KI-generierte Phishing-Mails werden laut CrowdStrike Global Threat Report 2025 in 54 Prozent der Fälle angeklickt. Bei manuell geschriebenen Phishing-Mails sind es 12 Prozent. Das ist keine schrittweise Verbesserung. Das ist eine andere Größenordnung.
Während Angreifer ihre Operationen mit GPT-4-Klassen-Modellen längst skaliert haben, kämpfen Verteidiger noch mit der Stufe davor: Tooling beschaffen, Budget freigeben, NIS2-Compliance dokumentieren. Genau dieses Zeitfenster von 18 bis 24 Monaten ist der gefährlichste Moment für deutsche KMU seit der Einführung von Ransomware-as-a-Service.
Was die 54 Prozent wirklich messen
Die CrowdStrike-Zahl ist nicht die Erfolgsquote eines fortgeschrittenen Angriffs. Sie ist die Klickrate auf Mails, die ein Angreifer in Minuten erzeugt. Kein Englisch-Muttersprachler im Team, keine Recherche, keine Kulturkenntnis nötig. Die KI liefert das alles mit. Tonfall, Branchenjargon, plausiblen Anlass.
Microsoft beziffert das Volumen im Digital Defense Report 2025: 4 Milliarden US-Dollar an KI-unterstützten Betrugsversuchen wurden im Berichtszeitraum blockiert. Pro Stunde wehrt das Unternehmen 1,6 Millionen Bot-gesteuerte Anmeldungen für gefälschte Konten ab. Das sind keine Demos aus einer Forschungsabteilung. Das ist Produktion.
Wer hinter den Angriffen steht, lässt sich benennen. Microsoft und OpenAI veröffentlichten im Februar 2024 gemeinsam, dass fünf staatlich gesteuerte Akteure OpenAI-APIs aktiv nutzten: für Phishing-Content, für Skript-Optimierung, für Aufklärungsoperationen. Darunter die chinesischen Gruppen Charcoal Typhoon und Salmon Typhoon sowie der iranische Akteur Crimson Sandstorm. Die Konten wurden gesperrt. Die Methodik bleibt.
Der Fall, der zeigt, wie teuer ein einzelner Klick wird
Im Januar 2024 saß ein Finanzangestellter des britischen Ingenieurbüros Arup in der Hongkonger Niederlassung in einem Videocall mit dem CFO und mehreren Kollegen. Alle Gesichter, alle Stimmen waren echt. Bis auf eines: keines davon war eine reale Person im Call. Es waren KI-generierte Deepfakes, gebaut aus öffentlich verfügbarem Videomaterial.
Der Mitarbeiter überwies 25,6 Millionen US-Dollar in 15 Transaktionen, laut CNN-Bericht und Hongkonger Polizeibericht. Arup bestätigte sich im Mai 2024 öffentlich als Opfer. Das Unternehmen gilt als eines der renommiertesten Ingenieurbüros der Welt. Genau das ist der Punkt. Wenn Arup auf einen Deepfake-Call hereinfällt, ist die Frage nicht, ob ein deutscher Mittelständler sicherer aufgestellt ist. Sondern, ob er den Angriff überhaupt bemerken würde.
Warum die Symmetrie nur auf der Folie funktioniert
Das gängige Gegenargument lautet: Verteidiger nutzen dieselbe KI. Microsoft Defender setzt GenAI für Erkennung ein, CrowdStrike Falcon ebenso, SentinelOne ebenfalls. Microsoft blockiert täglich 600 Millionen Cyberangriffe und investiert 20 Milliarden US-Dollar in Cybersicherheit. Die Tools sind da. Der Markt ist symmetrisch.
Auf der Folie stimmt das. In der Praxis nicht.
Die Symmetrie gilt für Großunternehmen mit Enterprise-Lizenzen und einem 24/7-Security-Operations-Center. Ein KMU mit 50 Mitarbeitern hat weder das Budget für CrowdStrike Falcon Complete noch das Fachpersonal, das die Alarme interpretiert. Das Verhältnis bleibt strukturell asymmetrisch: Angreifer brauchen ein Tool, einen Prompt und ein Ziel. Verteidiger brauchen ein Tool, ein Budget, einen Spezialisten, eine Prozessdokumentation, eine NIS2-konforme Meldekette und ein Mandat aus der Geschäftsführung.
Ein altes Cybersecurity-Axiom lautet: Angreifer müssen einmal treffen, Verteidiger müssen immer treffen. KI hat dieses Verhältnis nicht aufgehoben. Sie hat den Aufwand für den einen Treffer auf 60 Euro pro Monat reduziert.
60 Euro im Monat: die echte Bedrohungsökonomie
WormGPT, 2023 als “no-limits”-Alternative zu ChatGPT eingeführt und auf GPT-J basierend, kostete ursprünglich 110 US-Dollar pro Monat. Nach der Abschaltung im August 2023 schien das Kapitel beendet. Es war es nicht.
Zwischen Oktober 2024 und Februar 2025 erschienen laut Cato Networks CTRL Threat Research neue Varianten auf BreachForums. Diesmal aufgebaut auf Grok beziehungsweise Mistrals Mixtral. Preis: ab 60 Euro pro Monat oder 550 Euro pro Jahr. FraudGPT läuft parallel zu 200 US-Dollar pro Monat.
Damit kostet die komplette Toolchain eines Angreifers weniger als eine durchschnittliche Netflix-Teamlizenz. Das ist nicht die Hürde, an der ein Angriff scheitert. Die Hürde war früher: eine andere Sprache sprechen, Branchenjargon kennen, überzeugend imitieren. KI hat diese Hürden eingerissen. Die einzige verbleibende Hürde ist die Bereitschaft zur Kriminalität.
Was im März 2026 dazukam
Wer dachte, die Asymmetrie kühlt ab, hat den letzten Monat verpasst. Hadrians Forschungsteam hat im März 2026 einen Katalog von 70 Open-Source-KI-Pentest-Tools dokumentiert. Vor dem GPT-4-Release im April 2023 existierten weniger als fünf solcher Tools. In drei Jahren hat sich das Angebot verzehnfacht. Entscheidend ist die zweite Beobachtung: die neuen Tools operieren auf Autonomiestufe 3 bis 4. Das bedeutet eigenständige Planung mehrstufiger Angriffe ohne menschliche Einzelgenehmigung.
Ein Angreifer braucht heute nicht mehr zu wissen, wie ein Angriff abläuft. Er gibt ein Ziel an, das Tool plant die Kette: Aufklärung, Schwachstellenfindung, Privilege Escalation, laterale Bewegung, Datenexfiltration. Was früher das Wissen eines Senior-Pentesters war, läuft heute als Open-Source-Skript.
Auf der Verteidigerseite kommt im selben Zeitraum die regulatorische Pflicht. Das NIS2-Umsetzungsgesetz gilt seit 6. Dezember 2025 für rund 29.500 deutsche Unternehmen, die BSI-Registrierungsfrist lief am 6. März 2026 ab. Persönliche CEO-Haftung inklusive. Das bedeutet: Verteidiger investieren ihre 2026er Budgets gerade in Compliance-Dokumentation, Meldeketten und Prozessbeschreibungen, während Angreifer ihre Budgets in immer autonomere Tools stecken.
Die Compliance ist sinnvoll. Sie ist nur nicht das Tooling, das den nächsten Deepfake-Call erkennt.
Was du in den nächsten 90 Tagen tun kannst
Wer ein KMU führt, hat drei Hebel. Keiner davon ist eine Million-Euro-Investition.
Mehrkanal-Verifikation für Geldtransfers. Jede Auszahlung ab einem definierten Schwellenwert braucht eine zweite Bestätigung über einen anderen Kanal als den, über den der Auftrag kam. Anruf auf eine vorab gespeicherte Nummer, nicht die im Mail. Persönliche Rückfrage, nicht im selben Videocall. Der Arup-Angriff wäre an dieser einen Regel gescheitert.
E-Mail-Authentifizierung scharf stellen. DMARC mit p=reject statt p=none. SPF und DKIM korrekt konfiguriert. Das blockt einen großen Teil generischer Spear-Phishing-Versuche, ohne dass ein Mitarbeiter überhaupt entscheiden muss. Die meisten KMU haben DMARC im Monitoring-Modus laufen, aber nie scharf geschaltet.
Ein Awareness-Training, das Deepfakes zeigt. Nicht das jährliche Pflicht-E-Learning. Echte Beispiele aus dem letzten Jahr, gezeigt im Team-Meeting, mit der Frage: “Hättest du das geklickt?” Mitarbeiter, die einmal einen plausiblen Deepfake-Call gesehen haben, reagieren auf den nächsten anders.
Was nicht funktioniert: ein “AI-Security”-Vendor-Pitch zu kaufen, der im Datenblatt alle Angriffsvektoren abdeckt. Ohne Prozesse, ohne Verifikationsketten, ohne geschultes Personal ist das Tool ein Compliance-Häkchen, kein Schutz.
Das Fenster, das sich gerade schließt
Wer von “die Lage stabilisiert sich” ausgeht, hat die Bewegung nicht verstanden. Angreifer sind in den letzten 24 Monaten zwei Stufen tiefer gerutscht: von manuellen Operationen zu Skalierung mit GenAI, und von dort zu autonomer Mehrschritt-Planung. Verteidiger holen die erste Stufe gerade nach. Die zweite Stufe ist für KMU noch nicht in Sicht.
Diese Lücke schließt sich irgendwann. Defender-AI wird billiger, Managed-Detection-Angebote werden auch für 50-Mann-Betriebe bezahlbar, NIS2-Routinen setzen sich. Aber das passiert in 18 bis 24 Monaten. Bis dahin ist jeder Monat einer, in dem ein Angreifer mit 60 Euro Toolchain auf einen Verteidiger mit jahrelangem Tooling-Rückstand trifft.
Die Frage 2026 ist nicht, ob du in KI-Sicherheit investierst. Sondern ob du die drei billigsten Maßnahmen hast, bevor der nächste Anruf bei dir ankommt: Mehrkanal-Verifikation für Geldtransfers, scharf geschaltetes DMARC, ein Awareness-Training mit echten Deepfake-Beispielen. Wer Deepfakes für ein abstraktes Problem hält, sollte den Beitrag zu KI-Desinformation lesen. Wer die regulatorische Seite einordnen will, findet im Beitrag zu KI und Datenschutz den passenden Rahmen.
Für immer hält das nicht. Die Asymmetrie ist nur jetzt am größten — und sie zielt genau auf die Unternehmen, die am wenigsten dafür ausgerüstet sind.
Wer wissen will, welche konkreten Tools, Prozesse und Kontrollen für KMU im Cybersecurity-Kontext 2026 wirklich tragen, findet im KI-Syndikat-Newsletter regelmäßig Analysen, die Bedrohungslage gegen Verteidigungsbudget gegenrechnen.