0345-78282673
KMGIT GmbH
Security

Phishing-Awareness im Mittelstand: Was 2026 wirklich gegen KI-Phishing hilft

KI-Phishing, MFA-Bypass via Reverse-Proxy und OAuth-Phishing — wie ein Mittelständler ein wirksames Awareness-Konzept aufbaut, was nach Klick zu tun ist.

KMGIT Redaktion 6 Min. Lesezeit

Phishing ist 2026 nicht mehr das Phishing von 2018. Die klassischen Erkennungsmerkmale — schlechte Rechtschreibung, plumpe Übersetzungen, unwahrscheinliche Absenderadressen — sind weitgehend verschwunden. KI-generierte Phishing-Mails sind sprachlich perfekt, zielgerichtet, kontextbezogen und nutzen oft persönliche Informationen aus LinkedIn oder vorherigen Datenlecks.

Wir haben in den letzten Monaten Phishing-Versuche bei Kunden in Sachsen-Anhalt analysiert, die selbst erfahrene IT-Anwender getäuscht haben. Drei Trends prägen das Bild: KI-gestützte Personalisierung, MFA-Bypass durch Reverse-Proxy-Frameworks und OAuth-Phishing. Wer diese drei Vektoren nicht versteht, baut ein Awareness-Konzept, das die heutige Bedrohung nicht trifft.

Trend 1 — KI-generierte Phishing-Mails

Frühere Phishing-Mails ließen sich an Stilbrüchen erkennen. Heute generieren Angreifer Texte mit Large Language Models und können die Tonlage, die Anrede und die Begriffswelt einer Branche treffsicher imitieren. Was wir konkret sehen:

  • Mail im Stil des Vorgesetzten an die Buchhaltung mit Bitte um Überweisung — sprachlich nicht von einer echten Mail zu unterscheiden.
  • Lieferanten-Imitation mit angepasster Rechnungsvorlage, neue Bankverbindung “wegen Anbieterwechsel”.
  • Steuerberater-Imitation an den Mandanten, korrekt formuliert, mit Bezug auf laufende Mandatsthemen.

Was hilft:

  • Out-of-Band-Verifikation für Geld- und Datenzugriffs-Anweisungen. Vier-Augen-Prinzip plus Rückruf an die hinterlegte Nummer.
  • Mail-Authentifizierung durchgängig (SPF, DKIM, DMARC mit Policy reject). Reduziert nicht-domain-spoofing-Angriffe.
  • Mail-Filter mit Verhaltens-Analyse statt rein signaturbasierter Filter. Microsoft Defender for Office 365, Proofpoint, Mimecast erkennen Stil-Anomalien teilweise.

Trend 2 — MFA-Bypass via Reverse-Proxy

Multi-Factor Authentication (MFA) war lange das Patent gegen Phishing. Mit Reverse-Proxy-Frameworks wie evilginx2 oder modlishka ist das 2026 nicht mehr der Fall. Funktionsweise:

  1. Das Opfer klickt auf einen Phishing-Link.
  2. Die Phishing-Seite ist ein transparenter Proxy zur echten Microsoft-Login-Seite.
  3. Das Opfer gibt Benutzername, Passwort UND MFA-Code ein — alles wird in Echtzeit an Microsoft weitergeleitet.
  4. Microsoft authentifiziert das Opfer und liefert ein Session-Cookie an die Phishing-Seite.
  5. Der Angreifer kopiert das Cookie in seinen Browser und ist authentifiziert — ohne weitere MFA.

Klassische TOTP- und SMS-MFA-Verfahren schützen davor nicht. Was schützt:

  • FIDO2-Hardware-Keys (YubiKey, Feitian, Token2). Die Authentifizierung ist an die echte Domain gebunden — auf einer Phishing-Domain funktioniert der Key schlicht nicht.
  • Passkeys mit Domain-Bindung — funktional vergleichbar mit FIDO2.
  • Conditional Access mit Geräte-Compliance: Zugriff nur von verwalteten Geräten.

Für privilegierte Accounts (Domain-Admin, Globaler M365-Admin, Bank-Verfügungsberechtigte) sollte 2026 keine TOTP-MFA mehr eingesetzt werden — nur noch FIDO2 oder gleichwertig.

Trend 3 — OAuth-Phishing

Beim OAuth-Phishing wird das Opfer nicht zur Eingabe von Anmeldedaten verleitet, sondern zur Erteilung einer App-Berechtigung. Beispiel:

  • Mail: “Microsoft Security Audit — bitte autorisieren Sie das Audit-Tool.”
  • Klick führt zur echten Microsoft-Login-Seite.
  • Das Opfer meldet sich legitim an.
  • Anschließend erscheint die echte Microsoft-Berechtigungs-Anfrage einer Drittpartei-App, die Mail-Lese-, Datei-Zugriffs- und Postfach-Verschiebe-Rechte verlangt.
  • Wer auf “Zustimmen” klickt, hat eine externe App im eigenen Tenant — mit Mail-Vollzugriff.

Was hilft:

  • Admin-Consent-Workflow in Entra ID aktivieren. Damit dürfen Nutzer keine Drittpartei-Apps mehr autorisieren — nur ein Admin nach Prüfung.
  • App-Inventar monatlich überprüfen. Bestehende externe Apps mit ungewöhnlich weitreichenden Berechtigungen identifizieren und entfernen.

Awareness-Training — was wirklich wirkt

Ein einmaliges Online-Training pro Jahr ist Pflichterfüllung, aber ineffektiv. Was wir in der Praxis als wirksam erleben:

  • Kurze, themenfokussierte Sessions (15–30 Min.) alle 3 Monate, im echten Arbeitskontext durchgeführt.
  • Simulierte Phishing-Tests mit nachfolgendem 5-Minuten-Coaching für Klick-Opfer (kein “Pranger”, kein Disziplinarverfahren).
  • Konkrete Beispiele aus der eigenen Branche und idealerweise aus der eigenen Mail-Historie.
  • Klare Verhaltens-Regeln für die häufigsten Situationen: Mail mit Anhang von Unbekanntem, Mail mit ungewöhnlicher Bankverbindung, Mail mit Login-Aufforderung.
  • Niedrigschwellige Meldewege — ein “Phishing melden”-Button in Outlook, der die Mail an das IT-Team weiterleitet.

Wichtig: das Training muss klare Botschaften haben. “Klicken Sie nicht auf verdächtige Links” ist 2026 zu vage. Konkretes: “Erscheint ein Microsoft-Login nach Klick auf einen E-Mail-Link — schließen Sie das Fenster, gehen Sie über das Browser-Lesezeichen zu portal.office.com und melden Sie sich dort an.”

Was nach einem Klick zu tun ist

Wenn der Verdacht besteht, dass ein Mitarbeiter Phishing-Opfer geworden ist, zählt jede Minute:

  1. Sofort Passwort ändern und alle aktiven Sessions invalidieren (in Entra ID über “Sign-In aller Sitzungen widerrufen”).
  2. Mail-Postfach prüfen auf neu erstellte Weiterleitungs-Regeln (klassisches Phishing-Artefakt) und auf gesendete Mails.
  3. MFA-Konfiguration prüfen — ist ein zusätzliches Authentifizierungs-Gerät hinzugekommen?
  4. OAuth-Apps überprüfen — wurde eine neue App autorisiert?
  5. AD-Audit auf neue Kontoänderungen, Gruppenzugehörigkeiten oder neue Konten in den letzten 24 Stunden.
  6. Im Zweifelsfall IT-Dienstleister einschalten — wir bieten in Notfällen auch außerhalb der Geschäftszeiten Unterstützung an, siehe Fernzugriff.

Wenn die Mail-Postfächer Mandantendaten enthielten und Daten möglicherweise abgeflossen sind, ist nach Art. 33 DSGVO eine Meldung an die Landesdatenschutzbehörde innerhalb von 72 Stunden Pflicht — bei Steuerkanzleien zusätzlich die Berücksichtigung des Mandantengeheimnisses nach § 203 StGB.

Awareness-Konzept für 5 bis 50 Mitarbeiter

Für ein typisches KMU oder eine mittlere Kanzlei in Sachsen-Anhalt empfehlen wir folgende Struktur:

  1. Jahresprogramm mit vier Themen-Sessions à 30 Minuten:
    • Q1: KI-Phishing erkennen
    • Q2: MFA und Login-Hygiene
    • Q3: Soziale Manipulation (Vishing, Smishing, CEO-Fraud)
    • Q4: Verhalten im Verdachtsfall
  2. Quartalsweise simulierte Phishing-Mails (typischerweise 4–6 Wellen im Jahr) mit nachgelagertem Coaching.
  3. Jährlicher Pflichtkurs für alle neuen Mitarbeiter im Onboarding.
  4. Phishing-Meldebutton in Outlook für alle Mitarbeiter.
  5. Monatlicher Awareness-Newsletter der Geschäftsleitung mit aktuellen Beispielen.

Die Kosten sind moderat: für eine 20-Personen-Belegschaft etwa 800–1.500 € jährlich inkl. Tool-Lizenz und externer Begleitung.

Tool-Kategorien (Vendor-neutral)

Im Awareness-Bereich gibt es 2026 mehrere ausgereifte Plattformen mit deutscher Sprachunterstützung. Wir nennen hier bewusst keine konkreten Vendoren, da die Auswahl stark von der bestehenden Sicherheits-Architektur abhängt. Die relevanten Kategorien:

  • Awareness-Plattformen für Schulungen plus simulierte Phishing-Kampagnen.
  • Mail-Filter mit Verhaltens-Analyse.
  • EDR-Lösungen mit Erkennung von OAuth-Anomalien (siehe unseren Beitrag zum Ransomware-Schutz).
  • Identity Threat Detection speziell für Entra ID / Active Directory.

Eine konkrete Tool-Empfehlung sprechen wir nach einer Bedarfsanalyse aus — das ist Teil unserer regulären Beratung.

Was wir NICHT empfehlen

  • Phishing-Klicker bloßstellen. Schafft eine Angstkultur, in der Mitarbeiter Vorfälle verschweigen — und damit das eigentliche Risiko verstärken.
  • Komplexe Passwort-Regeln (90-Tage-Rotation). Erzeugt Passwort-Müll wie Sommer2026!, ohne den Sicherheits-Wert zu erhöhen. Aktuelle Empfehlung des BSI: Passphrase mit ausreichender Länge, kein verpflichtender Wechsel.
  • MFA als Universal-Schutz beworben. MFA ist eine wichtige Schicht — aber gegen Reverse-Proxy nicht ausreichend. Wer FIDO2 nicht zeitnah ausrollt, hängt ab.

Beratung anfragen

Wir bauen Awareness-Konzepte für Mittelständler und Kanzleien in Sachsen-Anhalt als wiederkehrende Dienstleistung — inkl. simulierter Phishing-Kampagnen, Schulungen und konkreter Vorfallbegleitung. Sprechen Sie uns an, wenn Sie Ihren aktuellen Awareness-Stand bewerten oder ein neues Konzept aufbauen möchten.

#Phishing #Security #Awareness #MFA

Weiter lesen

Weiterführende Artikel

Security

DSGVO-Audit in sieben Schritten: Self-Check-Liste für mittelständische Unternehmen

Wie ein DSGVO-Audit im KMU konkret abläuft — Verarbeitungsverzeichnis, TOM, AV-Verträge, Löschkonzept und eine Self-Check-Liste zum Mitnehmen.

Artikel lesen Security

Backup-Strategie 3-2-1 in der Praxis: Konkrete Umsetzung für eine 8-Plätze-Kanzlei

Wie die 3-2-1-Backup-Regel in einer kleinen Steuerkanzlei konkret aussieht — NAS, Cloud-Backup, Offline-Quartalsbackup, RPO/RTO und Restore-Tests.

Artikel lesen Security

Ransomware-Schutz für KMU: Anatomie eines Angriffs und drei Linien der Verteidigung

Wie Ransomware-Angriffe auf KMU 2026 ablaufen, welche Eintrittsvektoren wir in der Praxis sehen und welche drei Verteidigungslinien wirklich Schutz bieten.

Artikel lesen

Sie haben Fragen?

Persönliche Beratung statt Hotline-Wartemusik.

Rufen Sie uns an oder schreiben Sie kurz — wir melden uns innerhalb eines Arbeitstages mit einer konkreten Einschätzung.

Seit 2008 im Saalekreis · DATEV-erprobt · §203-AVV-Standard.

Beratung anfragen Antivirenlösungen & Security

Können wir Ihnen helfen?

Der IT-Dienstleister für Steuerberater

Anrufen Kontakt