Warum Cyberkriminelle mit der Angriffsfläche Online-Shopping so erfolgreich sind

2304_MartinKraemer_0080_13__Portrait[172853]

Dr. Martin J. Krämer, CISO Advisor bei KnowBe4

Vor kurzem hat McAfee die Ergebnisse seiner 2026 Online Shopping Research-Umfrage veröffentlicht. Die Untersuchung zeigt, dass Angreifer es im Online-Shopping besonders leicht haben, ihre Opfer zu manipulieren, Social Engineering, Phishing und Spear Phishing-Attacken zu starten. Denn: umso größer der versprochene Rabatt eines Verkäufers, umso eher tendieren die Kaufinteressierten dazu, anfällig für Manipulationen zu werden, wird ihr mühsam erarbeitetes Sicherheitsbewusstsein außer Kraft gesetzt.

Für die überwältigende Mehrheit der Befragten der Untersuchung, ganze 82 Prozent, hat beim Online-Shopping das Aufspüren des günstigsten Angebots absolute Priorität. Ganze 55 Prozent erklärten, sogar, zusätzliche Zeit in die gezielte Jagd nach Schnäppchen zu investieren. Das Problem: die obsessive Suche nach Rabatten führt viele von ihnen in eine psychologische Falle. Ganze 40 Prozent gaben an, einem Angebot, wenn es nur ausreichend günstig ist, gänzlich blind zu vertrauen – ohne dessen Authentizität oder den Hintergrund des Anbieters im Vorfeld zu prüfen. Der Wunsch, Geld einzusparen, hebelt ihr Sicherheitsbewusstsein aus. Ein idealer Nährboden für heutige, hochentwickelte Cyberbetrugsmaschen.

37 Prozent der Befragten gaben an, schon einmal Geld durch Betrug im Online-Shopping verloren zu haben. Die Beträge, um die es dabei geht, sind nicht unerheblich: 45 Prozent der Opfer büßten bereits mehr als 100 US-Dollar ein, 20 Prozent sogar mehr als 500 Dollar.

Auch beim Online-Shopping-Betrug hat Künstliche Intelligenz dabei zu einem signifikanten Anstieg der Professionalisierung geführt, gegen die traditionelle Sicherheitsschulungen und -Trainings weitgehend nutzlos sind. KI ermöglicht es den Betrügern, fehlerfreie, lokalisierte und visuell überzeugende Phishing-Kampagnen, Fake-Websites und betrügerische Werbeanzeigen in Sekundenschnelle zu erstellen – und bei Bedarf massiv zu skalieren. Ganze 70 Prozent der Befragten gaben an, dass KI-generierte bösartige Inhalte im Online-Shopping für sie nur noch äußerst schwer zu erkennen seien.

Das ist ein echtes Problem. Denn Cyberkriminellen steht, wenn es ums Online-Shopping geht, eine ganze Reihe effektiver Angriffsvektoren zur Verfügung. An erster Stelle: Fake-Bestellbestätigungen und -Versandbenachrichtigungen, die von 34 Prozent aller Befragten gemeldet wurden. Es folgt der klassische Lieferdienst-Betrug: 32 Prozent erhielten Nachrichten, in denen sich Angreifer als Logistikunternehmen ausgaben. Weitere 27 Prozent erhielten Zahlungsaufforderungen und Anfragen zu Kontoinformationen, 26 Prozent Fake-Warnungen über verdächtige Kontoaktivitäten und knapp ein Viertel Fake-Nachrichten von angeblichen Einzelhändlern. Ergänzt wird dieses Vektorenspektrum durch unterschiedlichste Manipulationsversuche, etwa künstliche Verknappungssignale (24 Prozent) oder manipulative Rabattcodes und Angebote für einen Spontankauf (22 Prozent). Ob gefälschte Social-Media-Anzeigen, QR-Code-Betrug, Brushing-Maschen oder fingierte Rückrufaktionen – die Cyberkriminellen nutzen die kollektive Hektik und die Schnäppchen-Euphorie im Online-Shopping gezielt aus, um das kognitive Misstrauen ihrer Opfer, ihr mühsam erarbeitetes Sicherheitsbewusstsein, systematisch zu überwinden.

Unternehmen sollten die Ergebnisse der McAfee-Umfrage als Warnsignal verstehen. Leicht kann auch einer ihrer Mitarbeiter beim Online-Shopping in die Fänge der Cyberkriminellen geraten. Mit ihren traditionellen Cybersicherheitsschulungen und Aufklärungskampagnen – mit einfachen KI-Unterstützungslösungen – werden sie dabei aber nicht weit kommen. Im Zeitalter der KI, in dem auch Angreifer mit geringen Grundkenntnissen hochprofessionelle, flexible – und effektive – Kampagnen fahren können, wird auf Seiten der Verteidiger ein besonderes, ein agentisches KI-System benötigt. Schulungen und Trainings zur Anhebung des Sicherheitsbewusstseins, lassen sich mit seiner Hilfe individuell an jeden einzelnen Anwender sowie an die aktuelle Bedrohungslandschaft anpassen. Potentielle Opfer können in Echtzeit, wieder und wieder, mit der aktuellen Bedrohungslage konfrontiert, ihre Verhaltensmuster immer weiter für den Ernstfall optimiert werden.

Am effektivsten – da umfassendsten – helfen kann ihnen hier der Einsatz eines modernen Digital Workforce Security-System. Seine Phishing-Trainings, -Schulungen und -Tests lassen sich, agentische KI sei Dank, personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen, um das Sicherheitsbewusstsein der Mitarbeiter zu stärken. Seine modernen Anti-Phishing-E-Mail-Technologien kombinieren KI mit Crowdsourcing, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, Risiken signifikant zurückzufahren und ihre Mitarbeiter zur besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen.