← Alle Insights

Phishing-Meldungen die KI in Sekunden einordnet.

Wenn ein Unternehmen seine Mitarbeiter dazu erzieht, verdächtige E-Mails zu melden, ist das ein Sicherheitsgewinn — und gleichzeitig eine Belastung. Denn jede gemeldete Mail landet irgendwo und will bewertet werden. In vielen Organisationen ist das ein kleines, ohnehin überlastetes Security-Team oder ein einzelner IT-Verantwortlicher, der zwischen echten Angriffen, harmlosen Newslettern und Fehlmeldungen unterscheiden muss. Die meisten gemeldeten Mails sind kein Angriff, aber die wenigen, die es sind, dürfen nicht untergehen. Genau diese Nadel-im-Heuhaufen-Aufgabe lässt sich mit KI deutlich beschleunigen: Sie liest die gemeldete Mail samt technischer Kopfdaten, bewertet sie anhand klassischer Phishing-Indikatoren, gruppiert zusammengehörige Meldungen zu Kampagnen und priorisiert, was zuerst angeschaut werden muss. Dieser Beitrag zeigt, wie eine solche Triage funktioniert, welche Entlastung realistisch ist, wo sie zuverlässig ist und wo menschliche Prüfung unverzichtbar bleibt.

Warum die Flut gemeldeter Mails zum Problem wird.

Sicherheitsbewusstsein ist erwünscht, hat aber eine Kehrseite: Je besser die Belegschaft geschult ist, desto mehr meldet sie. Das ist gut — bedeutet aber, dass die Menge der zu prüfenden Meldungen mit dem Reifegrad der Sicherheitskultur steigt. In einem mittelständischen Unternehmen mit einigen hundert Mitarbeitern können das täglich Dutzende Meldungen sein, in Spitzenzeiten — etwa während einer laufenden Phishing-Welle — deutlich mehr.

Das Tückische ist die Mischung. Ein großer Teil der Meldungen ist harmlos: Newsletter, die jemand für verdächtig hält, interne Mails mit ungewöhnlichem Betreff, schlicht Fehlalarme. Dazwischen liegen die wenigen echten Angriffe, die unter Umständen schon im Postfach anderer Kollegen liegen und auf einen Klick warten.

Wenn die Bearbeitung zu lange dauert, entsteht ein doppeltes Risiko. Erstens reagiert das Team zu spät auf den echten Angriff. Zweitens — und subtiler — verlieren die Mitarbeiter die Motivation zu melden, wenn sie nie eine Rückmeldung bekommen oder das Gefühl haben, ihre Meldung versinkt im Nichts. Eine schnelle, sichtbare Bearbeitung ist also auch ein Mittel, die Meldebereitschaft zu erhalten.

Welche Indikatoren die KI bewertet.

Phishing folgt erkennbaren Mustern, und genau diese kann ein Modell systematisch und schnell prüfen — gründlicher, als ein Mensch es unter Zeitdruck bei jeder einzelnen Mail täte. Die wichtigsten Signale lassen sich in Gruppen ordnen:

IndikatorgruppeBeispiele
Technische KopfdatenAbweichende Absenderdomain, gescheiterte Authentifizierung (SPF, DKIM, DMARC), verdächtige Weiterleitungswege
Absender und IdentitätVorgetäuschter Geschäftsführer, ähnlich aussehende Tippfehler-Domain, freier Mailanbieter statt Firmenadresse
Inhalt und SpracheDringlichkeit, Drohung, ungewöhnliche Zahlungsbitte, untypische Anrede
Links und AnhängeVerschleierte URLs, bekannte Schad-Domains, ausführbare Anhänge, Makro-Dokumente

Die Stärke der KI liegt darin, diese Signale zu kombinieren und in einen einzigen, nachvollziehbaren Risikowert zu übersetzen — inklusive einer kurzen Begründung, warum eine Mail als gefährlich oder harmlos eingestuft wurde. Gerade die Inhaltsbewertung, also das Erkennen von Dringlichkeitsdruck oder einer untypischen Zahlungsaufforderung in natürlicher Sprache, ist eine Domäne, in der Sprachmodelle den klassischen, rein regelbasierten Filtern überlegen sein können.

Kampagnen erkennen statt Einzelfälle abarbeiten.

Ein einzelner Angreifer verschickt selten nur eine Mail. Phishing kommt meist in Wellen: dieselbe oder leicht variierte Nachricht an viele Empfänger. Wenn das Security-Team jede Meldung isoliert bearbeitet, übersieht es leicht, dass zwanzig gemeldete Mails zur selben Kampagne gehören — und dass womöglich zweihundert weitere Empfänger dieselbe Mail erhalten, aber nicht gemeldet haben.

Hier liegt ein unterschätzter Mehrwert der KI: Sie gruppiert eingehende Meldungen nach Ähnlichkeit — gleicher Absender, gleiche Link-Struktur, gleicher Textbaustein — und macht so aus vielen Einzelfällen einen erkennbaren Vorfall. Statt zwanzig Tickets entsteht eine Kampagne, die einmal bewertet und dann gesammelt behandelt wird: betroffene Postfächer durchsuchen, die Mail entfernen, den Absender sperren.

Diese Bündelung beschleunigt nicht nur die Bearbeitung, sie verbessert auch die Reaktion. Wer das Ausmaß einer Welle früh sieht, kann gezielter und großflächiger eingreifen, bevor der erste Mitarbeiter klickt. Voraussetzung ist allerdings eine ausreichende Datenbasis: In sehr kleinen Umgebungen mit wenigen Meldungen pro Tag liefert die Gruppierung naturgemäß weniger Mehrwert.

Wie viel Entlastung realistisch ist.

Der Nutzen lässt sich an zwei Stellen messen: an der gesparten Zeit und an der schnelleren Reaktion auf echte Angriffe. Bei der reinen Sichtungszeit ist eine Reduktion realistisch, weil die KI die offensichtlich harmlosen Fälle vorab aussortiert und die kritischen nach vorne holt. Eine Bandbreite von 40 bis 70 Prozent weniger manueller Sichtungsaufwand ist in der Praxis erreichbar — der genaue Wert hängt stark davon ab, wie hoch der Anteil eindeutiger Fälle ist.

Wichtiger als die Zeitersparnis ist oft die verkürzte Reaktionszeit auf den echten Vorfall. Wenn eine gefährliche Mail in Minuten statt Stunden auf dem Tisch des Verantwortlichen liegt, sinkt das Zeitfenster, in dem ein Mitarbeiter darauf hereinfallen kann.

Eine ehrliche Einordnung gehört dazu: Diese Zahlen sind Richtwerte, keine Garantien. Sie gelten für einen Bestand mit hohem Anteil eindeutiger Fälle. In Umgebungen mit vielen Grenzfällen oder sehr gezielten Angriffen — Spear-Phishing gegen einzelne Personen — bleibt mehr menschliche Arbeit übrig. Die KI verschiebt die Last, sie macht sie nicht verschwinden.

Wo die Grenzen liegen und Fehler teuer werden.

Bei der Phishing-Triage sind zwei Fehlerarten relevant, und sie wiegen unterschiedlich schwer. Ein falscher Alarm — eine harmlose Mail als gefährlich eingestuft — kostet etwas Prüfzeit, ist aber unkritisch. Ein übersehener Angriff — eine echte Phishing-Mail als harmlos eingestuft — kann teuer werden. Deshalb muss ein Triage-System bewusst vorsichtig kalibriert sein: Im Zweifel eskalieren, nicht abwinken.

Besonders anspruchsvoll sind gezielte Angriffe. Ein gut gemachtes Spear-Phishing oder ein Business-E-Mail-Compromise, bei dem ein echtes, gekapertes Konto missbraucht wird, zeigt oft keine der klassischen technischen Auffälligkeiten. Solche Mails sind für jedes automatische System schwer und brauchen menschliche Einschätzung samt Kontextwissen über das Unternehmen.

Hinzu kommt der Datenschutz: Gemeldete Mails enthalten potenziell sensible Inhalte. Die Verarbeitung muss daher datenschutzkonform gestaltet sein — idealerweise in einer kontrollierten Umgebung, mit klaren Regeln, welche Daten wohin fließen. Wer ein externes Modell nutzt, muss diese Frage vorab sauber klären. Die Technik ist hier das kleinere Problem als die Governance darum herum.

Einbindung in den Sicherheitsbetrieb.

Den vollen Wert entfaltet die Triage, wenn sie nicht als separates Werkzeug danebensteht, sondern in die bestehenden Abläufe eingebunden ist. Der Meldebutton im Mailprogramm, mit dem Mitarbeiter eine verdächtige Mail melden, ist der natürliche Auslöser. Von dort sollte die Meldung automatisch in die Bewertung laufen.

Sinnvoll ist eine klare Abstufung der Reaktion. Eindeutig harmlose Meldungen werden automatisch geschlossen, mit einer freundlichen Rückmeldung an den meldenden Mitarbeiter — das hält die Meldebereitschaft hoch. Grenzfälle und kritische Fälle landen priorisiert beim Security-Team. Bei klar bösartigen, weit verbreiteten Kampagnen kann das System vordefinierte Sofortmaßnahmen vorschlagen, deren Ausführung aber ein Mensch freigibt.

Technisch lässt sich das an vorhandene Mail-Sicherheit, Ticketsysteme und — wo vorhanden — an ein SIEM oder eine SOAR-Plattform anbinden. Wichtig ist die Rückkopplung: Wenn das Team eine KI-Bewertung korrigiert, sollte das System daraus lernen. So wird die Triage über die Zeit treffsicherer und an die Eigenheiten des Unternehmens angepasst.

Einstieg, Aufwand und Erwartungen.

Ein pragmatischer Einstieg beginnt im Schattenbetrieb: Die KI bewertet eine Zeit lang mit, ohne dass ihre Einstufung Konsequenzen hat. So lässt sich messen, wie gut sie liegt, bevor man ihr Entscheidungen überlässt. Erst wenn die Trefferquote überzeugt, übernimmt sie das automatische Schließen eindeutiger Fälle.

Für einen ersten Anwendungsfall im Mittelstand liegt der Einrichtungsaufwand häufig im Bereich von 20.000 bis 50.000 Euro, je nach Anbindung an die bestehende Mail- und Ticketinfrastruktur. Laufende Kosten — Betrieb, Modellnutzung, Pflege — bewegen sich oft zwischen 500 und 2.500 Euro im Monat. Diese Werte sind Richtgrößen und hängen stark vom Meldevolumen und den Datenschutzanforderungen ab.

Die ehrlichste Erwartung ist die: KI macht das Security-Team schneller und gründlicher, ersetzt es aber nicht. Sie nimmt die monotone Vorsortierung ab und schafft Raum für die anspruchsvollen Fälle, in denen menschliches Urteil zählt. Wer sie als vollautomatischen Türsteher missversteht, der jeden Angriff zuverlässig abfängt, wird enttäuscht. Wer sie als Filter und Beschleuniger einsetzt, gewinnt spürbar Reaktionsgeschwindigkeit und entlastet ein knappes Team.

Ihr Team kommt mit den gemeldeten Verdachtsmails kaum hinterher und Sie fürchten, dass der echte Angriff in der Masse untergeht? Unverbindlich anfragen — wir schauen gemeinsam auf Ihr Meldevolumen, Ihre Mail-Infrastruktur und die Datenschutzlage und legen einen vorsichtig kalibrierten Einstieg fest.