Während das Gesamtvolumen an Phishing-Angriffen im zweiten Jahr in Folge rückläufig ist, identifizierte ThreatLabz 413.524 KI-generierte Webseiten, mit denen Angreifer realistische Phishing-Angriffe in großem Umfang durchführen können.
Highlights des Reports:
- Qualität vor Quantität: Das Phishing-Aufkommen sank im zweiten Jahr in Folge um 20 Prozent, denn Angreifer steigen auf hochrealistische, KI-gestützte Köder um.
- Anstieg im Dienstleistungssektor: Gezielte Angriffe auf den Dienstleistungssektor stiegen um 65,5 Prozent, da Angreifer Arbeitsabläufe wie Rechnungsstellung und Vertragsverlängerungen kopierten.
- Der tote Winkel der Verschlüsselung: 95,2 Prozent der Phishing-Versuche verstecken sich heutzutage im verschlüsselten Datenverkehr und umgehen so veraltete Sicherheitsmethoden ohne TLS-Prüfung.
- „Text-to-Site“-Weaponizing: ThreatLabz identifizierte über 413.000 KI-generierte Phishing-Fälle. Ein Beweis, wie leicht Angreifer mittlerweile professionell gestaltete, bösartige Websites erstellen können.
- MFA in Gefahr: Ausgefeilte Kits wie „BlackForce“ werden eingesetzt, um aktive Sessions zu kapern und die Multi-Faktor-Authentifizierung in Echtzeit zu umgehen.
- Aufgedeckte Angriffsversuche: Deception-Telemetrie verzeichnete in sechs Monaten 89,9 Millionen feindliche Interaktionen von 1,37 Millionen eindeutigen Angreifer-IPs, was groß angelegte Scans und die Überprüfung von Anmeldedaten vor einer Kompromittierung offenlegte.
Wien, Österreich (Zenith Live 2026) – 17. Juni 2026 – Zscaler, Inc. (NASDAQ: ZS), die Cybersicherheitsplattform für das KI-Zeitalter, veröffentlicht seinen jährlichen Zscaler ThreatLabz 2026 Phishing and Initial Access Report. Basierend auf umfassenden Telemetriedaten zu Phishing-Aktivitäten, verschlüsselten Sessions und Interaktionen mit Köder-Systemen aus der weltweit größten Inline Security Cloud deckt der Report einen grundlegenden Wandel in der Ökonomie der Cyberkriminalität auf. Während das Gesamtvolumen an Phishing-Angriffen das zweite Jahr in Folge zurückging (minus 20 Prozent im Vergleich zum Vorjahr), haben die Wirksamkeit und Raffinesse der Angriffe stark zugenommen.
Angreifer nutzen zunehmend KI-gestützte „Text-to-Site“-Tools und Kits für das Highjacking von Sessions in Echtzeit, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen. Entscheidend ist, dass Angreifer diese ausgeklügelten Kampagnen stark verschleiern: 95,2 Prozent der Phishing-Versuche verstecken sich mittlerweile im verschlüsselten Datenverkehr, um veraltete Sicherheitsstacks zu umgehen. Darüber hinaus zeigen Daten zur Täuschungstelemetrie, die fast 90 Millionen böswillige Interaktionen erfassten, dass Angreifer Unternehmensidentitäten und Kollaborationsplattformen schon lange vor dem ersten Einbruch aggressiv scannen und ausloten.
„Wir beobachten derzeit eine strategische Neuausrichtung in der Vorgehensweise von Angreifern für den ersten Zugriff“, sagt Deepen Desai, Chief Security Officer bei Zscaler. „Der Rückgang des reinen Phishing-Volumens ist kein Zeichen eines Rückzugs, sondern deutet auf eine Weiterentwicklung hin. Angreifer tauschen Quantität gegen Qualität ein und nutzen GenAI, um traditionelle Anzeichen wie schlechte Grammatik und generische Köder zu eliminieren. Da sich mittlerweile 95 Prozent der Phishing-Angriffe im verschlüsselten Datenverkehr verstecken, können es sich Unternehmen nicht mehr leisten, ihren TLS-Datenverkehr ungeprüft zu lassen. Eine Zero Trust-Architektur ist der einzige Weg, die Angriffskette zu durchbrechen – von der Erkennung bis zur Datenexfiltration.“
Angreifer nutzen GenAI für hochrealistische erste Kompromittierung
Der Report verdeutlicht, wie KI zum Hauptmotor moderner Angriffe geworden ist. ThreatLabz identifizierte 413.524 KI-generierte Website-Instanzen, wovon fast zehn Prozent als eindeutig bösartig eingestuft wurden. Tools wie Manus AI, Blackbox AI und Lovable AI werden eingesetzt, um innerhalb von Minuten professionell gestaltete, markenkonsistente Phishing-Portale zu erstellen – Aufgaben, die zuvor tagelange manuelle Entwicklungsarbeit erforderten. Diese KI-generierten Köder sind besonders effektiv darin, vertrauensbasierte Arbeitsabläufe nachzuahmen. Der Dienstleistungssektor war am stärksten von dieser Entwicklung betroffen und verzeichnete einen Anstieg der Zugriffe um 65,5 Prozent im Vergleich zum Vorjahr. Angreifer nutzen Interaktionen wie Rechnungsstellung, Onboarding neuer Mitarbeiter und Vertragsverlängerungen für ihre Zwecke.
Weitere Ergebnisse des Reports von 2026:
- Die globale Lage: Die USA bleiben ein Hauptziel für E-Mail-Phishing-Angriffe; in Brasilien stieg die Zahl der Phishing-Hosts um 2.522 Prozent an, wodurch das Land zu einem der fünf weltweit führenden Herkunftsländer wurde.
- Aufschlüsselung nach Branchen: Das verarbeitende Gewerbe und der öffentliche Sektor bleiben die Hauptziele für E-Mail Phishing-Angriffe, wobei die Angriffe auf den öffentlichen Sektor um 50 Prozent zunahmen, da Angreifer auf hochwertige Informationen abzielen.
- Trends beim Credential Harvesting: Microsoft und Google sind die am häufigsten nachgeahmten Marken bei Phishing-Angriffen, was den anhaltenden Fokus auf die Kompromittierung von Identitätssystemen in Unternehmen zeigt.
- Umgehung von Erkennung: Verschlüsselung ist mittlerweile Standard für Cyberkriminelle, wobei 87 Prozent der böswilligen Aktivitäten über HTTPS erfolgen.
- Feindliche Scan-Aktivitäten: Angreifer nutzen legitime Cloud-Infrastrukturen zur Aufklärung und setzen über 121.000 einzigartige, in der Public Cloud gehostete IP-Adressen ein, um Umgebungen zu sondieren.
Deception-Technologie deckt Absichten von Angreifern auf
Telemetriedaten von globalen Lockvogel-Systemen dokumentierten fast 90 Millionen böswillige Interaktionen über 1,37 Millionen eindeutige Angreifer-IP-Adressen hinweg. Diese Daten bestätigen, dass Angreifer Kollaborations- und Identitätsplattformen aggressiv ausloten, um Schwachstellen zu finden und zu testen, wie weit die Abwehrmaßnahmen reichen.
Den Weg zur Kompromittierung eindämmen
Um diesen sich ständig weiterentwickelnden Bedrohungen entgegenzuwirken, bietet die AI Security Platform der Zscaler Zero Trust Exchange™ folgende Maßnahmen:
- Minimierte Erkennung von Angriffsflächen: Das Risiko eines Angriffs wird reduziert, indem Anwendungen hinter einem Cloud-basierten Proxy verborgen werden. Gleichzeitig werden mithilfe von Täuschungstechnologie Aufklärungsversuche durch Scannen, Abtasten und Versuche zur Überprüfung von Anmeldedaten frühzeitig aufgedeckt.
- Verhindern der anfänglichen Kompromittierung: KI-gestützte Phishing- und sitzungsbasierte Angriffe werden durch KI-gesteuerte Inline-Prüfung blockiert. Das umfasst die vollständige TLS/SSL-Prüfung, um in verschlüsseltem Datenverkehr versteckte Bedrohungen aufzudecken.
- Stoppen lateraler Ausbreitung: User werden direkt mit Anwendungen verbunden auf Basis von Zero Trust-Zugriffskontrollen. Damit wird verhindert, dass Angreifer von einem einzelnen Einstiegspunkt aus in weitere Umgebungen vordringen.
- Verhindern von Datenverlusten: Durch KI-gestützten Datenschutz werden die Auswirkungen von Sicherheitsverletzungen reduziert. Dazu werden sensible Daten während der Übertragung identifiziert und die unbefugte Weitergabe oder Exfiltration verhindert.
Der vollständige „Zscaler ThreatLabz 2026 Phishing and Initial Access Report“ steht zum Download zur Verfügung unter: https://www.zscaler.com/campaign/threatlabz-phishing-initial-access-report
Methodologie
ThreatLabz analysierte täglich über 500 Billionen Signale aus der Zscaler Zero Trust Exchange-Plattform und blockierte täglich über 9 Milliarden Bedrohungen. Der Report basiert auf Daten, die von Januar bis Dezember 2025 erhoben wurden, ergänzt durch Daten aus Deception-Systemen, die zwischen Oktober 2025 und März 2026 erfasst wurden.
Über Zscaler
Zscaler (NASDAQ: ZS) ist ein Pionier und weltweit führender Anbieter von Zero Trust-Sicherheitslösungen. Die weltweit größten Unternehmen, Organisationen mit kritischer Infrastruktur und Regierungsbehörden vertrauen auf Zscaler, um User, Niederlassungen, Anwendungen, Daten und Geräte zu schützen und Initiativen zur digitalen Transformation voranzutreiben. Die Zscaler Zero Trust Exchange™-Plattform, die auf über 160 Rechenzentren weltweit verteilt ist, bekämpft in Kombination mit fortschrittlicher KI täglich Milliarden von Cyberbedrohungen und Richtlinienverstößen und ermöglicht modernen Unternehmen Produktivitätssteigerungen durch die Reduzierung von Kosten und Komplexität.
