Social Engineering 2024: Wie KI Angriffe gefährlicher und überzeugender macht

Ein Hongkonger Unternehmen überweist 25 Millionen USD nach einem Deepfake-Videocall, bei dem ein Mitarbeiter glaubte, mit seinem CFO und Kollegen zu sprechen. Alle Teilnehmer im Call waren KI-generiert. Diese Geschichte aus dem Februar 2024 ist kein Einzelfall – sie ist das neue Normal des KI-gestützten Social Engineerings.

Das Wichtigste in Kürze

• Deepfake-Calls sind real: KI-generierte Video- und Audioinhalte täuschen auch geschulte Mitarbeiter.
• KI-Phishing: kein schlechtes Deutsch mehr: GPT-Modelle schreiben überzeugend in jeder Sprache – traditionelle Erkennungsmerkmale entfallen.
• Business Email Compromise (BEC): Schäden von 2,9 Mrd. USD in 2023 alleine in den USA (FBI IC3).
• Verifikationsprozesse sind die Lösung: Kein Zweifaktor-Protokoll für Überweisungen per Telefonat oder Video ohne Band-Verifizierung.
• Awareness alleine reicht nicht: Technische Gegenmaßnahmen und klare Prozesse sind genauso wichtig.

Der Fall Hongkong: Wie Deepfake-CEO-Fraud funktioniert

Der Angriff im Februar 2024 lief so ab: Ein Mitarbeiter erhielt eine E-Mail, die scheinbar von seinem CFO stammte. Er wurde zu einem Videocall eingeladen, in dem auch andere Kollegen zu sehen waren – alle KI-generiert, basierend auf öffentlich verfügbaren Videomaterial. Der Mitarbeiter überwies 25,6 Millionen USD auf Anweisung des scheinbaren CFOs.

Die technischen Mittel für solche Angriffe werden billiger und zugänglicher. Real-Time-Deepfake-Software ist bereits für wenige hundert Dollar erhältlich. Die Qualität ist gut genug für einen Videocall.

KI-generiertes Phishing: Die neuen Angriffsmuster

Traditionelles Phishing war erkennbar: schlechtes Deutsch, generische Anrede, falsche Logos. KI-generiertes Phishing ist personalisiert: Der Angreifer recherchiert das Opfer (LinkedIn, Unternehmenswebsite, öffentliche Posts), erstellt einen maßgeschneiderten Text und kann sogar den Schreibstil eines bekannten Kollegen imitieren.

Spear-Phishing-Angriffe, die früher stundenlange manuelle Recherche erforderten, können jetzt in Minuten automatisiert auf Hunderte Ziele skaliert werden. Das verschiebt die Bedrohungslandschaft fundamental.

Schutzmaßnahmen: Prozesse, Technologie und Awareness

Vier-Augen-Prinzip für Überweisungen: Jede Überweisung über einem definierten Betrag (z.B. 10.000 €) erfordert Bestätigung über einen zweiten, verifizierten Kanal. Nicht per Rückruf auf die Nummer aus der E-Mail – per etabliertem Telefonbuch-Kontakt.

Code-Wort für kritische Entscheidungen: Vorher vereinbartes Wort, das in kritischen Situationen abgefragt wird. Einfach, aber effektiv gegen Deepfake-Anrufe.

E-Mail-Authentifizierung: SPF, DKIM und DMARC für die eigene Domain konfigurieren. Das verhindert, dass Angreifer E-Mails mit der eigenen Domain fälschen können.

Technische Deepfake-Erkennung: Tools wie Microsoft Video Authenticator, Sensity oder Reality Defender beginnen, in Enterprise-Umgebungen eingesetzt zu werden.

Key Facts auf einen Blick

BEC-Schäden USA 2023: 2,9 Mrd. USD (FBI Internet Crime Report 2023)

Deepfake-Fall Hongkong: 25,6 Mio. USD Schaden durch KI-generierten Videocall

Phishing als Angriffsvektor: 36% aller Datenpannen (Verizon DBIR 2024)

Kosten Real-Time-Deepfake-Tools: Ab wenigen hundert USD erhältlich

Erfolgsrate personalisiertes Phishing: 3x höhere Klickrate als generisches Phishing (Proofpoint)

Fakt: Die durchschnittliche Erkennungszeit einer Phishing-Kampagne beträgt laut Mandiant 16 Stunden.

Fakt: KI-gestützte Phishing-Mails haben laut IBM eine um 40 Prozent höhere Klickrate als herkömmliche.

Häufige Fragen

Was ist Business Email Compromise (BEC)?

BEC ist eine Form des E-Mail-Betrugs, bei der Angreifer legitime E-Mail-Konten oder -Adressen missbrauchen, um Mitarbeiter zu Überweisungen oder Informationsweitergabe zu verleiten. Typische Szenarien: CEO-Fraud, Rechnungsbetrug, Gehaltskontoänderungen.

Kann man Deepfakes technisch erkennen?

Aktuelle Tools wie Reality Defender oder Sensity erreichen 85-95% Erkennungsrate im Labor – in Echtzeit-Szenarien ist das weniger zuverlässig. Prozessuale Absicherung ist derzeit wichtiger als technische Erkennung.

Was ist Vishing und wie schützt man sich?

Vishing (Voice Phishing) sind Telefonangriffe, bei denen Angreifer sich als Kollegen, IT-Support oder Behörden ausgeben. Schutz: Immer über bekannte, vertrauenswürdige Kanäle zurückrufen, nie auf die Rückrufnummer aus dem Anruf.

Wie trainiert man Mitarbeiter gegen Social Engineering?

Phishing-Simulationen (regelmäßig, variiert), Awareness-Trainings mit realen Fallbeispielen, klare Meldeprozesse für verdächtige Kontakte, und eine Unternehmenskultur, in der «ich habe was Verdächtiges gemeldet» gelobt wird.

Wie kann DMARC bei Social Engineering helfen?

DMARC verhindert E-Mail-Spoofing der eigenen Domain. Angreifer können dann keine E-Mails versenden, die scheinbar von company.de kommen. Das eliminiert eine häufige BEC-Taktik. DMARC mit «p=reject» ist der stärkste Schutz.

Weitere Artikel zum Thema

→ KI-generierte Phishing-Mails erkennen: 7 Warnsignale

→ Extreme Zunahme KI-generierter Spam-Mails

Weiterführende Lektüre im Netzwerk

KI im Unternehmenskontext: mybusinessfuture.com

Security für Führungskräfte: digital-chiefs.de

Verwandte Artikel

• Cybersecurity-Trends 2026: Die 7 Entwicklungen, die Security-Entscheider kennen müssen
• KI-generierte Phishing-Mails erkennen: 7 Warnsignale für 2026
• Cybersecurity 2025: Das Jahr im Rückblick – Vorfälle, Trends, Lektionen

Quelle Titelbild: Pexels / Markus Winkler

Sobre el autor: SecurityToday Redaktionsteam

Más artículos de SecurityToday Redaktionsteam