Phishing und Social Engineering in 2026: Warum Vertrauen kein Sicherheitskonzept ist

Phishing war lange leicht zu erklären: Eine verdächtige E-Mail enthält Rechtschreibfehler, eine merkwürdige Absenderadresse und einen Link, den man besser nicht anklickt. Diese Regeln sind nicht falsch. Im Jahr 2026 reichen sie aber nicht mehr aus. Moderne Angriffe wirken professionell, nutzen echte Informationen über Unternehmen und Beschäftigte, wechseln zwischen E-Mail, Chat, SMS, Telefon und Video und können sich mit Hilfe generativer KI in Echtzeit an die Reaktion eines Opfers anpassen. Die entscheidende Frage lautet deshalb nicht mehr nur: "Ist diese Nachricht echt?" Sondern: "Ist der verlangte Vorgang über einen vertrauenswürdigen, unabhängig geprüften Prozess abgesichert?"

Phishing bezeichnet das Abfangen und missbräuchliche Verwenden von Daten über gefälschte Internetadressen, E-Mails oder SMS. Social Engineering geht weiter: Menschen werden gezielt manipuliert, damit sie Informationen preisgeben, Zugänge eröffnen oder sicherheitsrelevante Handlungen ausführen. Die Angreifenden versuchen dabei typischerweise, unbemerkt zu bleiben und Vertrauen, Autorität, Hilfsbereitschaft, Zeitdruck oder Neugier auszunutzen. Öffentliche Informationen aus sozialen Netzwerken, Unternehmenswebseiten und beruflichen Plattformen liefern dafür das notwendige Material.

Nachrichten über vermeintlich bekannte Dienste und präparierte Anhänge gehören ebenso dazu wie gefälschte Zahlungsaufforderungen, Microsoft- oder Teams-Einladungen, täuschend ähnliche Absenderdomains und manipulierte Webadressen. Einzelne Auffälligkeiten sind weiterhin hilfreich, etwa ungewöhnliche Domains, unpersönliche Anreden, Druck oder undurchsichtige Links. Sie zeigen aber auch, wie schnell eine professionell gestaltete Nachricht plausibel wirken kann.

Dies alles ist kein Randphänomen. Der Verizon 2025 Data Breach Investigations Report beruht auf mehr als 22.000 untersuchten Sicherheitsvorfällen und über 12.000 bestätigten Datenschutzverletzungen aus 139 Ländern. Der menschliche Faktor war bei rund 60 Prozent der untersuchten Datenpannen beteiligt. Für die Region Europa, Naher Osten und Afrika tauchte Phishing bei 19 Prozent aller bestätigten Datenpannen auf. Die Zahlen zeigen: Social Engineering ist kein Problem einzelner unvorsichtiger Beschäftigter, sondern ein struktureller Angriffsweg.

Die verbreitete Empfehlung, auf Rechtschreibfehler und holprige Formulierungen zu achten, stammt aus einer Zeit, in der viele Kampagnen massenhaft und mit geringer Qualität versendet wurden. Generative KI kann heute fehlerfreie, stilistisch passende und kontextbezogene Texte erzeugen. KI-gestütztes Social Engineering wird dabei mit zu den größten Cyberbedrohungen gezählt: Angriffe werden hyperpersonalisiert, nutzen Deepfakes und autonome KI-Agenten, kommunizieren multimodal und passen ihre psychologische Strategie laufend an die Situation an.

Damit fallen mehrere vertraute Warnsignale weg. Eine Nachricht kann grammatikalisch perfekt sein. Sie kann den üblichen Ton einer Führungskraft imitieren, reale Projekte oder Abwesenheiten erwähnen und aus einem kompromittierten echten Konto stammen. Auch Stimme und Videobild sind nicht mehr automatisch Identitätsnachweise. Wer lediglich prüft, ob eine E-Mail "professionell aussieht", prüft nur die Qualität der Täuschung, nicht aber die Berechtigung des Vorgangs.

Auch die Regel "Bei unbekannten Absendern vorsichtig sein" greift zu kurz. Social Engineering lebt gerade davon, als bekannter Dienstleister, Kollegin, Vorgesetzter oder IT-Support aufzutreten. Wertvolle Ausgangsdaten für Angreifer sind beispielsweise Telefon- und Mitarbeiterlisten, Organigramme, Hierarchiestrukturen, Dienstleister, Urlaubspläne, Prozessbeschreibungen und Informationen über Zugangskontrollen. Je mehr dieser Kontext öffentlich oder leicht zugänglich ist, desto glaubwürdiger kann die Legende aufgebaut werden.

Hinzu kommt, dass selbst Mehr-Faktor-Authentifizierung kein vollständiger Schutz ist. Der Verizon 2025 Data Breach Investigations Report hebt das sogenannte Prompt Bombing hervor, bei dem folgendes geschieht: Die Angreifer haben bereits das Passwort des Opfers gestohlen oder auf anderem Wege erlangt. Sie versuchen nun, sich einzuloggen. Betroffene werden daraufhin so lange mit Anmeldebestätigungen bombardiert, bis sie eine Anfrage aus Gewohnheit, Stress oder Versehen freigeben.  Die Diese Technik war in 14 Prozent der untersuchten Social-Engineering-Vorfälle sichtbar. Weitere Umgehungstechniken wie Adversary-in-the-Middle, Passwortdiebstahl oder SIM-Swapping ergänzen das Angriffsspektrum. Die Konsequenz lautet nicht, MFA abzuschaffen, sondern phishing-resistente Verfahren und robustere Freigabeprozesse einzusetzen.

Eine ältere, aber weiterhin aufschlussreiche Dell-Studie (Dell End-User Security Survey 2017) macht den organisatorischen Kern des Problems sichtbar. 72 Prozent der befragten Beschäftigten waren unter bestimmten Umständen bereit, sensible oder regulierte Unternehmensinformationen weiterzugeben. 43 Prozent nannten eine Anweisung des Managements als möglichen Grund, 23 Prozent ein vermeintlich geringes Risiko bei hohem Nutzen und 22 Prozent eine effizientere Aufgabenerledigung. Mehr als ein Drittel öffnete häufig E-Mails unbekannter Absender. Die Erhebung stammt aus dem Jahr 2017 und ist daher nicht als aktuelle Quote zu lesen. Sie beschreibt jedoch einen bis heute relevanten Konflikt: Beschäftigte sollen gleichzeitig produktiv, hilfsbereit, kundenorientiert und sicher handeln.

Genau diesen Konflikt nutzen Angreifende. Sie erzeugen eine Situation, in der eine Sicherheitsregel als Hindernis erscheint: Die Rechnung müsse sofort bezahlt, der Zugang dringend zurückgesetzt, die vertrauliche Liste noch vor dem Termin gesendet oder die angebliche Geschäftsführung auf Reisen unterstützt werden. Dell stellte fest, dass unsicheres Verhalten häufig nicht böswillig motiviert war. 24 Prozent wollten schlicht ihre Arbeit erledigen; 18 Prozent wussten nicht, dass ihr Verhalten unsicher war. Selbst verpflichtende Schulungen verhinderten Umgehungsverhalten nicht vollständig.

Deshalb ist die Formulierung "Der Mensch ist das schwächste Glied" wenig hilfreich. Sie verschiebt die Verantwortung auf Einzelpersonen, obwohl unsichere Abläufe, unklare Zuständigkeiten, komplizierte Werkzeuge und eine Kultur permanenter Dringlichkeit den Angriff erst erfolgreich machen können. Klassische Awareness bleibt wichtig, darf aber nicht die einzige Schutzschicht sein.

Der Verizon-Bericht liefert einen differenzierten Befund: Personen mit aktuellem Phishing-Training meldeten simulierte Angriffe mit rund 21 Prozent deutlich häufiger als Personen ohne aktuelles Training, deren Basisrate bei etwa 5 Prozent lag. Beim Klickverhalten war der zusätzliche Effekt dagegen nur gering; im Median klickten weiterhin 1,5 Prozent der Teilnehmenden auf simulierte Phishing-Inhalte. Schulungen verbessern also insbesondere die Erkennung und Meldung. Sie beseitigen aber weder Zeitdruck noch perfekte Täuschungen, kompromittierte Konten oder technische Umgehungsmethoden.

Wirksame Awareness muss deshalb kontinuierlich, rollenbezogen und realitätsnah sein. Eine Buchhaltung braucht andere Übungen als der IT-Support, die Personalabteilung oder die Geschäftsführung. Szenarien sollten nicht nur E-Mails, sondern auch Chatnachrichten, Anrufe, Videokonferenzen und MFA-Abfragen umfassen. Entscheidend ist außerdem eine positive Meldekultur: Wer einen Verdacht oder einen Fehlklick früh meldet, verhindert möglicherweise einen größeren Schaden und darf nicht mit Beschämung rechnen.

1. Vertrauen durch Prozesse ersetzen. Zahlungsanweisungen, Änderungen von Bankdaten, Passwortzurücksetzungen, neue Zugriffsrechte und die Herausgabe vertraulicher Informationen benötigen definierte Freigabewege. Ein Rückruf muss über eine intern bekannte Nummer erfolgen, nicht über Kontaktdaten aus der verdächtigen Nachricht. Es wird ausdrücklich empfohlen Rufidentifikation, Rückruf, Ausweisprüfung sowie die Prüfung von Beschäftigungsstatus, Wissensbedarf und Autorisierung durchzuführen.

2. Kritische Vorgänge nach dem Vier-Augen-Prinzip absichern. Eine einzelne überzeugte Person darf nicht ausreichen, um hohe Zahlungen, neue Empfängerkonten oder weitreichende Berechtigungen freizugeben. Organisatorische Kontrollen wirken auch dann, wenn Stimme, Video und Absenderkonto echt erscheinen.

3. Phishing-resistente Anmeldung priorisieren. Einzigartige Passwörter und Passwortmanager bleiben Basishygiene. Wo möglich, sollten Passkeys oder vergleichbare kryptografische Anmeldeverfahren eingesetzt werden. Passkeys gelten als Alternative, bei der der private Schlüssel das Gerät nicht verlässt und daher nicht wie ein klassisches Passwort abgefangen werden kann.

4. MFA-Abfragen kontextreich und begrenzt gestalten. Beschäftigte müssen erkennen können, welcher Dienst, welches Gerät und welcher Standort eine Freigabe anfordert. Unerwartete Bestätigungsanfragen sind abzulehnen und zu melden. Wiederholte Push-Anfragen dürfen nicht zur Normalität werden.

5. Öffentlich verfügbare Informationen reduzieren. Unternehmen sollten prüfen, welche Organigramme, Kontaktdaten, Abwesenheiten, Dienstleisterbeziehungen und Prozessdetails veröffentlicht werden. Auch private Social-Media-Informationen können eine glaubwürdige Legende ermöglichen. Datensparsamkeit ist hier nicht nur Datenschutz, sondern Angriffsschutz.

6. Meldewege sichtbar und einfach machen. Laut dem Bitkom Bericht „Cyberkriminalität – Bevölkerungsumfrage zu Wahrnehmung, Erfahrungen und Schutzverhalten“ von 2025 wissen 54 Prozent der Internetnutzenden nicht, an wen sie sich im Ernstfall wenden können; zugleich würden 48 Prozent gern eine Fortbildung zur Cybersicherheit besuchen. 33 Prozent verwenden dasselbe Passwort für mehrere Dienste und nur 50 Prozent nutzen Zwei-Faktor-Authentifizierung, wo dies möglich ist. Da Mitarbeitende dieses Verhalten aus dem privaten Umfeld mitbringen, ist es auch vermehrt im Unternehmenskontext zu finden. Unternehmen brauchen daher eine klar kommunizierte Kontaktstelle, eine Ein-Klick-Meldemöglichkeit und verständliche Sofortmaßnahmen.

7. Technische, organisatorische und menschliche Schutzmaßnahmen verbinden. E-Mail- und Webfilter, Endpoint-Schutz, Rechte- und Rollenkonzepte, Protokollierung, Anomalieerkennung und sichere Kommunikationswege müssen die Beschäftigten unterstützen. Die Dell-Studie fasst den Grundgedanken treffend zusammen: Awareness, Befähigung und Schutz müssen gleichzeitig verbessert werden; Training allein hält Unternehmensinformationen nicht sicher.

Die Bitkom-Bericht 2025 zeigt, wie groß die praktische Relevanz ist: 61 Prozent der Internetnutzenden in Deutschland waren innerhalb von zwölf Monaten von Cyberkriminalität betroffen. Häufig genannt wurden Betrug beim Onlinehandel, Datendiebstahl und Schadsoftware. Gleichzeitig bleiben Schutzlücken bestehen: Viele verwenden einfache oder mehrfach genutzte Passwörter, und ein erheblicher Teil weiß im Ernstfall nicht, wo Hilfe zu finden ist.

Für Unternehmen folgt daraus ein Perspektivwechsel. Sicherheit darf nicht davon abhängen, dass jede Person jede Täuschung rechtzeitig erkennt. Moderne Angriffe sind darauf ausgelegt, normale Arbeitsroutinen, Vertrauen und Hilfsbereitschaft auszunutzen. Sicherheitsarchitektur muss deshalb davon ausgehen, dass eine Nachricht überzeugend sein kann, ein Konto kompromittiert sein kann und ein Mensch irgendwann klickt oder eine Information preisgibt.

Klassische Regeln bleiben als erste Orientierung sinnvoll: Absender prüfen, Links nicht unüberlegt öffnen, Anhänge hinterfragen, bei Druck und ungewöhnlichen Zahlungswünschen stoppen. Im Jahr 2026 sind sie jedoch nur noch Basishygiene. Entscheidend sind überprüfbare Identitäten, unabhängige Rückkanäle, begrenzte Berechtigungen, phishing-resistente Authentifizierung, klare Freigabeprozesse, kontinuierliches Training und eine schnelle, angstfreie Meldung. Die beste Sicherheitsregel lautet daher nicht mehr "Sei niemals unaufmerksam", sondern: "Gestalte den Prozess so, dass ein einzelner Moment der Täuschung nicht zum Sicherheitsvorfall wird."