Stellen Sie sich vor, Sie erhalten einen Anruf von Ihrem IT-Support. Die Stimme klingt vertraut, der Name stimmt, das Anliegen klingt dringend. Am Ende des Gesprächs haben Sie einen Link geöffnet — und jemand anderem Zugang zu Ihrem Firmennetzwerk verschafft. Kein Virus, keine Schadsoftware, kein verdächtiger Anhang. Nur ein Gespräch. Genau das ist das Kernproblem im Jahr 2026 — und genau deshalb greifen viele klassische Abwehrmaßnahmen ins Leere. Der Angriff beginnt nicht mit dem Code, sondern mit der Psychologie.
Zahlen, die den Wandel zeigen
Laut Mandiant’s M-Trends 2026 Report, der auf über 500.000 Stunden Incident-Response-Arbeit basiert, ist Voice Phishing mittlerweile der häufigste Social-Engineering-Vektor — noch vor den klassischen Phishing-E-Mails. Das E-Mail-Phishing machte zuletzt nur noch 6 % der bestätigten Erstzugriffe aus, während Voice Phishing auf 11 % gestiegen ist — bei den Cloud-Kompromittierungen sogar auf 23 %.
Täglich werden rund 3,4 Milliarden Phishing-E-Mails verschickt. Ein Empfänger klickt im Median innerhalb von 21 Sekunden auf einen schädlichen Link. Der jährliche globale Schaden durch Phishing wird auf 25 Milliarden US-Dollar geschätzt. Diese Geschwindigkeit macht Prävention schwierig — wer nicht reflexartig skeptisch reagiert, hat oft keine Chance. Doch die reine Menge ist nicht das eigentliche Problem. Es ist die Qualität und die zunehmende Personalisierung der Angriffe.
Warum Angriffe heute schwerer zu erkennen sind
Der entscheidende Wandel liegt nicht in der Technologie — er liegt im Verhalten der Angreifer. Pretexting — also das Erfinden glaubwürdiger Szenarien, um Opfer zur Preisgabe sensibler Daten zu bringen — macht inzwischen 50 % aller Social-Engineering-Angriffe aus. Das ist fast doppelt so viel wie im Vorjahr und markiert das erste Mal, dass Pretexting das klassische Phishing als häufigste Methode überholt hat.
Die Angreifer investieren heute gezielt Zeit in ihre Opfer — sie lesen LinkedIn-Profile, beobachten die Kommunikationsmuster und bauen über Wochen das Vertrauen auf, bevor sie zuschlagen. Verizon’s Data Breach Investigations Report hält fest, dass der Trend zur personalisierten Täuschung schon länger anhält, als KI-Tools verfügbar sind — was zeigt, dass menschliches Geschick beim Aufbau von Vertrauen der eigentliche Treiber ist, nicht die Automatisierung allein.
Die bekanntesten Angriffsmethoden im Überblick:
| Methode | Beschreibung | Wachstum |
| Vishing | Telefonbetrug mit echter oder geklonter Stimme | +442 % (H2 2024) |
| Smishing | Phishing per SMS | +40 % Jahr-über-Jahr |
| Pretexting | Erfundene Szenarien zur Vertrauensgewinnung | 50 % aller Angriffe |
| Quishing | QR-Code-basiertes Phishing | +400 % (2025) |
| BEC | CEO-Imitation per kompromittierter E-Mail | +54 % Volumen H1 2025 |
Die Rolle von KI — nüchtern betrachtet
KI wird in der Diskussion oft zum Hauptschuldigen erklärt. Das ist nur teilweise berechtigt. Bis November 2025 waren weniger als 5 % der Phishing-Angriffe KI-generiert. Im Dezember 2025 änderte sich das abrupt — ein 14-facher Anstieg KI-generierter Phishing-Attacken wurde verzeichnet, ein Trend, der sich 2026 fortsetzt.
Was KI konkret verändert: 92 % der sogenannten polymorphen Phishing-Kampagnen in 2024 wurden mit KI-Unterstützung erstellt. Dabei werden Hunderte leicht abgewandelte Versionen derselben Nachricht generiert, was die klassischen Spam-Filter wirkungslos macht.
Besonders gefährlich ist die Kombination aus Deepfake-Stimmen und einer gezielten Recherche über Social Media. KI-Sprachklonierung ermöglicht es heute, die Stimme einer Person aus nur drei Sekunden Audiomaterial zu imitieren. Ein Anruf vom vermeintlichen Chef, der eine dringende Überweisung anweist, klingt damit täuschend echt — und hinterlässt keinerlei digitale Spuren, die auf einen Angriff hinweisen würden.
Wo Menschen besonders anfällig sind
Die Online-Plattformen, die mit Bonusangeboten oder Belohnungen werben, sind ein häufig genutzter Köder. Die Nutzer, die etwa nach einem Slotoro Bonus ohne Einzahlung suchen, landen mitunter auf gefälschten Seiten, die seriöse Marken imitieren und zur Eingabe von Zugangsdaten auffordern — oft kaum vom Original zu unterscheiden. Das Muster ist dabei immer ähnlich: Dringlichkeit, vertrautes Design, ein attraktives Versprechen, das zum schnellen Handeln verleitet, ohne dass man die URL genauer prüft.
Microsoft bleibt die meistimitierte Marke weltweit — gefolgt von Facebook, Roblox, McAfee und Steam. Der Trend zeigt klar in Richtung Gaming- und Social-Plattformen, deren Nutzer oft weniger wachsam sind als in rein professionellen Kontexten.
Was Unternehmen und Privatpersonen konkret tun können
Technische Maßnahmen allein reichen nicht aus, solange das menschliche Urteilsvermögen die letzte Verteidigungslinie bleibt. Regelmäßiges Sicherheitstraining reduziert die Klickrate auf Phishing-Links nachweislich um bis zu 86 % innerhalb von zwölf Monaten — vorausgesetzt, es wird szenariobasiert durchgeführt und nicht als einmaliges Pflichtmodul abgehakt.
Die wirksamsten Gegenmaßnahmen:
- Phishing-resistente MFA (FIDO2/Passkeys) — schützt auch bei gestohlenen Zugangsdaten
- Rückruf-Protokolle bei Anfragen zu Geldtransfers oder Zugangsdaten — immer über eine bekannte, unabhängige Nummer
- Verifikationscodewörter für telefonische Hochwerttransaktionen im Unternehmenskontext
- Regelmäßige Simulationen — nicht nur per E-Mail, sondern auch Vishing- und Smishing-Szenarien
- Patch-Management — veraltete Software bleibt ein bevorzugtes Einfallstor, das durch Social Engineering ausgenutzt wird
Vertrauen als Angriffsfläche
Was 2026 deutlicher wird als je zuvor: Die Schwachstelle ist nicht das System, sondern das Vertrauen. Angreifer kopieren exakt das Verhalten, das in einer Organisation oder im Alltag als normal gilt — und schlüpfen dann gezielt in die Lücken, die dabei entstehen. Viele dieser Angriffe hinterlassen keinerlei Malware-Spuren. Sie funktionieren, weil jemand eine Anfrage für legitim gehalten hat.
Wer das versteht, begreift auch, warum technische Schutzmechanismen allein nicht reichen. Gesundes Misstrauen gegenüber unerwarteten Anfragen — egal über welchen Kanal sie ankommen — bleibt die wirkungsvollste und am häufigsten unterschätzte Verteidigung gegen Social Engineering in all seinen modernen Formen.
