Folge 03

AI für Social Engineering

Phishing auf Industrieskala

15:00 03. November 2026 mit Cynthia, Robert, Lukas, Chris
▸ Folge 03 anhören

Worum es in dieser Folge geht

Diese Folge macht die These aus Folge zwei — Skalierung schlägt Raffinesse — an dem Angriffstyp konkret, den jede:r aus dem Alltag kennt: Social Engineering. Phishing, Business Email Compromise, Voice-Phishing, Pig Butchering. Die Frage ist nicht mehr, ob KI Phishing besser macht. Das ist beantwortet. Die Frage ist, was die neue Mengen- und Qualitätsklasse bedeutet — und wie man sich verteidigt. Die Cold Open der Folge ist eine 30-Sekunden-Audio-Demo einer KI-generierten Phishing-Sprachnachricht, die unsere Redaktion in unter zwei Minuten produziert hat.

Die Ökonomie des Dark-Web-LLM

Lukas führt durch die Geschichte. WormGPT erscheint im Juli 2023 auf einem russischsprachigen Untergrundforum — ein fine-getuned Open-Source-Modell, vermutlich GPT-J-Basis, ohne Safety-Layer, Subscription ab sechzig Euro pro Monat. FraudGPT folgt, mutmasslich vom gleichen Akteur. Beide werden Ende 2023 unter dem Druck der Strafverfolgung zurückgezogen. Robert hebt hervor, dass das nicht der Hauptkanal war — eher ein Marketing-Stunt. Der eigentliche Hauptkanal ist seit 2024 anders: Im Oktober 2024 und Februar 2025 dokumentiert Cato Networks zwei neue Varianten auf BreachForums, beide unter dem Namen WormGPT. Was sich geändert hat, ist der Bauplan: Es sind keine selbst trainierten Modelle mehr, sondern Wrapper um kommerzielle Frontier-Modelle. Eine Variante umgeht Safety-Layer von xAIs Grok über manipulierte System-Prompts, die andere setzt auf eine ungefilterte Mixtral-Variante. Geschäftsmodell ist nicht mehr «ein böses LLM bauen» — es ist «ein gutes LLM falsch bedienen».

Die Zahlen sind eindeutig

Der IBM Cost of a Data Breach Report 2025 liefert die belastbaren Werte. Globaler Durchschnittsschaden pro Breach: 4.44 Millionen Dollar. Phishing überholt Stolen Credentials als häufigster Initial-Vektor — 16 Prozent aller Breaches, Schadenshöhe 4.8 Millionen Dollar. Die Killer-Zahl: Die Zeit, eine überzeugende Phishing-Mail zu schreiben, ist von 16 Stunden auf 5 Minuten gefallen. Faktor zweihundert. Lukas ordnet die Defender-Seite ein, ebenfalls aus IBM: Organisationen mit extensivem KI-Defense-Einsatz sparen 1.9 Millionen pro Breach und verkürzen den Lifecycle um 80 Tage. Shadow AI — unkontrollierter KI-Einsatz ohne IT-Approval — kostet zusätzlich 670’000 Dollar pro Breach. 97 Prozent der Organisationen mit AI-Security-Incident hatten unzureichende Access Controls.

Der FBI IC3-Report 2024, im April 2025 publiziert, ergänzt das Bild. Cybercrime-Schaden in den USA gesamt: 16.6 Milliarden Dollar. Business Email Compromise allein: 21’442 Meldungen, 2.8 Milliarden Schaden. Kumuliert seit 2015 sind die BEC-Verluste um über tausend Prozent gestiegen — 17.1 Milliarden über das letzte Jahrzehnt. Robert bestätigt aus der eigenen Telemetrie: BEC ist mittlerweile die einzelne Bedrohungsklasse, die in Schweizer Mandaten am häufigsten zu echten finanziellen Schäden führt — vor Ransomware, vor Datenexfiltration.

Conversational Phishing und der Schweizer Fall

Heiding und Schneier zeigen 2024 in IEEE Access, dass LLM-generierte Phishing-Mails über 50 Prozent Click-Through erreichen — signifikant über menschlichen Baselines. Und die gleiche LLM-Klasse erkennt diese Mails nur in einem Bruchteil der Fälle. Chris nennt diese asymmetrische Detection-Lücke die Generator-Detector-Gap — sie schliesst sich nicht von alleine. Lukas verweist auf eine im Dezember 2025 erschienene Studie von Roy, Naragam und Nilizadeh (arXiv:2512.16280): In kontrollierten Wochenstudien zu Pig-Butchering-Szenarien erreichen LLM-Agenten 46 Prozent Compliance bei kritischen Anfragen — Überweisung, Identitätsdaten, Anlagebestätigung. Menschliche Operator:innen 18 Prozent. Mehr als das Doppelte. Chainalysis quantifiziert das Volumen: 9.9 Milliarden Dollar an Pig-Butchering-Wallets 2024, Prognose 12.4 Milliarden für 2025, Anzahl Einzahlungen plus 210 Prozent.

Robert schildert anonymisiert einen Schweizer KRITIS-Fall aus dem Energiesektor: Eine Treasurerin erhält eine Mail vom angeblichen CFO, die eine echte Akquisitionsverhandlung referenziert, von der die Wirtschaftspresse zwei Tage zuvor berichtet hatte. 480’000 Franken sollen auf ein neues Lieferanten-Konto. Gerettet durch das Vier-Augen-Prinzip — die zweite Person fragt nach, ruft an, der CFO weiss von nichts.

Was Sie aus dieser Folge mitnehmen

Drei Massnahmen, in dieser Reihenfolge: Out-of-Band-Verifikation für alles über einem definierten Schwellenwert — Rückruf auf eine bekannte Nummer aus dem Stammverzeichnis, nicht aus Mail oder Chat. Codewörter zwischen Geschäftsleitung und Treasury, zwischen Familienmitgliedern bei privaten Voice-Cloning-Szenarien. Und konsolidierte Identitäts-Telemetrie — XDR statt isolierten EDR-Inseln, Sequenz-Analyse über Mail, Identity-Provider und Endpoint. Die zentrale Botschaft: Sprachliche Auffälligkeit als Detection-Feature war gestern. Identität und Verhalten sind heute. In der nächsten Folge vertiefen wir das beim emotional dichtesten Thema der Staffel — Deepfakes, Stimme, Gesicht, Vertrauen.

Quellen und Referenzen

  1. IBM Security, & Ponemon Institute. (2025). Cost of a Data Breach Report 2025. https://www.ibm.com/reports/data-breach
  2. IBM X-Force. (2025). 2025 Cost of a Data Breach Report: Navigating the AI rush without sidelining security. https://www.ibm.com/think/x-force/2025-cost-of-a-data-breach-navigating-ai
  3. Federal Bureau of Investigation, Internet Crime Complaint Center. (2025, April). 2024 Internet Crime Report. FBI IC3. https://www.ic3.gov/AnnualReport/Reports/2024_IC3Report.pdf
  4. Bundesamt für Cybersicherheit BACS. (2025). Halbjahresbericht 2025/1. Schweizerische Eidgenossenschaft. https://www.ncsc.admin.ch/ncsc/en/home/dokumentation/berichte/lageberichte/halbjahresbericht-2025-1.html
  5. Anthropic. (2025, August). Detecting and countering misuse of AI: August 2025. Anthropic. https://www.anthropic.com/news/detecting-countering-misuse-aug-2025
  6. CNBC. (2025, February 13). Crypto scams thrive in 2024 on back of pig butchering and AI, report shows. https://www.cnbc.com/2025/02/13/crypto-scams-thrive-in-2024-on-back-of-pig-butchering-and-ai-report.html
  7. LevelBlue SpiderLabs. (2024). WormGPT and FraudGPT — The rise of malicious LLMs. https://www.levelblue.com/blogs/spiderlabs-blog/wormgpt-and-fraudgpt-the-rise-of-malicious-llms
  8. CSO Online. (2025, March). WormGPT returns: New malicious AI variants built on Grok and Mixtral uncovered. https://www.csoonline.com/article/4008912/wormgpt-returns-new-malicious-ai-variants-built-on-grok-and-mixtral-uncovered.html
  9. Hazell, J. (2023). Spear phishing with large language models (arXiv:2305.06972). arXiv. https://arxiv.org/abs/2305.06972
  10. Heiding, F., Schneier, B., Vishwanath, A., Bernstein, J., & Park, P. S. (2024). Devising and detecting phishing emails using large language models. IEEE Access, 12, 42131–42146. https://doi.org/10.1109/ACCESS.2024.3375882
  11. Roy, S., Naragam, K., & Nilizadeh, S. (2025). Love, lies, and language models: Investigating AI's role in romance-baiting scams (arXiv:2512.16280). arXiv. https://arxiv.org/abs/2512.16280
  12. OST – Ostschweizer Fachhochschule. (2026). CAS AI-Driven Cybersecurity and Strategic Defence [Programmseite, 15 ECTS, 14 Präsenztage, Campus Rapperswil-Jona]. https://www.ost.ch/de/weiterbildung/weiterbildungsangebot/informatik/cybersecurity-networks/cas-ai-driven-cybersecurity-and-strategic-defence