KI-Phishing 2026: Wenn der Betrüger plötzlich klingt wie dein Chef

Q: Was tun bei einem verdächtigen Anruf der Bank oder Polizei?

Auflegen, eigene Bank- oder Polizeinummer raussuchen und selbst zurückrufen. Echte Bank- oder Polizeibeamte fragen niemals nach PIN, TAN oder verlangen Bargeldübergabe. Das ist immer Betrug.

Veröffentlicht am 28. Juni 2026 · Von Marvin Mörsberger · 9 Min Lesezeit

Letzte Woche kam eine Kundin von mir völlig fertig ins Büro. Sie hatte einen Anruf von ihrem Chef bekommen — wirklich von ihrem Chef, die Stimme war zu hundert Prozent er. Er wollte, dass sie schnell 8.000 € auf ein neues Konto überweist, dringend, sonst platzt ein Deal. Eine halbe Stunde später war das Geld weg und der echte Chef wusste von nichts. Die Stimme war KI-generiert, der Anruf gefälscht.

Das ist 2026 leider nicht mehr die Ausnahme. Die alten Phishing-Mails mit den schrägen Anreden („Sehr geehrter Kunde Mustermann") und den 17 Rechtschreibfehlern — die sterben gerade aus. Stattdessen kommen perfekt formulierte Nachrichten, Stimm-Klone, gefälschte Videoanrufe. Hier zeig ich dir, wie das funktioniert und wie du dich konkret schützt — ohne dass du Informatik studiert haben musst.

Was sich 2026 fundamental geändert hat

Bis vor ein paar Jahren konntest du eine Phishing-Mail meistens an drei Dingen erkennen: holprige Sprache, unpassende Anrede und seltsame Absender-Adresse. Alle drei Sicherheitsnetze sind weg.

Mit modernen Sprachmodellen schreibt jeder Betrüger heute Mails in fließendem Deutsch — sogar im Stil einer bestimmten Person, wenn er ein paar deren E-Mails als Beispiel hat. Stimmen kann man mit drei Minuten Tonmaterial klonen (genug für jeden, der auf YouTube ein Video hat oder auf LinkedIn ein Vorstellungsvideo). Videoanrufe sind in Echtzeit fakebar, und zwar so gut, dass selbst gestandene IT-Profis Mühe haben, das auf den ersten Blick zu erkennen.

Die schlechte Nachricht: jeder kann das nutzen, die Tools sind frei verfügbar und kostengünstig. Die gute Nachricht: die Maschen sind im Kern immer dieselben. Wer das Prinzip versteht, fällt nicht mehr drauf rein.

Die 5 häufigsten KI-Phishing-Maschen 2026

1. Der „CEO-Fraud" mit Stimm-Klon

Das ist die Variante aus meinem Eingangs-Beispiel. Ein Mitarbeiter in der Buchhaltung bekommt einen Anruf, der klingt wie der Chef. Druck, Dringlichkeit, ungewöhnliche Anweisung — meist eine Überweisung an ein „neues Lieferanten-Konto". Bei Mittelständlern hier in Hannover sehe ich das seit Anfang 2026 mindestens einmal im Monat. Schaden pro Fall: 5.000 bis 50.000 €.

Schutz: Eisernes 4-Augen-Prinzip bei jeder ungewöhnlichen Überweisung. Kein einziger Geldtransfer ohne Rückbestätigung über einen zweiten Kanal — also wenn der Anruf kam, lieb zurückrufen über die im System hinterlegte Nummer, nicht die, die der Anrufer durchgibt. Im Familien-Kontext: Codewort vereinbaren („wenn ich dich anrufe und Geld will, sag ich vorher das Wort X"). Klingt albern, wirkt aber.

2. Die „WhatsApp-Tochter"

Eine Nachricht von einer unbekannten Nummer: „Hi Mama, mein Handy ist kaputt, das hier ist meine neue Nummer. Kannst du mir bitte schnell 800 € überweisen, ich brauche es für die Reparatur und komme mit meiner Karte nicht ran." Klingt simpel, funktioniert aber millionenfach. 2026 ist die Variante besonders gefährlich, weil die KI den Schreibstil der echten Tochter nachahmen kann, wenn der Betrüger vorher ihre Social-Media-Accounts ausgelesen hat.

Schutz: NIEMALS auf eine WhatsApp-Geldforderung reagieren, ohne den echten Kontakt persönlich anzurufen — über die alte Nummer. Wenn es heißt „die alte Nummer geht nicht mehr": umso mehr Grund zum Misstrauen. Im Zweifel den Lebenspartner der Tochter oder einen Freund anrufen.

3. Die perfekt formulierte Bank-Mail

Sieht aus wie die Sparkasse, das Logo stimmt, die Sprache ist perfekt: „Aufgrund verdächtiger Aktivitäten haben wir Ihren Online-Banking-Zugang vorübergehend gesperrt. Bitte verifizieren Sie sich unter folgendem Link." Der Link führt auf eine perfekte Kopie der Sparkassen-Website. Du gibst dort Username + PIN ein — und während du wartest, dass die „Verifikation" weitergeht, plündert der Betrüger im Hintergrund dein echtes Konto.

Schutz: Keine Bank der Welt schickt dir per Mail Links zur Verifikation. Wenn du wirklich gesperrt bist, ruf in der Filiale an. Außerdem: Browser-Bookmark für deine Bank, nie über einen Link auf die Bankseite gehen. Bei der IBAN-Prüfung im Zahlungsverlauf hilft auch unser IBAN-Prüfer — falls dir bei einer Überweisung eine plötzlich geänderte Bankverbindung auffällt, sofort skeptisch werden.

4. Der „Polizei-Notruf"

Anruf, angeblich von der Polizei. Dein Sohn habe einen Unfall verursacht, sei festgenommen, eine Kaution sei nötig — sofort, bar, ein Beamter komme abholen. Diese Masche zielt fast immer auf Senioren, gerne mit Echt-Stimmen-Übersetzung, sodass es klingt wie ein wirklich verzweifelter Anrufer der Polizei. Schaden: oft mehrere Tausend Euro pro Fall.

Schutz: Echte Polizeibeamte fragen NIEMALS nach Geld, nie nach Bargeldabgaben, nie nach Wertsachen. Niemals. Bei verdächtigen Anrufen sofort auflegen und unter 110 selbst die echte Polizei anrufen. Mit deinen Eltern oder Großeltern unbedingt drüber reden — und ihnen erklären, dass auch dringend wirkende Anrufe ruhig abgewartet werden können.

5. Der „IT-Support-Anruf"

Du bekommst einen Anruf, angeblich von Microsoft, Telekom oder einem IT-Dienstleister. Auf deinem Rechner sei ein Virus erkannt worden, man könne das per Fernzugriff beheben — du sollst nur kurz ein Programm namens „AnyDesk" oder „TeamViewer" installieren. Sobald der Betrüger drauf ist, hat er alles: Banking, Mails, Cloud-Dateien.

Schutz: Microsoft ruft NIEMALS unaufgefordert an. Niemand „erkennt" Viren auf deinem Rechner aus der Ferne. Anrufer immer abweisen. Falls du wirklich IT-Hilfe brauchst, ruf jemanden an, den du kennst — bei den Privatkunden in Hannover und Umgebung helfe ich dabei, oft genügt 10 Min Beratung am Telefon kostenlos.

Wie du dich grundsätzlich schützt

1. 2-Faktor-Authentifizierung überall

Bei E-Mail, Online-Banking, Cloud-Speicher, Amazon, eBay, Sozial-Media. Wenn du nur eine Sache aus diesem Artikel umsetzt: das hier. Auch wenn ein Betrüger dein Passwort hat — ohne den zweiten Faktor kommt er nicht rein.

Wichtig: SMS ist der schwächste zweite Faktor. Phasing-fortgeschrittene Betrüger machen SIM-Swapping (lassen sich deine Nummer auf eine eigene SIM portieren) und fangen die SMS ab. Besser: Authentifikator-Apps (Google Authenticator, Authy, Microsoft Authenticator). Am sichersten: Hardware-Schlüssel wie YubiKey, kosten 30-60 € und sind unknackbar.

2. Passwort-Manager — nicht optional mehr

Ein Passwort pro Dienst, jeweils mindestens 16 Zeichen, randomisiert. Das schaffst du dir nicht im Kopf — dafür gibt's Passwort-Manager. Bitwarden ist kostenlos und gut, 1Password ist Premium und sehr komfortabel. Beide haben Browser-Plugins, die dich vor Phishing schützen: wenn du auf einer gefälschten Bankseite landest, schlägt der Manager das Login nicht vor — das ist dein wichtigster Indikator.

3. Regelmäßige Backups

Wenn ein Ransomware-Angriff durchkommt — und der findet 2026 noch immer in 30 % der KMU pro Jahr statt — ist ein Backup deine einzige Versicherung. 3-2-1-Regel: drei Kopien der Daten, auf zwei verschiedenen Medien, davon eine off-site (Cloud oder externe Platte, die nicht permanent angeschlossen ist). Bei Privatkunden reicht oft eine externe USB-Festplatte, die einmal pro Woche angesteckt wird.

4. Die 30-Sekunden-Regel

Bei jeder Mail oder Nachricht, die dich zu schneller Aktion drängt: einmal tief durchatmen und 30 Sekunden warten. Druck ist der wichtigste Indikator für Phishing — echte Banken, Polizei, Behörden geben dir immer Zeit. Wenn jemand „heute noch" oder „in den nächsten 10 Minuten" was will, ist die Wahrscheinlichkeit für Betrug riesig.

5. Mit der Familie reden

Die KI-Maschen funktionieren besonders gut, weil sie auf Emotionen zielen — Angst, Liebe, Dringlichkeit. Vor allem ältere Angehörige sind anfällig. Setz dich mal mit Eltern und Großeltern hin und besprich die Maschen ganz konkret. Vereinbart Codeworte für Notfälle. Erklär ihnen, dass auch ein „dringender" Anruf von Enkeln oder der Polizei ohne Strafe abgelegt werden kann — und dass sie immer dich anrufen dürfen.

Was tun, wenn's trotzdem passiert ist

Wenn du den Verdacht hast, gerade Opfer einer Phishing-Attacke geworden zu sein — Tempo zählt:

Erste 30 Minuten: Sofort deine Bank anrufen und Konto sperren lassen. Das ist die wichtigste Maßnahme. Bei aktiver Überweisung kann sie oft noch gestoppt werden.
Erste 2 Stunden: Passwörter aller betroffenen Konten ändern — Mail, Banking, Cloud. Wenn du den gleichen Login woanders verwendet hast, da auch. Sessions in allen Geräten beenden.
Innerhalb 24 Stunden: Polizei-Anzeige aufgeben — bei lokaler Wache oder im Polizei-Online-Portal des Bundeslandes. Schaden dokumentieren, alle Mails und Anrufe als Beweis sichern.
Innerhalb einer Woche: SCHUFA-Abfrage durchführen, ob jemand mit deinen Daten Verträge abgeschlossen hat. Identitätsdiebstahl ist 2026 leider das häufigste Folge-Risiko nach Phishing.

Häufige Fragen

Wie erkenne ich KI-generierte Phishing-Mails?

Klassische Rechtschreibfehler sind 2026 vorbei. Achte stattdessen auf seltsamen Kontext (warum sollte der Chef per Mail über WhatsApp Geld senden lassen?), unbekannte Domains beim Mausover-Link und ungewöhnlichen Druck. Bei Zweifel: über bekannte Kanäle persönlich nachfragen.

Was tun bei einem verdächtigen Anruf der Bank oder Polizei?

Auflegen, eigene Bank- oder Polizei-Nummer raussuchen und selbst zurückrufen. Echte Bank- oder Polizeibeamte fragen niemals nach PIN, TAN oder verlangen Bargeldübergaben. Das ist immer Betrug.

Hilft 2-Faktor-Authentifizierung gegen KI-Phishing?

Stark. SMS-2FA ist anfällig für SIM-Swapping, App-basierte 2FA (Google Authenticator, Authy) und Hardware-Keys (YubiKey) sind deutlich sicherer. Für wichtige Konten — Bank, E-Mail, Cloud — fast Pflicht.

Kann KI Stimmen wirklich so gut imitieren?

Leider ja. Drei Minuten Tonmaterial reichen für ein gutes Klon-Modell — und das gibt's bei den meisten Menschen heute auf Instagram, YouTube oder in Voicemails. Beim Anruf hörst du den Unterschied oft nicht mehr. Misstrauen bei jeder ungewöhnlichen Bitte um Geld ist deshalb die wichtigste Verteidigung.

Brauchst du Unterstützung bei der IT-Sicherheit?

Als IT-Service hier in Hannover und Umgebung helfe ich Privatpersonen und kleinen Unternehmen genau bei solchen Themen — von der 2FA-Einrichtung über Backup-Strategien bis zum kompletten Sicherheits-Check fürs Heimnetzwerk. Auch beim Einrichten einer Familien-„Wenn-was-passiert"-Liste, damit Eltern und Großeltern wissen, was sie wem wann sagen sollen.

Schreib mir kurz, dann schauen wir gemeinsam, was bei dir Sinn macht. Erstberatung ist kostenlos.

Mein Fazit

KI hat das Phishing-Spiel komplett verändert. Die guten alten Indikatoren — Rechtschreibung, schlechte Sprache, plumpe Anrede — sind weg. Was bleibt, ist das Prinzip: Misstrauen bei jeder Bitte um Geld, jedem Druck, jeder ungewöhnlichen Anweisung — egal wie professionell sie klingt.

Die wichtigsten technischen Maßnahmen sind 2FA überall, ein Passwort-Manager und regelmäßige Backups. Die wichtigste menschliche Maßnahme: die 30-Sekunden-Regel und ein offenes Gespräch mit Familie und Kollegen. Vereinbart Codeworte, redet drüber, lacht auch mal drüber. Wer einmal aktiv darüber nachdenkt, fällt im Ernstfall viel seltener rein.

Bleib aufmerksam — und falls dir was passiert, sofort handeln. Tempo ist im Ernstfall alles.