Cyberkriminelle entwickeln ihre Methoden stetig weiter, um Phishing-Angriffe glaubwürdiger zu gestalten und Sicherheitsmechanismen zu umgehen. Ein neuer Bericht von KnowBe4 Threat Lab zeigt, wie Angreifer zunehmend legitime Kommunikationskanäle missbrauchen, von kompromittierten E-Mail-Konten bis hin zu Webformularen.
Business Email Compromise (BEC) zählt seit Jahren zu den effektivsten Formen von Phishing-Angriffen. Dabei nutzen Angreifer kompromittierte, also echte E-Mail-Konten, um Nachrichten an interne oder externe Kontakte zu versenden. Durch diese Übernahme gelingt es ihnen, Sicherheitsmechanismen wie DMARC zu passieren und verdächtige Merkmale, etwa falsche Absendernamen oder untypische Domains, zu eliminieren. So entstehen täuschend echte Nachrichten, die kaum noch als betrügerisch erkennbar sind. Besonders gefährlich wird dies, wenn innerhalb bestehender Geschäftsbeziehungen kommuniziert wird. Das Vertrauen ist bereits vorhanden und der Angriff erscheint dadurch umso glaubwürdiger.
Laut dem Bericht KnowBe4 Defend stammten im Jahr 2025 rund 59,1 Prozent aller erkannten Phishing-Angriffe aus kompromittierten Konten, was einen Anstieg um fast 35 Prozent gegenüber 2024 bedeutet. Damit entwickelt sich BEC zunehmend zum „Complete Business Compromise“ (CBC): Angriffe, die sich schneller ausbreiten, mehr Systeme betreffen und noch schwerer zu erkennen sind.
Eine neue Angriffswelle: Phishing über Webformulare
Seit September 2025 beobachtet das Threat Lab eine neue, besonders ausgeklügelte Taktik: Angreifer nutzen legitime Kontakt- oder Terminformulare auf Unternehmens-Websites, um automatisierte Antwortmails für ihre Zwecke zu missbrauchen. Dazu erstellen sie ein kostenloses „Onmicrosoft“-Konto, wählen einen bekannten Markennamen als Absender, etwa eine Bank oder einen Bezahldienst, und füllen das Formular im Namen dieser Organisation aus.
Wird das Formular abgeschickt, erzeugt die Website automatisch eine Bestätigungs-E-Mail, die von der echten Domain des Unternehmens stammt und somit sämtliche Authentifizierungsprüfungen besteht. Diese E-Mail wird anschließend mithilfe eingerichteter Weiterleitungsregeln an Hunderte oder Tausende Empfänger verschickt. Da sie aus einem legitimen System stammt und formal korrekt aufgebaut ist, gilt sie für viele Sicherheitslösungen nicht als Phishing-Versuch, sondern als unbedenklich.
Social Engineering über den Umweg „Telefonnummer“
In die Formularfelder, etwa Name, Telefonnummer und Nachricht, fügen die Angreifer manipulative Inhalte ein. Häufig wird ein finanzieller Vorwand genutzt, um Panik auszulösen, etwa eine vermeintliche PayPal-Transaktion über mehrere Hundert Dollar. Die Nachricht enthält eine Telefonnummer, über die das Opfer angeblich den Vorfall klären kann. Tatsächlich führt der Anruf direkt zu den Angreifern. In emotional aufgeladenen Gesprächen werden dann persönliche oder finanzielle Informationen abgefragt, ein Beispiel für perfektes Social Engineering, das technische Sicherheitssysteme vollständig umgeht.
Phishing: Wenn Vertrauen zur Schwachstelle wird
Besonders häufig betroffen von Phishing sind Organisationen aus den Bereichen Finanzen, Recht, Gesundheitswesen und Versicherungen. In diesen Branchen spielt Vertrauen und Legitimität eine zentrale Rolle. Der Analysten von KnowBe4 Threat Lab gehen davon aus, dass die Anzahl dieser Angriffe weiter zunehmen wird, da sie weder den direkten Zugriff auf ein E-Mail-Konto noch Malware erfordern. Die Taktik zeigt einen klaren Trend: Cyberkriminelle kapern zunehmend legitime Systeme, um von deren Domain-Autorität und Markenvertrauen zu profitieren. Damit verlieren klassische Authentifizierungsverfahren ihre Schutzwirkung und eine scheinbar routinemäßige E-Mail kann längst Teil eines groß angelegten Angriffs sein.
Sicherheit neu denken: Zero Trust als Gegenstrategie
KnowBe4 empfiehlt Unternehmen, ihre E-Mail-Sicherheitsstrategien auf einen Zero-Trust-Ansatz auszurichten. Dabei wird jede eingehende Nachricht ganzheitlich bewertet und das unabhängig von Absender, Domain oder Authentifizierungsergebnissen. Ergänzend sollten Echtzeit-Bedrohungsinformationen genutzt werden, um Mitarbeitende gezielt auf aktuelle Angriffsmuster hinzuweisen und sie im Erkennen von Social-Engineering-Techniken zu schulen. Nur ein ganzheitlicher Ansatz schützt Unternehmen, Daten und Mitarbeiter zuverlässig, gerade jetzt, da Cyberkriminelle legitime Systeme in ihre gefährlichste Waffe per Phishing verwandeln.
KnowBe4: Vorreiter beim Security-Training mit KI-Agenten
KnowBe4 hat kürzlich mit der HRM+-Plattform neue Trainings präsentiert, mit denen sich die Effektivität sowohl von Menschen wie auch von KI-Agenten in der Abwehr von Cyberbedrohungen steigern lässt. Laut einem Report von Gartner werden bis Ende 2026 vierzig Prozent der Enterprise-Anwendungen mit aufgabenspezifischen KI-Agenten integriert sein, während dies heute bei weniger als fünf Prozent der Fall ist. Diese KI-Agenten sind für Cyberkriminelle die neuen Ziele für Diebstahl, Manipulation und Missbrauch, was die Wichtigkeit einer Verbesserung der KI-Kompetenzen von Mitarbeitern unterstreicht.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Seit Jahren ist der Faktor Mensch an über 60 Prozent der Sicherheitsverletzungen beteiligt, darunter Social Engineering als einer der häufigsten Angriffsvektoren, wie Berichte wie der „2025 Data Breach Investigations Report” von Verizon bestätigen. Angesichts der Rolle menschlicher Faktoren bei Sicherheitsverletzungen sind intelligentere Abwehrmaßnahmen, die die Dynamik zwischen Menschen und KI-Agenten berücksichtigen, für den Aufbau einer soliden Cybersicherheitsstrategie unerlässlich.
Bryan Palma ist CEO von KnowBe4.
(Bild: KnowBe4)
Bryan Palma, CEO von KnowBe4, erklärt zu der neuen Trainings-Plattform: „Wir bieten heute adaptive, personalisierte, KI-gesteuerte Abwehrmaßnahmen, um die Belegschaft moderner Unternehmen optimal zu schützen. Wir tun beides: Wir schützen Menschen vor KI-gesteuerten Angriffen und schützen KI-Systeme vor missbräuchlicher Ausnutzung durch Außenstehende. KnowBe4 ist einzigartig positioniert, um KI-Agenten in Unternehmen zu schützen, indem es die essentielle Interaktionsebene zwischen Menschen und KI-Agenten sichert. Da KI sowohl ein mächtiges Werkzeug als auch ein potenzielles Ziel von Angriffen ist, ist der Schutz dieses Interaktionspunkts von entscheidender Bedeutung.“
Cyberbedrohungen werden durch Fortschritte in KI-Technologien immer gefährlicher. Selbst die KI-Anwendungen innerhalb von Unternehmen werden zu einem potenziellen Werkzeug und Ziel für Angreifer. Während sich die meisten Lösungen ausschließlich auf die Verteidigung auf der Gateway-Ebene konzentrieren, bietet die HRM+-Plattform von KnowBe4 eine tiefgreifende Verteidigung. Der mehrschichtige Ansatz bietet eine hohe Widerstandsfähigkeit und umfass folgende Funktionen:
Agent-Safe-Verhaltenstraining: Mitarbeiter müssen nicht nur lernen, bösartige Links zu erkennen, sondern auch, wie sie sicher mit KI-Agenten interagieren und diese überwachen können.
Prompt Injection und Manipulation Defense: Simulierte Angriffe schulen Mitarbeiter weltweit darin, feindliche Eingaben zu erkennen und abzuwehren, die auf KI-Agenten in Unternehmen abzielen.
Risikobewertung für Agenteninteraktionen: Die Erweiterung der branchenführenden Risikobewertung zur Messung der Anfälligkeit für den Missbrauch von Agenten ermöglicht eine umfassende Risikobewertung.
:quality(80)/p7i.vogel.de/wcms/c4/0f/c40fc27b3ba9f4cb8921429a81e9fe88/deutsche-20telekom-t-20cloud-20public-16-9-1308x735v1.jpeg "Die Deutsche Telekom baut die T Cloud Public zur souveränen Cloud-Alternative aus. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/26/7f/267fe7086a35a99a8746d5328bc34387/souver-c3-a4nit-c3-a4t-antto-ai-adobestock-935874090-mitki-1197x673v1.jpeg "(Bild: © Antto-AI/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e2/fe/e2fecc72262f24cdac5e7d269cbc19af/it-trends-imageflow-adobestock-1767411415-neu-1200x675v1.jpeg "(Bild: © ImageFlow/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/06/7306fe7290414df91b2a4f5a89eee7ee/easy-20software-dms-teaser-16-9-1133x637v1.jpeg "(Bild: Easy Software)")
:quality(80)/p7i.vogel.de/wcms/ed/a3/eda36bff4eab74b47f38ae9c2f5962f8/cloud-erp-mahat-adobestock-835645806-mitkiv1.jpeg "(Bild: © mahat/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/a3/faa35b3be508b1bafeae8e481dad808c/hr-ipopba-adobestock-451361135-neu-780x439v1.jpeg "(Bild: © ipopba/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/10/851074900a9e0eabf32944642cc2272f/adobestock-1270513612-vectorwin-colocation-996x560v1.jpeg "(Bild: © vectorwin/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/c3/4ac353ac9ecdfc9c07cb9cd559a578a0/genai-krot-studio-adobestock-1335835272-neu-1200x675v1.jpeg "(Bild: © Krot_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/35/af35b7a70474e8d447c57993e0146b38/kit-quantentechnologien-karlsruhe-1230x691v1.jpeg "Die optische Schnittstelle für einen Quantenspeicher wird ein wichtiger Bestandteil von künftigen Quantennetzwerken sein. Der erste Teil davon wurde Anfang 2025 am KIT gebaut. (Bild: Markus Breig/KIT)")
:quality(80)/p7i.vogel.de/wcms/aa/09/aa0954018ba5f37cfdfcfa30ad809da7/quantenc--20www-freund-foto-de-adobestock-652196310-mitki-1067x600v1.jpeg "(Bild: © www.freund-foto.de/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/97/7c9771d964d17b3b15df85b23b81f41f/bundesdruckerei-pqc-personalausweis-16-9-1200x674v1.jpeg "Demonstrator des quantensicheren Personalausweises. (Bild: Bundesdruckerei GmbH)")
:quality(80)/p7i.vogel.de/wcms/3e/06/3e064c6104f3b0e5e74f8d5f06fbec86/kritis-leowolfert-adobestock-227539102-neu-878x494v1.jpeg "(Bild: © leowolfert/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/58/43/5843c738a7f9e1643d5b6a125a538e5e/akamai-nocc-pano-16-9-1200x674v1.jpeg "Akamai betreibt ein eigenes Network Operations Command Center. (Bild: Akamai)")
:quality(80)/p7i.vogel.de/wcms/1d/6f/1d6fa6c8604a36abf5a0bf7679e44c1b/genua-genuline-bild-3390x1908v1.jpeg "Mit einer FPGA-Hardwarebeschleunigung verbindet das BSI-zugelassene VPN-Gateway genuline von genua Standorte mit quantensicherer Verschlüsselung. (Bild: genua GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/77/167784e2707d79bd104241764b3c370d/cyberresilienz-delques-adobestock-783757721-neu-996x560v1.jpeg "(Bild: © Delques/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/a8/83a862276bac51b761c5f27fe0d9e86b/ifs-cadillac-formel-1-team-bild2v1.png "Die Software von IFS unterstützt die Prozesse beim neuen Cadillac Formula 1-Team. (Bild: IFS)")
:quality(80)/p7i.vogel.de/wcms/9e/88/9e884cac1f5ea1b21159ac7c3bf73b76/flexera-it-management-2026-freepik-7360x4142v1.jpeg "(Bild: Freepik)")
:quality(80)/p7i.vogel.de/wcms/96/64/9664881a9782156c29ff3e6c4ca1f620/westwell-q-truck-qomolo-1080x607v1.jpeg "Autonome Q-Trucks des Modells Qomolo im Hafen von Laem Chabang. (Bild: Westwell )")
:quality(80)/p7i.vogel.de/wcms/f0/f0/f0f0feec71fb8ec1d2f3d343e327f829/ki-2rogan-adobestock-717342439-mitki-932x524v1.jpeg "(Bild: © 2rogan/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/22/dd/22dd3877ab935747f146a760d14315d6/ki-agent-thapana-studio-adobestock-1281084264-neu-1200x675v1.jpeg "(© Thapana_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/d4/77d4aa1f8a50822209edc6b443190333/telekonnekt-bild3-4128x2321v1.jpeg "Das Service-Team der Telekonnekt unterstützt Arztpraxen und Apotheken bei der Umstellung auf die neue Telematikinfrastruktur. (Bild: Stefan Prager)")
:quality(80)/p7i.vogel.de/wcms/62/1a/621a89cd2d07f631880e43cda889118b/adobestock-1644426553-karina-digital-health-969x545v1.jpeg "(Bild: © KARINA/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/cd/30cd86fcb5d329cc823b8a6114db8189/dmea-20berlin-202025-16-9-2000x1124v1.jpeg "Die diesjährige DMEA findet vom 21. bis 23. April 2026 in der Messe Berlin statt. (Bild: © Messe Berlin GmbH)")
:quality(80)/p7i.vogel.de/wcms/64/f5/64f5013e4eedfa4f98b795e30cac7adc/it-sa-expo-26congress-eingang-3-2-1400x788v1.jpeg "(Bild: NürnbergMesse GmbH)")
:quality(80)/p7i.vogel.de/wcms/e6/db/e6dbf6cd77bbb7d46954d17450354c62/ot-oulaphone-adobestock-1069683089-5798x3264v1.jpeg "(Bild: © Oulaphone/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/b7/a2b78c24a10a843fe4456112371dff7d/cybersecurity-looker-studio-adobestock-563886800-neu-875x492v1.jpeg "(Bild: © Looker_Studios/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/07/b407aec50a1c555341b71483c58d954a/resilienz-srite-20khatun-adobestock-821261728-neu-880x495v1.jpeg "(Bild: © Srite Khatun/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/37/0c3795d561b32378f5a1728f3efcedaa/esker-scott-20mcdermott-16-9-1200x674v1.jpeg "Scott McDermott ist neuer Chief Financial Officer von Esker. (Bild: Esker)")
:quality(80)/p7i.vogel.de/wcms/46/b2/46b26d5ed883ada5b43309c2b4c76011/arbeitsplatz-exnoi-adobestock-808744861-mitki-996x560v1.jpeg "(Bild: © Exnoi/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e7/c2/e7c24ae49b93587a03e144ce71866eaf/digitalisierung-wrightstudio-adobestock-235419903-neu-1500x843v1.jpeg "(Bild: © WrightStudio/stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/e4/67e4fb08c8409/cadfem-logo-152x152-1.jpeg "cadfem-logo-152x152-1 (CADFEM Germany GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/ca/5fca223f78cb5/xsuite-logo-rgb.jpg "XSUITE_LOGO_RGB.jpg (xSuite)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/fe/67fe14a4d78d3/esker-corporate-logo-c--002-.jpeg "esker-corporate-logo-c--002- (Esker Software)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/1a/c3/1ac3423c958bc1eda690dfac325c444e/phishing-johannes-adobestock-1095967851-mitki-1197x673v1.jpeg "phishing-johannes-adobestock-1095967851-mitki-1197x673v1 (Bild: © Johannes/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/c9/8e/c98eaf2a244681858fa8c0c5fce21816/ki-agenten-journey-20studio7-adobestock-1665723339-neu-1200x675v1.jpeg "ki-agenten-journey-20studio7-adobestock-1665723339-neu-1200x675v1 (Bild: JOURNEY STUDIO7/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/ce/c4ceca8eed6ef405261881eaf0499394/adobestock-1679231272-ronny-software-lieferkette-974x548v1.jpeg "adobestock-1679231272-ronny-software-lieferkette-974x548v1 (Bild: © Ronny/stock.adobe.com)")