diese versetzten auch technisch weniger versierte Personen in die Lage, automatisiert massenhaft täuschend echte Phishing-Mails und -Websites zu generieren.
Awareness-Trainings müssen sich an die durch den Einsatz von KI veränderte Lage anpassen. Das bedeutet, weiterhin alte Muster erkennen, aber auch neue erkennen lernen. Damit Awareness-Maßnahmen wirklich greifen, müssen Unternehmen Sensibilisierungskampagnen dauerhaft in ihre Prozesse integrieren, dazu zählen regelmäßige, realistische Trainings und Phishing-Simulationen. Inhalte sollten an neue Bedrohungsformen wie KI-gestützte Angriffe und plattformübergreifende Phishing-Versuche angepasst werden. Es braucht eine Sicherheitskultur, bei der Mitarbeiter und Mitarbeiterinnen permanent aufmerksam und kritisch sind. Insbesondere sollen sie Warnsignale für die neuen Formen entwickeln.
Wirksame Awareness sieht heute anders aus
Laut einem Bericht des Anbieters von Awareness-Kampagnen, KnowBe4, reduzieren kontinuierliche Schulungen die Bereitschaft, auf Phishing zu klicken, innerhalb von zwölf Monaten um 86 Prozent. Allerdings trifft dies nur zu, wenn die Maßnahmen regelmäßig durchgeführt werden. Bei konsequenter Wiederholung und Aktualisierung von Trainings kann Awareness also nachhaltige Verhaltensänderungen bewirken.
Entscheidend dafür ist ein zeitgemäßes Trainingsdesign, das auf Verhalten, Erkennungsmustern, situativem Denken und realen Simulationen basiert. Gleichzeitig muss es auf aktuelle Methoden von KI-Phishing angepasst sein, insbesondere auf die künstliche Erzeugung von Emotionen. Dazu zählen Dringlichkeit, Autorität, Sympathie, Angst und Belohnungsversprechen. Awareness-Trainings müssen entsprechende psychologische Muster vermitteln: Auf eine Nachricht, die Stress, Druck oder Euphorie auslöst, sollte mit erhöhter Wachsamkeit reagiert werden. Denn solche Wirkungen sind zuverlässige Warnsignale. Effektive Trainings müssen genau diese emotionale Wirkung anstreben. Sie sollten dazu dieselben Technologien nutzen wie die Angreifer und mit generativer KI täuschend echte Phishing-Mails mit variierenden Schreibstilen und Tonalitäten erzeugen. Die Simulation sollte auf allen für Angreifer relevanten Plattform umgesetzt werden. So sollen Mitarbeiter und Mitarbeiterinnen lernen, auf inhaltliche Ungereimtheiten statt ästhetische Hinweise zu achten. Dabei sollten sie sich fragen, ob die Anfrage im fachlichen Kontext überhaupt sinnvoll ist oder gegebenenfalls der Zeitpunkt der Nachricht völlig unpassend gewählt wurde. Auch der gewählte Ton kann Hinweise liefern, wenn dieser nicht wirklich zur betreffenden Person passt. Wird etwa untypisch hoher Druck ausgeübt oder um ungewöhnliche Daten gebeten, sollten die Alarmglocken läuten.
Was bei Awareness-Angeboten entscheidend ist
Moderne Awareness-Programme können sich automatisch auf die Zielpersonen anpassen. Wer beispielsweise häufig auf Simulationen hereinfällt, erhält andere Inhalte als erfahrene Nutzer. Wer in der Buchhaltung arbeitet, bekommt andere Szenarien als jemand aus der IT. Zudem steigt die Schwierigkeit, wenn Nutzer nach mehreren Trainingsmaßnahmen sicherer werden. So wird die kognitive Flexibilität geschult und die Fähigkeit gefördert, nicht nur E-Mails zu lesen, sondern deren Absichten zu hinterfragen.
Die Erfahrung hat gezeigt, dass Kontinuität wichtiger ist als der Umfang der Schulungsmaßnahmen. Anbieter empfehlen dazu beispielsweise monatliche Mikrotrainings mit einem Umfang von 5–10 Minuten und quartalsweise Simulationen, ergänzt durch jährliche Vertiefungsmodule.
Unternehmen bleiben jedoch gefordert, klare Meldeprozesse zu schaffen. Es darf nicht sein, dass ein Mitarbeiter zwar eine verdächtige Nachricht erkennt, aber nicht weiß, was zu tun ist. Häufig werden daher Melde-Buttons in E-Mailclients oder spezielle Meldeadressen eingesetzt. Wichtig für den Lernprozess ist auch ein Feedback mit dem Resultat der Analyse, also ob es sich um einen Angriff gehandelt hat oder nicht. Eine Awareness-Kultur erfordert positive Verstärkung mit einem Dank für die Meldung. Schuldzuweisung gelten als kontraproduktiv.
Wer heute nicht aufmerksam ist, nimmt ein unnötiges Risiko in Kauf, sei es für persönliche Daten, Firmengeheimnisse oder die digitale Infrastruktur. Wer hingegen aufmerksam agiert, kann ein entscheidender Teil der Cyberabwehr sein. Denn Cybersecurity-Awareness ist keine Option, sondern Grundlage von IT-Sicherheit.
