Neue Angriffsvektoren 2026: Was KMUs jetzt wissen müssen

Die Bedrohungslage für Unternehmen hat sich in den letzten 12 Monaten grundlegend verändert. Nicht, weil es mehr Angriffe gibt, sondern weil die Angriffe besser geworden sind. AI-generierte Phishing-Mails sind grammatisch perfekt, Deepfake-Anrufe klingen wie der Geschäftsführer, und Angriffe auf Software-Lieferketten treffen Unternehmen, die dachten, sie seien zu klein für Hacker.

Dieser Artikel beschreibt die wichtigsten neuen Angriffsvektoren und was KMUs konkret dagegen tun können. Kein Enterprise-Budget erforderlich.

1. AI-gestütztes Phishing: Das Ende der Tippfehler

Die klassische Phishing-Mail mit schlechtem Deutsch und verdächtigen Links ist Geschichte. Aktuelle Phishing-Kampagnen nutzen Sprachmodelle, um Nachrichten zu generieren, die kontextbezogen, grammatisch einwandfrei und personalisiert sind.

Was das in der Praxis bedeutet:

• Spear-Phishing auf Steroiden: Angreifer scrapen LinkedIn-Profile, Firmenwebsites und Pressemitteilungen, um Mails zu generieren, die auf konkrete Projekte oder Kollegen Bezug nehmen
• Mehrsprachig und lokalisiert: Eine Mail an ein Münchner Unternehmen klingt bayerisch, nicht wie aus Google Translate
• Zeitlich abgestimmt: Phishing-Mails landen zu Stoßzeiten (Montagmorgen, kurz vor Feierabend), wenn die Aufmerksamkeit niedrig ist

Gegenmaßnahmen

• E-Mail-Authentifizierung einrichten: SPF, DKIM und DMARC sind Pflicht, nicht Kür
• Zwei-Faktor-Authentifizierung für alle Accounts, die geschäftskritisch sind
• Mitarbeiterschulungen, die nicht auf Tippfehler-Erkennung setzen, sondern auf Prozesse ("Rufe bei Zahlungsanweisungen immer zurück")

2. Deepfake Voice & Video: Der falsche Chef am Telefon

Voice-Cloning benötigt heute wenige Sekunden Audiomaterial. Ein kurzes YouTube-Interview des Geschäftsführers reicht, um eine synthetische Stimme zu erzeugen, die dessen Tonfall, Dialekt und Sprechgewohnheiten nachahmt.

Dokumentierte Szenarien:

• CEO-Fraud per Anruf: "Hier ist der Thomas, überweise bitte sofort 45.000 Euro an den neuen Lieferanten, ich bin grad im Meeting." Die Stimme klingt echt, die Nummer ist gespooft
• Fake-Videokonferenzen: In Echtzeit generierte Deepfake-Videos in Zoom-Calls, die Geschäftspartner oder Vorgesetzte imitieren

Gegenmaßnahmen

• Rückruf-Protokoll für alle Zahlungsanweisungen über einem Schwellwert: immer auf einer bereits bekannten Nummer, nie auf der Nummer aus dem Anruf
• Interne Code-Wörter für telefonische Freigaben
• Sensibilisierung: Wenn ein Anruf ungewöhnlich dringend ist, ist das ein Warnsignal, kein Grund zur Eile

3. Supply-Chain-Angriffe: Das schwächste Glied

Warum ein Unternehmen direkt angreifen, wenn man seinen Softwareanbieter kompromittieren kann? Supply-Chain-Angriffe zielen auf die Werkzeuge und Dienste, die KMUs täglich nutzen.

• Kompromittierte Updates: Ein manipuliertes Software-Update installiert eine Hintertür. Das betroffene Unternehmen hat nichts falsch gemacht. Es hat lediglich seinem Anbieter vertraut
• Abhängigkeiten in Open Source: Ein einzelnes npm- oder pip-Paket, das Millionen Projekte einbindet, wird von einem neuen Maintainer übernommen, der Schadcode einfügt
• Cloud-Dienste als Einfallstor: Wenn ein SaaS-Anbieter kompromittiert wird, sind alle seine Kunden betroffen

Gegenmaßnahmen

• Vendor-Bewertung: Wie handhabt Ihr Softwareanbieter Sicherheit? Gibt es SOC-2-Zertifizierung oder vergleichbare Nachweise?
• Abhängigkeiten minimieren: Weniger externe Dienste bedeutet weniger Angriffsfläche
• Self-Hosting für geschäftskritische Systeme: Volle Kontrolle über Updates und Datenflüsse
• Regelmäßige Überprüfung der eingesetzten Softwarebibliotheken auf bekannte Schwachstellen

4. Prompt Injection: Angriffe auf AI-Systeme

Wer AI-Systeme in Geschäftsprozesse integriert, schafft eine neue Angriffsfläche. Prompt Injection beschreibt Angriffe, bei denen ein Angreifer die Eingaben eines Sprachmodells manipuliert, um es zu unerwünschtem Verhalten zu bringen.

• Indirekte Prompt Injection: Ein Angreifer platziert versteckte Anweisungen in einer Website, einem Dokument oder einer E-Mail. Wenn ein AI-Assistent dieses Material verarbeitet, folgt er den eingebetteten Anweisungen statt den ursprünglichen
• Datenexfiltration über Chatbots: Ein Kundensupport-Bot, der auf interne Datenbanken zugreift, wird durch geschickte Fragen dazu gebracht, vertrauliche Informationen preiszugeben

Gegenmaßnahmen

• AI-Systeme grundsätzlich mit minimalen Berechtigungen betreiben (Principle of Least Privilege)
• Eingaben validieren und filtern, bevor sie an das Sprachmodell weitergereicht werden
• Kritische Aktionen (Zahlungen, Datenzugriff) nie vollständig automatisieren: immer einen menschlichen Freigabeschritt einbauen
• Regelmäßige Sicherheitstests der eigenen AI-Integrationen

5. Ransomware 2.0: Doppelte Erpressung als Standard

Ransomware ist nicht neu. Neu ist, dass Angreifer heute zuerst die Daten kopieren und dann verschlüsseln. Selbst wer ein Backup hat, steht vor dem Problem: "Zahlen Sie, oder wir veröffentlichen Ihre Kundendaten."

Für KMUs ist das besonders gefährlich, weil sie oft weder die Ressourcen für umfassende Incident Response haben noch die rechtlichen Folgen eines Datenlecks abfedern können (DSGVO-Bußgelder, Vertrauensverlust).

Gegenmaßnahmen

• 3-2-1-Backup-Regel: 3 Kopien, 2 verschiedene Medien, 1 Kopie offline/off-site
• Netzwerksegmentierung: Wenn ein Rechner kompromittiert wird, darf nicht das gesamte Netzwerk zugänglich sein
• Daten klassifizieren: Was ist wirklich sensibel? Diese Daten besonders schützen und den Zugriff begrenzen
• Incident-Response-Plan vorbereiten, bevor der Ernstfall eintritt

Was KMUs konkret tun sollten: eine Checkliste

Man muss kein Enterprise-Budget haben, um die grundlegenden Dinge richtig zu machen:

1. E-Mail-Sicherheit: SPF, DKIM, DMARC einrichten. Kosten: Null
2. 2FA überall: Für E-Mail, Cloud-Dienste, Banking, Admin-Zugänge
3. Backups testen: Nicht nur erstellen, sondern regelmäßig prüfen, ob die Wiederherstellung funktioniert
4. Updates zeitnah einspielen: Die meisten erfolgreichen Angriffe nutzen bekannte, bereits gepatchte Schwachstellen
5. Mitarbeiter schulen: Kurze, regelmäßige Awareness-Sessions statt einmaliger Pflichtschulung
6. Externe Dienste prüfen: Welche Cloud-Dienste nutzen Sie? Wer hat Zugriff auf was?
7. Notfallplan erstellen: Wer ist zuständig, wenn es passiert? Welche Nummer rufen Sie an?

IT-Sicherheit ist kein Projekt mit Enddatum. Es ist ein fortlaufender Prozess, der mit den Grundlagen beginnt, nicht mit teuren Tools.

Häufig gestellte Fragen zu IT-Sicherheit für KMUs

Wie erkenne ich AI-generierte Phishing-Mails?

AI-generierte Phishing-Mails enthalten keine Tippfehler mehr und sind oft personalisiert. Achten Sie stattdessen auf ungewöhnliche Dringlichkeit, unerwartete Zahlungsanweisungen und Absenderadressen, die leicht von der echten Domain abweichen. Die beste Gegenmaßnahme: Rückruf-Protokolle bei Zahlungsanweisungen und konsequente Zwei-Faktor-Authentifizierung.

Was ist eine Supply-Chain-Attacke und warum betrifft sie KMUs?

Bei einer Supply-Chain-Attacke wird nicht Ihr Unternehmen direkt angegriffen, sondern ein Softwareanbieter oder eine Bibliothek, die Sie nutzen. Über manipulierte Updates oder kompromittierte Cloud-Dienste gelangen Angreifer in Ihr System. KMUs sind betroffen, weil sie oft dieselben Tools nutzen wie Großunternehmen, aber weniger Ressourcen zur Absicherung haben.

Was ist Prompt Injection und wie schütze ich mein Unternehmen davor?

Prompt Injection ist ein Angriff auf AI-Systeme, bei dem versteckte Anweisungen in Dokumenten, E-Mails oder Websites platziert werden, die ein Sprachmodell dazu bringen, unerwünschte Aktionen auszuführen. Schutzmaßnahmen: AI-Systeme mit minimalen Berechtigungen betreiben, Eingaben validieren und kritische Aktionen nie vollständig automatisieren.

Welche IT-Sicherheitsmaßnahmen sollte jedes KMU sofort umsetzen?

Die wichtigsten Sofortmaßnahmen: SPF, DKIM und DMARC für E-Mail-Sicherheit einrichten, Zwei-Faktor-Authentifizierung für alle geschäftskritischen Accounts aktivieren, Backups nach der 3-2-1-Regel anlegen und regelmäßig testen, Software-Updates zeitnah einspielen und einen Notfallplan mit klaren Zuständigkeiten erstellen.