Phishing-as-a-Service: Cyberkriminalität erreicht industrielles Niveau

Die Cyberkriminalität hat 2026 eine neue Stufe erreicht: Phishing wird als Dienstleistung vermarktet. Aktuelle Berichte zeigen einen explosionsartigen Anstieg professioneller Betrugsplattformen, die selbst Laien Angriffe in Industriequalität ermöglichen.

1.400% mehr Betrug durch KI und PhaaS

Die Zahlen sind alarmierend. Laut einem neuen Krypto-Kriminalreport von Chainalysis summierte sich der Schaden durch Krypto-Betrug 2025 auf rund 17 Milliarden Euro. Ein Treiber dieser Entwicklung sind automatisierte Phishing-Tools, die Betrügern heute wie legale Software-as-a-Service-Angebote zur Verfügung stehen. Besonders betroffen sind Impersonation Scams, bei denen Angreifer vertrauenswürdige Stellen wie Behörden oder Banken nachahmen. Diese Betrugsform verzeichnete ein Wachstum von sage und schreibe 1.400 Prozent im Jahresvergleich.

Ein weiterer Report des Sicherheitsunternehmens eSentire vom 16. Januar bestätigt den Trend: Account-Übernahmen stiegen um 389 Prozent, wobei 63 Prozent aller kompromittierten Konten direkt auf PhaaS-Bedrohungen zurückgeführt werden. Die Einstiegshürde für Cyberkriminelle ist praktisch nicht mehr existent. Statt mühsam gefälschte Websites zu programmieren, können Angreifer heute professionelle Infrastruktur für wöchentlich oft nur 100 Euro mieten.

PhaaS-Plattformen und automatisierte Phishing‑Tools machen Angriffe heute so einfach wie einen Software‑Kauf. Ein kostenloses Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung aktuelle Hacker‑Methoden, psychologische Angriffsmuster und konkrete Maßnahmen gegen CEO‑Fraud und Smishing. Ideal für IT‑Verantwortliche und Entscheider, die ihre Abwehr sofort stärken wollen. Der Guide enthält Checklisten, Branchentipps und eine Sofort‑Checkliste zur Implementierung. Kostenloser Download per E‑Mail. Anti‑Phishing‑Paket jetzt herunterladen

Lighthouse und Lucid: Blaupausen für den Massenbetrug

Im Zentrum dieser Entwicklung stehen Plattformen wie Lighthouse und Lucid. Ein bahnbrechender Netcraft-Report Ende 2025 identifizierte sie als Verantwortliche für Angriffe auf mindestens 316 Marken weltweit – von Finanzinstituten und Postdiensten bis hin zu staatlichen Mautstellen.

Trotz juristischer Schritte, darunter eine Klage von Google gegen die Betreiber von Lighthouse im November 2025, bleiben die Infrastruktur und Taktiken dieser Plattformen aktiv. Sicherheitsforscher von Flare beschreiben in einer Studie vom 20. Januar 2026, wie diese Kits mittlerweile Funktionen anbieten, die sich nicht von legaler Software unterscheiden: Kundensupport, Echtzeit-Analyse-Dashboards und regelmäßige Feature-Updates.

Besonders berüchtigt ist Lighthouse für seine Fokussierung auf Smishing (SMS-Phishing) und die Fähigkeit, täuschend echte Templates für lokale Dienste wie das US-Mautsystem E-ZPass zu erstellen. Auch wenn Googles Klage Teile des Betriebs störte, zirkulieren der zugrundeliegende Code und ähnliche „geforkte“ Versionen der Software weiter. Die Widerstandsfähigkeit dieser Plattformen zeigt, wie schwer es ist, dezentrale Cyberkriminellen-Netzwerke, die über mehrere Jurisdiktionen operieren, nachhaltig zu zerschlagen.

KI und MFA-Bypass: Die technische Evolution

Die aktuellen Berichte heben eine kritische Entwicklung hervor: Fortschrittliche Umgehungstechniken sind in den Standard-Kits angekommen. Man-in-the-Middle-Fähigkeiten, mit denen Angreifer Echtzeit-Session-Cookies abfangen und Mehr-Faktor-Authentifizierung (MFA) umgehen können, sind nun Standard in Premium-Phaas-Paketen.

Die Integration generativer KI hat diese Plattformen weiter scharfgemacht. Laut einer Analyse von AI News vom 19. Januar automatisieren KI-Tools nun die Erstellung überzeugender Phishing-Köder. Sie übersetzen Nachrichten in mehrere Sprachen mit muttersprachlicher Qualität und generieren für jeden Angriff einzigartigen Code, um signaturbasierte Erkennung zu umgehen. Die 316 identifizierten Marken sind daher wohl nur die Spitze des Eisbergs. KI ermöglicht es Angreifern, rasch Templates für Tausende Nischendienste und Regionalbanken zu generieren – ganz ohne manuellen Aufwand.

Moderne Phishing-Kits zielen laut Flare-Research darauf ab, aktive Sitzungen zu stehlen, nicht nur statische Passwörter. Diese Verschiebung zwingt Verteidiger, Identitätssicherheit neu zu denken. Der traditionelle Passwortschutz reicht nicht mehr aus, wenn Angreifer eine verifizierte Sitzung in Echtzeit kapern können.

Wirtschaftliche Folgen und Gegenmaßnahmen

Die finanziellen Auswirkungen sind global spürbar. Die 17 Milliarden Euro Schaden durch Krypto-Betrug sind teilweise eine Folge von PhaaS, da gestohlene Zugangsdaten oft genutzt werden, um digitale Geldbörsen zu leeren oder Geld über dezentrale Börsen zu waschen. Für Unternehmen summieren sich die Kosten durch Reputationsschäden und Ausgaben für die Incident-Response.

Als Reaktion darauf verschärfen Tech-Giganten ihre juristischen und technischen Gegenmaßnahmen. Googles Strategie, zivilrechtliche Klagen mit technischer Störung zu kombinieren, wie im Lighthouse-Fall, wird zum Vorbild für andere Branchengrößen. Cybersicherheitsexperten warnen jedoch: Juristische Abschaltungen gleichen oft einem „Hau-den-Maulwurf“-Spiel. Wird eine Plattform offline genommen, migrieren deren Nutzer und Entwickler häufig binnen Tagen zu Alternativen oder tauchen unter neuem Namen wieder auf.

Branchenverbände fordern schärfere Regulierung für Domain-Registrare und Hosting-Provider, die wissentlich oder fahrlässig PhaaS-Infrastruktur ermöglichen. Zudem gewinnt die Einführung von FIDO2-basierten Authentifizierungsstandards wie Passkeys an Bedeutung, die resistent gegen die Relay-Angriffe von Plattformen wie Lucid sind.

Ausblick 2026: Der KI-Wettlauf entscheidet

Der Konsens unter Cybersicherheitsexperten für 2026 ist klar: Die PhaaS-Landschaft wird zunehmend automatisiert. Der AI-News-Report vom 19. Januar sagt voraus, dass „defensive KI“ zur primären Gegenmaßnahme gegen „offensive KI“ wird. Organisationen werden sich auf autonome Agenten verlassen, um Phishing-Infrastruktur zu erkennen und zu neutralisieren, bevor sie Endnutzer erreicht.

Die unmittelbare Aussicht bleibt jedoch herausfordernd. Plattformen wie Lighthouse und Lucid haben bewiesen, dass Cyberkriminalität wie ein legales Geschäft skaliert werden kann. Da die „adressierbare“ Opferzahl durch mobile Dienste weiter wächst, wird das Angriffsvolumen voraussichtlich auf historisch hohem Niveau bleiben. Der Anstieg der Impersonation Scams um 1.400 Prozent ist eine deutliche Warnung: Die Ära des handwerklichen Cyberbetrugs ist vorbei. Die Ära des betrügerischen Industriezeitalters hat begonnen.

Während die digitale Welt mit diesen Bedrohungen ringt, wird sich der Fokus 2026 wahrscheinlich von der Nutzeraufklärung – die gegen KI-perfektionierte Betrügereien zunehmend wirkungslos ist – hin zu architektonischen Veränderungen verschieben, die Phishing technisch unmöglich machen. Bis dahin wird der Schatten von Plattformen, die Hunderte Marken gleichzeitig ins Visier nehmen, über der globalen Digitalwirtschaft liegen.

PS: Wenn Kriminelle mit fertigen Kits Hunderte Marken gleichzeitig ins Visier nehmen, brauchen Unternehmen eine sofort anwendbare Verteidigungsstrategie. Das Anti‑Phishing‑Paket liefert eine praxisnahe 4‑Schritte‑Strategie, branchenspezifische Gefahrenanalysen und klare Checklisten zur Vermeidung von Account‑Übernahmen und Relay‑Angriffen. Besonders nützlich für Mittelstand und Behörden, die ihre MFA-Strategien und Mitarbeiterschulungen schnell stärken wollen. Anti‑Phishing‑Paket kostenlos anfordern