News

Wenn die Phishing-Mail plötzlich fehlerfrei klingt: KI verschiebt die Bedrohungslage im Mittelstand

Eine aktuelle Praxis-Befragung unter IT-Verantwortlichen zeigt: KI-gestützte Angriffe sind im Mittelstand angekommen – während viele Betriebe zwar Backups und Firewalls haben, fehlt oft die Erkennung laufender Angriffe.

Von Anton · · 4 Min. Lesezeit

Die Zeiten, in denen sich Phishing-Mails an holprigem Deutsch und seltsamen Anreden erkennen ließen, gehen erkennbar zu Ende. Künstliche Intelligenz macht es Angreifern leicht, überzeugende Nachrichten in Sekunden zu erzeugen – fehlerfrei, im passenden Tonfall und zugeschnitten auf das Zielunternehmen. Wie stark diese Entwicklung im deutschen Mittelstand bereits spürbar ist, deutet eine aktuelle Praxis-Befragung des Eschborner IT-Sicherheitsdienstleisters Aphos an: Laut den Ergebnissen der „Cyberlage 2026" haben 81 Prozent der befragten Organisationen bereits Angriffsversuche bemerkt, hinter denen sie KI vermuten.

Kleine Stichprobe, klares Stimmungsbild

Wichtig zur Einordnung: Die Befragung umfasst nach Unternehmensangaben 31 Antworten von IT- und Security-Verantwortlichen, Geschäftsführungen und Verantwortlichen aus dem öffentlichen Sektor. Repräsentativ für den deutschen Mittelstand ist sie damit ausdrücklich nicht – das räumt der Herausgeber selbst ein. Als Stimmungsbild aus der Praxis ist sie dennoch aufschlussreich, denn die genannten Sorgen decken sich mit dem, was Sicherheitsbehörden und Branchenbeobachter seit geraumer Zeit beschreiben: KI senkt die Kosten überzeugender Angriffe drastisch.

Fast alle Befragten (97 Prozent) geben demnach an, dass KI die Bedrohungslage spürbar bis sehr stark verändert. An der Spitze der befürchteten Risiken stehen realistischere Phishing-Mails (94 Prozent), gefolgt von automatisierter Schwachstellensuche (81 Prozent), Deepfakes samt CEO-Fraud (74 Prozent) und schnellerer Malware-Entwicklung (71 Prozent). Es handelt sich dabei um wahrgenommene Risiken, nicht um gezählte Vorfälle – auch das stellt die Studie klar.

Das Benutzerkonto wird zum Einfallstor

Bemerkenswert ist die Verschiebung bei den Angriffszielen. 68 Prozent der Befragten stufen kompromittierte Zugangsdaten als kritische Bedrohung ein, fast gleichauf mit klassischem Phishing und Social Engineering (74 Prozent). 61 Prozent fürchten Angriffe auf Microsoft 365 und andere Cloud-Dienste. Die Logik dahinter: Wer mit einem gültigen Login kommt, muss keine Firewall überwinden. Nicht mehr der Netzwerkrand steht im Mittelpunkt der Verteidigung, sondern die Frage, wer sich gerade mit welchen Rechten in den eigenen Systemen bewegt – die Identität wird zum eigentlichen Schutzgut.

Grundschutz ja, Erkennung nein: die Detection-Lücke

Beim Blick auf die vorhandenen Schutzmaßnahmen zeigt sich ein Muster, das viele IT-Dienstleister aus der Praxis kennen dürften. Backup (97 Prozent), Firewall (94 Prozent) und E-Mail-Security (87 Prozent) sind laut Befragung nahezu flächendeckend vorhanden. Deutlich seltener sind dagegen Verfahren, die laufende Angriffe erkennen sollen: Managed Detection and Response (MDR) nutzen 42 Prozent, XDR 39 Prozent, Netzwerkerkennung (NDR) 35 Prozent.

Diese Lücke ist heikel, gerade bei den Angriffsformen, die die Befragten am meisten fürchten. Ein KI-generiertes Phishing, das zur Übernahme eines Cloud-Kontos führt, löst keinen Firewall-Alarm aus. Ohne kontinuierliche Erkennung können solche Vorfälle wochenlang unbemerkt bleiben – mit entsprechend größerem Schaden, wenn sie schließlich auffallen.

Die eigene KI-Nutzung bleibt oft ungeregelt

Die Befragung beleuchtet noch eine zweite Baustelle: den Umgang der Unternehmen mit KI-Werkzeugen in den eigenen Reihen. Nur 29 Prozent der befragten Organisationen haben demnach verbindliche Regeln für den Einsatz von KI-Tools, 32 Prozent haben gar keine Vorgaben. Gleichzeitig fürchten 58 Prozent, dass Unternehmensdaten über solche Tools abfließen. Wer Mitarbeitenden keine Leitplanken gibt, riskiert, dass sensible Informationen unbeabsichtigt in externe Dienste wandern – ein Governance-Problem, das sich mit vergleichsweise einfachen Mitteln wie klaren Nutzungsrichtlinien und freigegebenen Werkzeugen entschärfen ließe.

Was Mittelständler daraus mitnehmen können

Auch wenn die Zahlen aus einer kleinen Stichprobe stammen, ist die Richtung plausibel: Prävention und Wiederherstellung sind in vielen Betrieben etabliert, die Erkennung laufender Angriffe hinkt hinterher. Für kleinere IT-Abteilungen muss das nicht bedeuten, ein eigenes Security Operations Center aufzubauen – Managed-Detection-Angebote externer Dienstleister sind gerade für den Mittelstand gedacht. Kurzfristig wirksam sind zudem Multi-Faktor-Authentifizierung auf allen extern erreichbaren Konten, regelmäßige Überprüfung von Berechtigungen und Schulungen, die auf die neue Qualität KI-generierter Täuschungen vorbereiten. Die perfekte Phishing-Mail kommt – die Frage ist nur, ob jemand hinschaut, wenn sie funktioniert hat.


Redaktionelle Einordnung auf Basis einer Unternehmensbefragung der Aphos Gesellschaft für IT-Sicherheit mbH („Aphos Cyberlage 2026"). Die zitierten Zahlen beruhen auf Selbstauskünften von 31 Befragten und sind nicht repräsentativ.

Mehr zum Thema

  • Quantencomputer zum Ausprobieren: Wie der Mittelstand an eine Technologie herangeführt werden soll, die noch niemand richtig beherrscht
  • Gefunden werden, wo keiner mehr googelt: Warum Betriebe um Sichtbarkeit in KI-Antworten ringen
  • Wenn der Aufzug meldet, bevor er stehenbleibt: Wie KI in die Wartung einzieht
  • Vom Prompt zum Pull Request: Wie KI-Agenten die Softwareentwicklung verändern
  • KI im ERP-System: Wie der Mittelstand seine Software-Kerne modernisiert
  • Gefunden werden, wenn die KI antwortet: Was hinter dem Schlagwort „GEO" steckt