Wie KI Phishing verändert – und warum das jeden betrifft

Stell dir vor: Dein Finance-Team erhält eine E-Mail vom CEO mit der Bitte um eine dringende Überweisung. Der Ton stimmt genau. Der Kontext verweist auf einen Deal, der diese Woche abgeschlossen wird. Null Grammatikfehler. Zehn Minuten später ruft jemand aus dem „Büro des CEOs" an, um die Anfrage zu bestätigen – nur dass es sich um einen KI-generierten Klon seiner Stimme handelt, erstellt aus einem 30-Sekunden-Clip von einer Konferenzaufzeichnung auf YouTube. Dein Team hat keinen Grund, daran zu zweifeln.

Das ist keine Hypothese. Es passiert jetzt, und die Zahlen zeichnen ein deutliches Bild. KI-generierte Phishing-E-Mails erreichen heute eine Click-Through-Rate von 54 % gegenüber lediglich 12 % bei klassischen Phishing-Kampagnen (The Network Installers). Gleichzeitig erkennen 83 % der KMUs, dass KI und generative KI ihr Cybersicherheitsrisiko erhöhen – viele bleiben aber trotzdem unvorbereitet (ConnectWise). Und die Konsequenzen eines Angriffs? Phishing-bezogene Datenpannen kosten im Schnitt 4,88 Millionen Dollar pro Vorfall (StrongestLayer).

Dieser Artikel behandelt die fünf unverzichtbaren Maßnahmen*, die dein IT-Setup jetzt braucht. Sie sind priorisiert für Teams ohne dediziertes Security-Personal – denn das ist die Realität für die meisten kleinen und mittelständischen Unternehmen. Bei deeploi übernehmen wir das technische Fundament – von der MFA-Durchsetzung über Endpoint-Schutz und automatisches Patch Management bis hin zum Device Management – als Teil unserer All-in-One-IT-Plattform für Unternehmen in ganz Europa.

Was sind die 5 Grundlagen, die jedes IT-Setup gegen moderne Cyberbedrohungen braucht?

Moderne Cybersicherheit erfordert weder ein riesiges Budget noch ein dediziertes Security-Team. Sie erfordert fünf grundlegende Maßnahmen, die korrekt eingerichtet und aktiv gepflegt werden: (1) Multi-Faktor-Authentifizierung, (2) E-Mail-Filterung und DNS-Schutz, (3) Endpoint-Schutz auf jedem Gerät, (4) kontinuierliche Sicherheitsschulungen für Mitarbeitende und (5) einen dokumentierten Incident-Response-Plan. Zusammen bilden sie eine mehrschichtige Verteidigung, die Bedrohungen an verschiedenen Punkten abfängt. Keine einzelne Maßnahme hält alles auf – aber gemeinsam reduzieren sie das Risiko drastisch.

Schauen wir uns jede einzeln an.

Wie richte ich Multi-Faktor-Authentifizierung richtig ein?

Multi-Faktor-Authentifizierung ist die einzeln wirksamste Sicherheitsmaßnahme, die du implementieren kannst. Microsoft fand heraus, dass mehr als 99,9 % der kompromittierten Accounts kein MFA aktiviert hatten (Microsoft Learn). Das allein sollte die Debatte beenden, ob sich MFA lohnt.

Aber nicht alle MFA-Lösungen sind gleich. Push-basiertes MFA ist besser als Passwörter allein – dennoch ist es anfällig für Fatigue-Angriffe, bei denen Angreifer Genehmigungsanfragen so lange versenden, bis jemand auf „Akzeptieren" tippt. Es ist außerdem anfällig für Adversary-in-the-Middle-Angriffe (AiTM), bei denen Angreifer Session-Tokens in Echtzeit abfangen – eine Technik, die 2024 um 146 % zugenommen hat. Phishing-resistentes MFA – mit FIDO2-Security-Keys oder Plattform-Passkeys – ist der Goldstandard, da Zugangsdaten das Gerät nie verlassen und an die legitime Domain gebunden sind.

Beginne mit deinen Nutzenden mit dem höchsten Risiko: Admins, Finance, HR und Führungskräfte. Dann alle weiteren. Kombiniere MFA mit Single Sign-On (SSO) für eine bessere Nutzbarkeit, damit Mitarbeitende nicht versucht sind, Umwege zu suchen.

Bei deeploi setzen wir MFA und Sicherheitsrichtlinien automatisch auf allen Geräten beim Onboarding durch – damit entfällt die manuelle Einrichtung, die zu Lücken führt. Jede neue Mitarbeiterin und jeder neue Mitarbeiter startet mit aktivem MFA ab dem ersten Login – ohne Konfigurationsaufwand für die Person selbst oder die IT-Verantwortlichen.

Welche Tools helfen dabei, KI-gestütztes Phishing zu filtern und zu blockieren?

Sich darauf zu verlassen, dass Mitarbeitende Phishing erkennen, ist keine tragfähige primäre Verteidigung mehr. Du brauchst mehrschichtige Filterung, die Bedrohungen abfängt, bevor sie den Posteingang erreichen.

Die erste Schicht ist KI-gestützte E-Mail-Filterung. Moderne Lösungen scannen Absenderreputation, Inhaltsmuster, eingebettete Links und Anhänge in Echtzeit. Die zweite Schicht ist DNS-Schutz, der Verbindungen zu bekannten Schaddomain blockiert, bevor Daten ausgetauscht werden. Die dritte Schicht ist E-Mail-Authentifizierung: DMARC-, SPF- und DKIM-Protokolle verhindern, dass Angreifer deine eigene Domain fälschen, um Kunden und Mitarbeitende zu täuschen.

Ein Detail, das viele KMUs übersehen: Die Mehrheit der Domains kleiner Unternehmen hat DMARC noch immer nicht korrekt konfiguriert. Das bedeutet, dass jeder E-Mails versenden kann, die scheinbar von deiner Unternehmens-Domain stammen. DMARC, SPF und DKIM zu konfigurieren ist unkompliziert – muss aber bewusst angegangen und verifiziert werden.

Diese Schichten ergänzen sich: E-Mail-Filterung fängt die Mehrheit der Bedrohungen ab. DNS-Schutz blockiert, was durchschlüpft. Authentifizierungsprotokolle verhindern die Nachahmung deiner Marke. Das alles einzurichten erfordert kein Security-Team – sondern einen strukturierten Einrichtungsprozess, der diese Maßnahmen von Anfang an in Kraft setzt.

Als Teil des Managed-IT-Angebots konfiguriert deeploi Sicherheitsrichtlinien, Endpoint-Schutz und automatisches Patch Management beim Onboarding – damit Geräte und Accounts von Tag eins an gesichert sind, nicht erst nach einem Vorfall.

Was ist Endpoint Security und warum ist sie für jedes Gerät wichtig?

Jeder Laptop, jedes Smartphone und jedes Tablet, das mit deinem Unternehmensnetzwerk verbunden ist, ist ein potenzieller Einstiegspunkt. Endpoint Security hat sich weit über klassisches Antivirus hinausentwickelt. Moderne Endpoint Detection and Response (EDR)-Lösungen bieten Echtzeit-Verhaltensmonitoring, automatisierte Bedrohungseindämmung und zentrale Sichtbarkeit über deine gesamte Geräteflotte.

Bei der Bewertung von Endpoint-Schutz solltest du auf plattformübergreifende Unterstützung für macOS, Windows, iOS und Android achten. Automatisches Patch Management ist unverzichtbar, da ungepatchte Systeme nach wie vor der häufigste Angriffspunkt sind. Remote-Lock- und Wipe-Funktionen schützen Daten bei Verlust oder Diebstahl eines Geräts. Ein zentrales Management-Dashboard gibt dir Überblick, ohne manuelle Kontrollen auf jedem einzelnen Gerät zu erfordern.

Die Lücke zwischen „Antivirus installiert" und „Endpoints aktiv verwaltet" ist genau der Punkt, an dem die meisten KMUs angreifbar werden. EDR erkennt Bedrohungen, die signaturbasiertes Antivirus vollständig übersieht – einschließlich der Zero-Day-Exploits, die KI-gestützte Angriffe zunehmend einsetzen. Da 88 % aller Ransomware-Angriffe 2025 kleine Unternehmen trafen (Verizon DBIR), ist Endpoint-Schutz keine Option mehr.

Mit deeploi wird Endpoint-Schutz über SentinelOne auf jedem verwalteten Gerät bereitgestellt – mit automatischem Patching und zentralem Monitoring über das deeploi-Dashboard. Backups über Acronis schaffen eine zusätzliche Resilienzschicht. Keine manuelle Konfiguration erforderlich – jedes Gerät ist ab der Einschreibung geschützt.

Wie schule ich Mitarbeitende darin, sich entwickelnde Bedrohungen zu erkennen?

Security-Awareness-Training ist keine einmalige Compliance-Checkbox. Jährliche Schulungen zeigen kaum messbare Verbesserungen bei Click-Raten. Unternehmen, die kontinuierliche, verhaltensbasierte Programme durchführen, senken ihre Fehlerquote langfristig auf rund 1,5 %.

Was tatsächlich funktioniert:

• Monatliche Phishing-Simulationen mit realistischen, KI-generierten Beispielen
• Szenario-basiertes Training, das auf spezifische Rollen zugeschnitten ist (Finance-Teams sehen andere Bedrohungen als Marketing)
• Eine klare Meldekultur, in der das Markieren verdächtiger E-Mails belohnt, nicht ignoriert wird

Der alte Ratschlag „Achte auf schlechte Grammatik" ist überholt. KI-generiertes Phishing ist ausgereift und kontextuell. Trainiere dein Team darin, Anfragen über einen zweiten Kanal zu verifizieren – zum Beispiel durch direkten Rückruf beim Absender – statt auf oberflächliche Hinweise zu vertrauen. 68 % der Cyber-Threat-Analysten berichten, dass KI-generierte Phishing-Versuche schwerer zu erkennen sind als je zuvor (The Network Installers). Deine Mitarbeitenden müssen das wissen.

Warum ist ein Incident-Response-Plan wichtig – auch für kleine Teams?

Einen Plan zu haben, bevor etwas passiert, entscheidet darüber, ob ein Vorfall beherrschbar bleibt oder zur Katastrophe wird. 61 % der KMUs befürchten, dass ein schwerwiegender Cyberangriff ihr Unternehmen ruinieren könnte (ConnectWise). Ein Incident-Response-Plan ist das, was dieses Worst-Case-Szenario verhindert.

Der Plan muss nicht komplex sein. Ein einfaches zweiseitiges Dokument, das alle kennen, ist besser als ein 50-seitiges Playbook, das niemand gelesen hat. Er sollte folgendes abdecken:

• Dokumentierte Reaktionsverfahren: Wer tut was, wenn ein Vorfall vermutet wird
• Klare Rollen und eine Kommunikationskette, damit niemand Zeit damit verschwendet, herauszufinden, wen er anrufen soll
• Vorab identifizierte externe Ressourcen: Rechtsanwälte, eine Forensikfirma und dein Versicherungsträger
• Einen getesteten Backup- und Wiederherstellungsprozess, einschließlich der Verifikation, dass Backups unveränderlich und wiederherstellbar sind (die 3-2-1-Regel: drei Kopien, zwei Medientypen, eine externe Kopie)
• Einen getesteten Benachrichtigungsprozess für betroffene Parteien und Behörden

Teste den Plan quartalsweise. Selbst ein 30-minütiger Tabletop-Walkthrough deckt Lücken auf, bevor ein echter Vorfall es tut. In der EU erhöht NIS2 die Anforderungen an die Meldepflicht. Einen Plan zu haben ist nicht mehr nur gute Praxis – es wird zur Compliance-Anforderung.

Wie sieht „gute genug" IT-Sicherheit ohne dediziertes Team aus?

Die Realität für die meisten KMUs: Es gibt keinen CISO, kein Security-Team und wahrscheinlich keine dedizierte IT-Person. Der „unfreiwillige IT-Verantwortliche" – ob HR-Manager, Office Manager oder Gründerin – braucht ein realistisches Framework statt ein Enterprise-Playbook.

Zero Trust ist das Leitprinzip: niemals automatisch vertrauen, immer verifizieren. Das bedeutet Least-Privilege-Zugriff (Mitarbeitende erhalten nur die Berechtigungen, die sie tatsächlich benötigen), kontinuierliche Verifikation von Nutzenden und Geräten sowie Netzwerksegmentierung, damit ein Einbruch in einem Bereich nicht alles kompromittiert.

Für die meisten kleinen Unternehmen ist Managed IT das praktische Liefermodell: Du lagerst den Sicherheitsbetrieb an einen Partner aus, der diese fünf Grundlagen einrichtet, überwacht und pflegt. Bei der Auswahl eines Anbieters solltest du achten auf:

• Transparente Preisgestaltung statt Pay-per-Ticket-Modelle, die das Melden von Problemen entmutigen
• ISO-27001-Zertifizierung und DSGVO-Konformität
• EU-Datenhosting
• Proaktives Monitoring statt nur reaktive Ticketbearbeitung
• Eine Plattform, die dir Sichtbarkeit auf deine eigene Sicherheitslage gibt

Genau das macht deeploi. Als All-in-One-IT-Plattform übernimmt deeploi die grundlegenden IT-Operationen für Unternehmen in ganz Europa: von automatisiertem Onboarding und Endpoint-Schutz bis hin zu Device Management und Experten-IT-Support – damit Teams ohne IT-Know-how nicht über Nacht zu Sicherheitsexperten werden müssen. Mit ISO-27001-Zertifizierung, DSGVO-Konformität und einer durchschnittlichen Support-Reaktionszeit von 12 Minuten übernehmen wir die Komplexität, damit du dich auf dein Kerngeschäft konzentrieren kannst.

FAQ

Reicht MFA aus, um Phishing-Angriffe zu stoppen?

Nein. MFA ist die wichtigste Einzelmaßnahme – aber nur eine Schicht. Push-basiertes MFA kann durch Adversary-in-the-Middle-Angriffe umgangen werden, die Session-Tokens in Echtzeit abfangen. Kombiniere phishing-resistentes MFA (FIDO2-Keys oder Passkeys) mit E-Mail-Filterung, Endpoint-Schutz und kontinuierlichen Mitarbeiterschulungen für echte Defense-in-Depth.

Wie oft sollten KMUs ihre Cybersicherheits-Einrichtung aktualisieren?

Kontinuierlich. Automatisches Patch Management übernimmt Software-Updates im Hintergrund. Sicherheitsrichtlinien, Schulungsprogramme und Incident-Response-Pläne sollten quartalsweise überprüft werden. Phishing-Simulationen sollten monatlich laufen. Die Bedrohungslandschaft verändert sich zu schnell für jährliche Reviews.

Was ist der Unterschied zwischen Endpoint Security und Antivirus?

Klassisches Antivirus erkennt bekannte Bedrohungen durch den Abgleich von Dateisignaturen. Moderne Endpoint Security (EDR) überwacht das Geräteverhalten in Echtzeit, erkennt bisher unbekannte Bedrohungen durch Verhaltensanalyse und kann kompromittierte Geräte automatisch isolieren, bevor sich eine Bedrohung ausbreitet. Für KMUs heute ist Antivirus allein unzureichend.

Brauchen kleine Unternehmen wirklich einen Incident-Response-Plan?

Ja. KMUs sind das häufigste Angriffsziel von Cyberattacken – und ohne Plan multiplizieren sich die Reaktionszeiten. Selbst ein einfaches zweiseitiges Dokument mit zugewiesenen Rollen, Kontaktlisten und Schritt-für-Schritt-Verfahren reduziert Schäden und Wiederherstellungszeit drastisch. Es hilft außerdem dabei, den zunehmend strengen Anforderungen von Regelwerken wie NIS2 zu entsprechen.

Kann KI-gestütztes Phishing E-Mail-Filter umgehen?

Einige KI-generierte E-Mails passieren einfache Filter, weil ihnen die klassischen Warnsignale fehlen – Grammatikfehler, verdächtige Formatierung, generische Anreden – auf die veraltete Filter angewiesen sind. Deshalb ist mehrschichtige Verteidigung entscheidend. Die Kombination aus KI-gestütztem E-Mail-Scanning, DNS-Schutz, DMARC-Authentifizierung und geschulten Mitarbeitenden schafft mehrere Auffangpunkte. Kein einzelnes Tool stoppt alles – aber zusammen reduzieren sie das Risiko drastisch.

Was ist Zero Trust und ist es für kleine Unternehmen realistisch?

Zero Trust bedeutet, keinem Nutzenden oder Gerät automatisch zu vertrauen – auch nicht innerhalb des eigenen Netzwerks. Für KMUs erfordert das keine komplexe Infrastruktur. Beginne mit MFA überall, Least-Privilege-Zugriffsrichtlinien und Geräte-Compliance-Prüfungen. Ein Managed-IT-Anbieter kann diese Prinzipien ohne internes Fachwissen implementieren.

Wie schütze ich Unternehmensdaten ohne Security-Team?

Arbeite mit einem Anbieter zusammen, der IT-Einrichtung, Monitoring und Support übernimmt. Implementiere die fünf Grundlagen aus diesem Artikel: MFA, E-Mail-Filterung, Endpoint-Schutz, Schulungen und einen Incident-Response-Plan. Du brauchst kein Security-Team – aber du brauchst das richtige Setup und einen Partner, der das technische Fundament am Laufen hält. deeploi deckt die grundlegende IT-Infrastruktur ab – von MFA-Durchsetzung und Endpoint-Schutz bis hin zu automatischem Patching und Device Management – damit dein Team sich auf die Aufgaben konzentrieren kann, die menschlichen Input erfordern, wie Schulungen und Incident-Response-Planung.

Fazit

„Smart genug" schlägt „perfekt" jedes Mal. Wer diese fünf Grundlagen heute umsetzt, ist den meisten KMUs voraus, die sich noch immer auf veraltete Abwehrmaßnahmen verlassen. Die Bedrohung durch KI-gestütztes Phishing ist real und nimmt zu – die Reaktion darauf erfordert aber kein eigenes Security-Team. Sie erfordert das richtige Setup, das richtige Monitoring und einen Partner, der alles am Laufen hält, während du dich auf das konzentrierst, was dein Unternehmen wirklich tut.

*Dieser Artikel bietet allgemeine Orientierung zu Cybersicherheitsmaßnahmen für kleine und mittelständische Unternehmen. Er ersetzt keine professionelle IT-Sicherheits- oder Rechtsberatung. Für unternehmensspezifische Sicherheitsbewertungen und Incident-Response-Planung sollte ein qualifizierter IT-Sicherheitsspezialist oder Datenschutzbeauftragter hinzugezogen werden.