Phishing-Volumen sank um 20 %. Das ist eigentlich der erschreckende Teil.
Zscalers Bericht von 2026 deutet eine sinkende Angriffszahl als Warnsignal um – nicht als Erfolg. Weniger Phishing-Versuche bedeuten, dass jeder einzelne gezielter, persönlicher und schwerer zu erkennen ist.
Die meisten Sicherheitsschlagzeilen über sinkende Zahlen landen unter „vorsichtig gute Nachrichten." Als Zscalers Jahresbericht zu Phishing 2026 mit einem Rückgang des Phishing-Volumens um 20 % erschien, war der erste Impuls, das in die Spalte der kleinen Erfolge einzutragen. Zscalers Forscher weigerten sich ausdrücklich, das zuzulassen. Sie bezeichneten den Trend als „Neuausrichtung" – und sobald man versteht, was dieses Wort in diesem Satz leistet, hört die Zahl auf, wie ein Fortschritt zu wirken.
Qualität statt Quantität: Das neue Geschäftsmodell der Angreifer
Die Einordnung von Zscaler, wie sie von Nate Nelson bei Dark Reading berichtet wird, ist präzise und bewusst beunruhigend: Bedrohungsakteure versenden nicht deshalb weniger Phishing-Nachrichten, weil Verteidiger besser darin geworden sind, sie aufzuhalten. Sie versenden weniger Nachrichten, weil KI-Tools jeden einzelnen Angriff dramatisch gefährlicher gemacht haben. Das alte Modell war ein Zahlenspiel: Genug halbwegs überzeugende E-Mails verschicken, und ein gewisser Prozentsatz wird ankommen. Das neue Modell ähnelt eher dem Kalkül eines Scharfschützen – weniger Schüsse, jeder besser gezielt.
Den Dark-Reading-Berichten über die Zscaler-Ergebnisse zufolge bedeutet diese Verlagerung, dass das sinkende Volumen kontraintuitiv auf eine größere Bedrohung hindeutet, nicht auf eine geringere. Erkennungssysteme und Schulungsprogramme, die darauf ausgelegt sind, massenhafte Streukampagnen abzufangen, stehen nun vor einem grundlegend anderen Problem.
Der breitere statistische Hintergrund macht diese Neuausrichtung anschaulicher. Die aggregierten Phishing-Daten 2026 von StationX beziffern das tägliche Phishing-E-Mail-Aufkommen auf 3,4 Milliarden Nachrichten, von denen 82,6 % inzwischen irgendeine Form von KI-generiertem Inhalt enthalten. CNiC Solutions, das Daten aus Quellen wie dem FBI IC3 und dem Verizon DBIR zusammenstellt, berichtet, dass KI-generierte Phishing-E-Mails eine 4,5-mal höhere Klickrate erzielen als herkömmliche. Stellt man diese beiden Fakten nebeneinander, verändert sich die Rechenlogik der Bedrohung grundlegend. Ein Rückgang des Gesamtvolumens um 20 % bedeutet kaum etwas, wenn das verbleibende Volumen sowohl personalisierter als auch messbar wirksamer darin ist, genau den einen Klick auszulösen, auf den es ankommt.
Die Infrastruktur der Täuschung wird ebenfalls günstiger
Präzision kommt nicht allein. Sie kommt eingebettet in eine zunehmend professionalisierte und automatisierte Zustellinfrastruktur. Laut StationX werden jährlich mehr als 80.000 Phishing-Websites erkannt, die im Durchschnitt nur 12 Stunden überleben, bevor sie abgeschaltet werden – was bedeutet, dass Bedrohungsakteure den Prozess des Aufbaus und der Entsorgung von Täuschungsseiten industrialisiert haben, schneller als die meisten Erkennungs-Pipelines sie markieren können.
Die APWG, ebenfalls von StationX zitiert, verzeichnete 3,8 Millionen Phishing-Angriffe im gesamten Jahr 2025, wobei allein das zweite Quartal 2025 mit 1.130.393 Angriffen zu Buche schlug. Diese Volumenbasis, die festgelegt wurde, bevor KI-Tools ihre aktuelle Form angenommen hatten, macht die Zscaler-Formulierung der „Neuausrichtung" so bedeutsam: Die Infrastrukturkapazität für Massen-Phishing ist nie verschwunden – sie wurde lediglich auf präzisere Arbeit mit höherem Ertrag umgelenkt.
Microsofts Bericht zur E-Mail-Bedrohungslandschaft für Q1 2026 bestätigt diese Entwicklungsrichtung unabhängig. Microsofts Einblick in sein E-Mail-Ökosystem versetzt es in die Lage, qualitative Veränderungen im großen Maßstab zu beobachten. Seine Q1-2026-Ergebnisse decken sich mit dem Bild, das Zscaler zeichnet: Die E-Mail-Bedrohungslandschaft entwickelt sich in ihrer Beschaffenheit weiter, nicht nur in ihrem Umfang.
Die Übereinstimmung zweier großer, unabhängiger Datensätze – einer von einem Sicherheitsanbieter, der den Web-Traffic beobachtet, und einer von einer Plattform, die globales E-Mail-Volumen verarbeitet – die in dieselbe Richtung zeigen, ist die Art von Beleg, die verändern sollte, wie Verteidiger über Erfolgsmetriken nachdenken.
Warum deine Intuition zu „weniger Angriffen" ausgenutzt wird
Hier ist die gegnerische Dynamik, die diesen Trend für alle, die Sicherheit lernen, wirklich lehrreich macht. Wenn das Volumen sinkt, interpretieren Organisationen das manchmal als Beweis dafür, dass ihre Abwehr funktioniert. Das Security-Awareness-Training wird als weniger dringend eingestuft. Erkennungsschwellen, die auf hochfrequente Signale kalibriert wurden, bleiben unverändert. Budget-Gespräche verschieben sich. Bedrohungsakteure, bewusst oder nicht, profitieren genau von dieser Reaktion. Die Verteidigungshaltung entspannt sich genau dann, wenn die Gefahr pro Angriffsversuch steigt.
CNiC Solutions stellt fest, dass jeder dritte ungeschulte Mitarbeiter heute noch auf einen simulierten Phishing-Link klicken würde, und laut StationX taucht Phishing in 36 % aller Datenpannen auf. Diese Zahlen bewegen sich nicht, wenn das Volumen sinkt – sie werden nur folgenreicher, wenn jeder verbleibende Versuch gezielter ist.
Die Lektion, die Zscalers Formulierung der „Neuausrichtung" eigentlich vermittelt, ist eine Meta-Lektion über Metriken: Volumen ist ein nachlaufender, manipulierbarer Indikator für das Bedrohungsniveau. Die richtigen Fragen betreffen die Erfolgsrate pro Versuch, die Rate der Zugangsdaten-Entwendung und die Zeit bis zur Erkennung – nicht die Gesamtzahl der Nachrichten.
Microsofts Arbeit zur Bedrohungslandschaft in Q1 2026, kombiniert mit Zscalers Jahresergebnissen, gibt Verteidigern ein klares Mandat: Kalibriert eure Erkennungslogik und eure Schulungsprogramme für Angriffe mit geringem Volumen und hoher Präzision neu – denn das ist die Umgebung, in der ihr euch jetzt bewegt, ob eure Dashboards das schon anzeigen oder nicht.
Die Entwicklung, die es als nächstes im Blick zu behalten gilt, ist, wie KI-gestützte Erkennung die Lücke zu KI-gestützten Angriffen schließt. Die Lücke ist real, sie wächst, und zu verstehen, warum Volumenstatistiken in die Irre führen können, ist der erste Schritt hin zu Abwehrmaßnahmen, die tatsächlich das richtige Signal verfolgen.
Quellen
- Phishing Attack Volume Down 20%, but Risk Still Rising(opens in new tab)
- Email threat landscape: Q1 2026 trends and insights - Microsoft(opens in new tab)
- Phishing Statistics [2026]: Latest Attack Data & Trends(opens in new tab)
- Phishing Statistics 2026: Volume, Costs, AI Attacks & Defense Data(opens in new tab)
Quellen
- Phishing Attack Volume Down 20%, but Risk Still Rising(opens in new tab)
- Email threat landscape: Q1 2026 trends and insights - Microsoft(opens in new tab)
- Phishing Statistics [2026]: Latest Attack Data & Trends(opens in new tab)
- Phishing Statistics and Trends for 2026 | VikingCloud(opens in new tab)
- Phishing Statistics 2026: Volume, Costs, AI Attacks & Defense Data(opens in new tab)
- Phishing Statistics [2026]: Latest Attack Data & Trends(opens in new tab)
- phishing – Krebs on Security(opens in new tab)
- Bleeping Computer – Krebs on Security(opens in new tab)
- [PDF] fbi-cisa-vishing.pdf - Krebs on Security(opens in new tab)
- Phishing Trends Report (Updated for 2026) - Hoxhunt(opens in new tab)