KI macht laut ThreatLabz 2026 Phishing präziser und unsichtbarer.
Zscaler sieht in seinem Report ThreatLabz 2026 Ökonomie der Cyberkriminalität im Wandel: KI tauscht Massenangriffe gegen Präzision ein.
Zusammenfassung (TL; DR):
- Qualität vor Quantität: Das Phishing-Aufkommen sank im zweiten Jahr in Folge um 20 Prozent. Angreifer steigen auf hochrealistische, KI-gestützte Köder um.
- Anstieg im Dienstleistungssektor: Gezielte Angriffe auf den Dienstleistungssektor stiegen um 65,5 Prozent. Angreifer kopieren Arbeitsabläufe wie Rechnungsstellung und Vertragsverlängerungen.
- Der tote Winkel der Verschlüsselung: 95,2 Prozent der Phishing-Versuche verstecken sich heutzutage im verschlüsselten Datenverkehr und umgehen so veraltete Sicherheitsmethoden ohne TLS-Prüfung.
- „Text-to-Site“-Weaponizing: ThreatLabz identifizierte über 413.000 KI-generierte Phishing-Fälle. Ein Beweis, wie leicht Angreifer mittlerweile professionell gestaltete, bösartige Websites erstellen können.
Während das Gesamtvolumen an Phishing-Angriffen im zweiten Jahr in Folge rückläufig ist, identifizierte ThreatLabz 413.524 KI-generierte Webseiten. Mit diesen führten Angreifer realistische Phishing-Angriffe in großem Umfang durch.
Zscaler veröffentlicht seinen jährlichen Zscaler ThreatLabz 2026 Phishing and Initial Access Report. Der Report basiert auf umfassenden Telemetriedaten zu Phishing-Aktivitäten, verschlüsselten Sessions und Interaktionen mit Köder-Systemen. Damit deckt der Report einen grundlegenden Wandel in der Ökonomie der Cyberkriminalität auf. Während das Gesamtvolumen an Phishing-Angriffen das zweite Jahr in Folge zurückging (minus 20 Prozent im Vergleich zum Vorjahr), nahmen die Wirksamkeit und Raffinesse der Angriffe stark zu.
„Text-to-Site“-Tools und Kits für das Highjacking sind beliebte Tools
Angreifer nutzen laut ThreatLabz 2026 zunehmend KI-gestützte „Text-to-Site“-Tools und Kits für das Highjacking von Sessions in Echtzeit. Damit umgingen sie die Multi-Faktor-Authentifizierung (MFA). Entscheidend ist, dass Angreifer diese ausgeklügelten Kampagnen stark verschleiern: 95,2 Prozent der Phishing-Versuche verstecken sich mittlerweile im verschlüsselten Datenverkehr, um veraltete Sicherheitsstacks zu umgehen. Darüber hinaus zeigen Daten zur Täuschungstelemetrie, dass Angreifer Unternehmensidentitäten und Kollaborationsplattformen lange vor dem ersten Einbruch aggressiv scannen und ausloten.
„Wir beobachten derzeit eine strategische Neuausrichtung in der Vorgehensweise von Angreifern für den ersten Zugriff“, sagt Deepen Desai, Chief Security Officer bei Zscaler. „Der Rückgang des reinen Phishing-Volumens ist kein Zeichen eines Rückzugs, sondern deutet auf eine Weiterentwicklung hin. Angreifer tauschen Quantität gegen Qualität ein und nutzen GenAI, um traditionelle Anzeichen wie schlechte Grammatik und generische Köder zu eliminieren. Da sich mittlerweile 95 Prozent der Phishing-Angriffe im verschlüsselten Datenverkehr verstecken, müssen Unternehmen ihren TLS-Datenverkehr prüfen. Eine Zero Trust-Architektur ist der einzige Weg, die Angriffskette zu durchbrechen – von der Erkennung bis zur Datenexfiltration.“
ThreatLabz 2026: Angreifer nutzen GenAI für erste Kompromittierung
Der Report verdeutlicht, wie KI zum Hauptmotor moderner Angriffe geworden ist. ThreatLabz identifizierte 413.524 KI-generierte Website-Instanzen, wovon fast zehn Prozent als eindeutig bösartig einzustufen sind. Kriminelle setzen Tools wie Manus AI, Blackbox AI und Lovable AI ein, um innerhalb von Minuten professionell gestaltete, markenkonsistente Phishing-Portale zu erstellen. Diese Aufgaben erforderten zuvor tagelange manuelle Entwicklungsarbeit. Diese KI-generierten Köder sind besonders effektiv darin, vertrauensbasierte Arbeitsabläufe nachzuahmen. Der Dienstleistungssektor sind am stärksten von dieser Entwicklung betroffen und verzeichnete einen Anstieg der Zugriffe um 65,5 Prozent im Vergleich zum Vorjahr. Angreifer nutzen Interaktionen wie Rechnungsstellung, Onboarding neuer Mitarbeiter und Vertragsverlängerungen für ihre Zwecke.
Weitere Ergebnisse des ThreatLabz 2026 Reports
- Die globale Lage: Die USA bleiben ein Hauptziel für E-Mail-Phishing-Angriffe; in Brasilien stieg die Zahl der Phishing-Hosts um 2.522 Prozent an. Damit ist das Land einer der fünf weltweit führenden Herkunftsländer.
- Aufschlüsselung nach Branchen: Das verarbeitende Gewerbe und der öffentliche Sektor bleiben die Hauptziele für E-Mail Phishing-Angriffe, wobei die Angriffe auf den öffentlichen Sektor um 50 Prozent zunahmen, da Angreifer auf hochwertige Informationen abzielen.
- Trends beim Credential Harvesting: Microsoft und Google sind die am häufigsten nachgeahmten Marken bei Phishing-Angriffen, was den anhaltenden Fokus auf die Kompromittierung von Identitätssystemen in Unternehmen zeigt.
- Umgehung von Erkennung: Verschlüsselung ist mittlerweile Standard für Cyberkriminelle, wobei 87 Prozent der böswilligen Aktivitäten über HTTPS erfolgen.
- Feindliche Scan-Aktivitäten: Angreifer nutzen legitime Cloud-Infrastrukturen zur Aufklärung. Sie setzen über 121.000 einzigartige, in der Public Cloud gehostete IP-Adressen ein, um Umgebungen zu sondieren.
Deception-Technologie deckt Absichten von Angreifern auf
Telemetriedaten von globalen Lockvogel-Systemen dokumentierten fast 90 Millionen böswillige Interaktionen über 1,37 Millionen eindeutige Angreifer-IP-Adressen hinweg. Diese Daten bestätigen, dass Angreifer Kollaborations- und Identitätsplattformen aggressiv ausloten, um Schwachstellen zu finden und zu testen, wie weit die Abwehrmaßnahmen reichen.
Methodologie: ThreatLabz analysierte täglich über 500 Billionen Signale aus der Zscaler Zero Trust Exchange-Plattform. Der Report basiert auf Daten, die von Januar bis Dezember 2025 erhoben wurden.
