Whaling-Angriffe erklärt: Warum Führungskräfte zu besonders attraktiven Zielen werden

Laut dem Internet Crime Complaint Center des FBI kostete „Business Email Compromise“ Unternehmen allein im Jahr 2024 2,77 Milliarden Dollar. Hinter dieser erschreckenden Zahl verbirgt sich eine besonders gefährliche Variante des phishing – der sogenannte Whaling-Angriff –, bei dem Angreifer wochenlange Recherchen betreiben, um eine einzige, verheerende Nachricht zu verfassen, die an einen CEO, CFO oder Vorstandsmitglied gerichtet ist. Da sich Social-Engineering-Techniken mit KI-generierten Deepfake-Videos und Stimmklonen weiterentwickeln, war der Einsatz für Führungskräfte und die Sicherheitsteams, die sie schützen, noch nie so hoch wie heute.

Was ist ein Phishing-Angriff?

Ein „Whaling“-Angriff ist eine äußerst gezielte Form des phishing, die sich speziell an Führungskräfte der obersten Ebene, Vorstandsmitglieder und leitende Angestellte richtet, die Entscheidungsbefugnisse über Finanztransaktionen, strategische Entscheidungen und sensible Unternehmensdaten haben. Im Gegensatz zu breit phishing , die ein weites Netz auswerfen, investieren Whaling-Angreifer viel Zeit in die Erkundung und Personalisierung, um Nachrichten zu verfassen, die den besonderen Druck und die besonderen Verantwortlichkeiten von Führungspositionen ausnutzen.

Das NIST definiert „Whaling“ als „eine spezielle Form des phishing auf hochrangige Mitglieder von Organisationen abzielt“ (CNSSI 4009-2015). Was Whaling besonders gefährlich macht, ist die Kombination aus hochkarätigen Zielen und immer ausgefeilteren Angriffsmethoden. Das FBI IC3 meldet für das vergangene Jahrzehnt kumulierte BEC-Verluste in Höhe von 55,5 Milliarden US-Dollar, wobei sich die Verluste beschleunigen, da Angreifer zunehmend KI-gestützte Taktiken einsetzen.

Führungskräfte sind aus mehreren Gründen besonders gefährdet. Sie verfügen über die Befugnis, große Überweisungen ohne weitere Genehmigung zu autorisieren. Sie befassen sich regelmäßig mit vertraulichen Angelegenheiten, die plausible Vorwände für dringende Anfragen bieten. Sie pflegen ein umfangreiches öffentliches Profil – durch Pressemitteilungen, SEC-Meldungen, LinkedIn und Konferenzauftritte –, das Angreifern detailliertes Material für ihre Erkundung liefert. Und laut den Bedrohungsdaten von Proofpoint sind Führungskräfte im Durchschnitt etwa alle 24 Tage gezielten phishing ausgesetzt.

Gegen wen richten sich Whaling-Angriffe?

Zu den häufigsten Zielen des Walfangs gehören:

• Finanzvorstände und Leiter der Finanzabteilung – aufgrund ihrer Befugnis zur Zahlungsfreigabe die Hauptziele von Überweisungsbetrug
• Geschäftsführer und Betriebsleiter – sie sind das Ziel strategischer Daten und werden oft imitiert, um ihre Untergebenen ins Visier zu nehmen
• Leiter der Rechtsabteilung und Juristen – unter dem Vorwand falscher rechtlicher oder behördlicher Gründe ausgenutzt
• Vorstandsmitglieder und Geschäftsführer – im Fokus bei M&A-Aktivitäten oder Ereignissen im Bereich der Unternehmensführung
• Assistenten der Geschäftsleitung und Stabschefs – im Visier als Vermittler mit Zugang zu den Kommunikationskanälen und Terminkalendern der Geschäftsleitung
• Personalchefs – im Visier von Betrugsmaschen zur Unterschlagung von Gehaltszahlungen und Datendiebstahl

So funktionieren Whaling-Angriffe

Angreifer, die Whaling-Angriffe durchführen, folgen einem methodischen Ablauf, der diese Angriffe von opportunistischem phishing unterscheidet. Jede Phase stellt sowohl einen Aufwand für den Angreifer als auch ein potenzielles Erkennungsfenster für Sicherheitsteams dar.

Phase 1: Auswahl der Ziele. Angreifer identifizieren hochrangige Führungskräfte über Unternehmenswebsites, SEC-Unterlagen, Pressemitteilungen und soziale Medien. Sie bewerten die Ziele anhand ihrer finanziellen Entscheidungsbefugnis, ihrer öffentlichen Präsenz und ihrer Rolle im Unternehmen.

Phase 2: Aufklärung. Die Angreifer analysieren den Kommunikationsstil des Ziels, seine Geschäftsbeziehungen, seinen Reiseplan und laufende Transaktionen. Diese Phase kann mehrere Wochen dauern und stützt sich auf öffentlich zugängliche Informationen in Kombination mit Daten aus früheren Sicherheitsverletzungen.

Phase 3: Erfinden eines Vorwands. Die Angreifer entwerfen ein glaubwürdiges Szenario – eine dringende Übernahme, eine vertrauliche Rechtsangelegenheit, ein Problem bei der Einhaltung gesetzlicher Vorschriften –, das zum tatsächlichen geschäftlichen Kontext des Ziels passt. Der Vorwand erzeugt Dringlichkeit und erfordert gleichzeitig Vertraulichkeit, was das Ziel davon abhält, eine Überprüfung zu verlangen.

Phase 4: Durchführung des Angriffs. Der Angriff erfolgt über gefälschte E-Mails, ein kompromittiertes Geschäftskonto oder zunehmend über Multi-Channel-Ansätze, bei denen E-Mails, Telefonanrufe und Videokonferenzen kombiniert werden. Laut einer Studie der APWG belief sich die durchschnittliche BEC-Überweisungsanforderung im vierten Quartal 2024 auf 128.980 US-Dollar.

Phase 5: Ausnutzung. Sobald das Ziel auf den Angriff reagiert, handeln die Angreifer schnell, um sich einen Vorteil zu verschaffen – sie autorisieren Überweisungen, sammeln Zugangsdaten für die Kontoübernahme, entwenden sensible Daten oder verschaffen sich dauerhaften Zugriff, um sich quer durch das Netzwerk zu bewegen.

Gängige Angriffstaktiken bei Walfängen

Untersuchungen zeigen, dass sich bei 89 % der BEC-Angriffe die Angreifer als Führungskräfte wie CEOs, CFOs und IT-Leiter ausgeben. Zu den gängigsten Vorgehensweisen gehören:

• E-Mails, in denen sich der Absender als CEO ausgibt und dringende Überweisungen für vertrauliche Transaktionen fordert
• Manipulation von E-Mails von Lieferanten (VEC) mit dem Ziel, von Führungskräften genehmigte Zahlungsprozesse zu beeinträchtigen
• Betrügerische Mitteilungen rechtlicher oder behördlicher Art, in denen unter Androhung von Strafen sofortiges Handeln gefordert wird
• Anfragen zur Umleitung von Gehaltszahlungen, bei denen sich die Absender als Führungskräfte ausgeben, um die Konten für die direkte Überweisung zu ändern
• Bösartige Anhänge, die als Unterlagen für die Vorstandssitzung, Finanzberichte oder M&A-Dokumente getarnt sind

Arten des Walfangs und wichtige Vergleiche

Das Verständnis der Klassifizierung von Angriffen, die auf Führungskräfte abzielen, ist für den Aufbau wirksamer Abwehrmaßnahmen unerlässlich. Whaling ist keine einzelne Angriffsart, sondern eine Gruppe verwandter Bedrohungen, die jeweils spezifische Ansätze zur Erkennung und Prävention erfordern.

„Business Email Compromise“ (BEC) ist die umfassendste Kategorie und umfasst jeglichen E-Mail-Betrug, bei dem sich die Täter als Unternehmen ausgeben oder deren Identitäten missbrauchen. „Vendor Email Compromise“ (VEC) – eine schnell wachsende Variante, die laut Fortra im ersten Halbjahr 2024 um 66 % zugenommen hat – zielt auf von Führungskräften genehmigte Zahlungsvorgänge an Lieferanten ab, indem betrügerische Rechnungen eingeschleust oder Zahlungsanweisungen geändert werden. Beim Betrug durch Umleitung von Gehaltszahlungen geben sich die Täter als Führungskräfte aus, um die Gehaltsüberweisungen der Mitarbeiter umzuleiten. Multi-Channel-Whaling kombiniert E-Mails mit Telefonanrufen und Videokonferenzen, um eine mehrschichtige Täuschung zu erzeugen.

Whaling vs. Betrug durch CEOs: ein entscheidender Unterschied

Die meisten Branchenquellen verwenden die Begriffe „Whaling“ und „CEO-Betrug“ synonym, doch für Sicherheitsexperten ist es hilfreich, den von Cisco und Proofpoint getroffenen Unterscheidungsaspekt zu verstehen:

• Whaling zielt auf Führungskräfte ab. Das Opfer ist eine Führungskraft, die die böswillige Nachricht erhält und dazu manipuliert wird, bestimmte Maßnahmen zu ergreifen.
• Beim CEO-Betrug gibt sich der Betrüger als Führungskraft aus. Die Identität der Führungskraft wird missbraucht, um Mitarbeiter, Lieferanten oder Partner zu täuschen, die auf die Autorität der Führungskraft vertrauen.

Diese Unterscheidung ist wichtig, da jede Angriffsart unterschiedliche Kontrollmaßnahmen erfordert. Bei der Abwehr von Whaling-Angriffen liegt der Schwerpunkt auf dem Schutz von Führungskräften durch Schulungen und Verifizierungsprotokolle. Bei der Abwehr von CEO-Betrug liegt der Schwerpunkt auf der Überprüfung der Identität von Führungskräften durch Authentifizierungskontrollen und darauf, Mitarbeiter zu befähigen, autoritätsbasierte Anfragen zu hinterfragen.

Phishing phishing Whaling

Vergleich verschiedener Arten von phishing nach Zielgenauigkeit und typischen Auswirkungen.

Alle Whaling-Angriffe sind eine Form des phishing, und die meisten fallen unter die Kategorie BEC. Aber nicht alle BEC-Angriffe sind Whaling – BEC umfasst auch weniger aufwendige Identitätsbetrugsversuche, die sich gegen Mitarbeiter der mittleren Führungsebene und Mitarbeiter der Kreditorenbuchhaltung richten.

Die Entwicklung von Whaling-Angriffen durch KI und Deepfakes

Die bedeutendste Veränderung hinsichtlich der Raffinesse von Phishing-Angriffen in den letzten drei Jahren war der Einsatz von KI-gestützter Deepfake-Technologie. Was einst eine ausschließlich per E-Mail ausgehende Bedrohung war, hat sich zu Multi-Channel-Kampagnen entwickelt, bei denen sich Angreifer als Führungskräfte ausgeben und dabei gleichzeitig Video-, Sprach- und Messaging-Plattformen ausnutzen.

Die Technologie zum Klonen von Stimmen benötigt mittlerweile nur noch 20 bis 30 Sekunden Tonaufzeichnung, um überzeugende synthetische Sprache zu erzeugen; einige Plattformen erzielen bereits mit nur drei Sekunden brauchbare Ergebnisse. Deepfake-as-a-Service-Plattformen (DaaS) – deren Verfügbarkeit laut Cyble im Jahr 2025 explosionsartig zugenommen hat – haben das Nachahmen von Führungskräften demokratisiert und diese Angriffe auch für technisch weniger versierte Angreifer zugänglich gemacht.

Die Zahlen spiegeln diesen Wandel wider. Deepfake-gestütztes Vishing stieg im ersten Quartal 2025 im Vergleich zum Ende des Jahres 2024 um über 1.600 %. KI-gesteuerte Betrugstaktiken nahmen im Jahresvergleich um 118 % zu, und die durch Deepfake-Betrug verursachten Verluste beliefen sich allein im ersten Quartal 2025 in Nordamerika auf über 200 Millionen US-Dollar. Diese Trends machen KI-gestütztes phishing zur sich am schnellsten entwickelnden Angriffskategorie im Bereich der Bedrohungen für Führungskräfte.

Aktuelle Fallstudien zum Thema Deepfake-Whaling

Arup (25,6 Millionen Dollar, Januar 2024). Bei dem bislang schwerwiegendsten Deepfake-Whaling-Angriff nutzten Kriminelle KI, um gefälschte Video-Abbildungen mehrerer Führungskräfte von Arup während einer Videokonferenz zu erstellen. Ein Mitarbeiter der Finanzabteilung im Büro in Hongkong – der zunächst phishing vermutete phishing war überzeugt, nachdem er scheinbar echte Kollegen in der Konferenz gesehen hatte. Der Mitarbeiter genehmigte 15 Überweisungen in Höhe von insgesamt 25,6 Millionen Dollar auf fünf von den Angreifern kontrollierte Konten. CNN und das Weltwirtschaftsforum dokumentierten diesen Fall als Wendepunkt für KI-gestützten Betrug an Führungskräften.

Multinationales Unternehmen in Singapur (499.000 US-Dollar, März 2025). Angreifer nutzten Deepfake-Technologie während eines Zoom-Anrufs, um sich als Finanzvorstand des Unternehmens auszugeben, und überredeten einen Mitarbeiter der Finanzabteilung, Geld zu überweisen. Der Angriff kombinierte WhatsApp-Nachrichten mit einer Deepfake-Videokonferenz und verdeutlichte damit den Multi-Channel-Ansatz, der für modernes Whaling charakteristisch ist.

Stimmklon des italienischen Verteidigungsministers Crosetto (Februar 2025). KI-Stimmklone, die sich als Italiens Verteidigungsminister ausgaben, nahmen prominente Wirtschaftsführer wie Giorgio Armani und Massimo Moratti ins Visier und ergaunerten rund 1 Million Euro, bevor der Betrug aufgedeckt wurde.

Der Walfang in der Praxis

Die finanziellen und betrieblichen Folgen von Hackerangriffen reichen weit über den eigentlichen Diebstahl hinaus. Die Haftung der Führungskräfte, Reputationsschäden, behördliche Sanktionen und die Schließung des Unternehmens sind allesamt nachgewiesene Folgen.

Fallstudien zu groß angelegten Betrugsfällen im Bereich „Whaling“ und auf CEO-Ebene, die eine zunehmende Raffinesse und immer größere finanzielle Auswirkungen verdeutlichen.

Laut Data Breach „Cost of a Data Breach von IBM beliefen sich die durchschnittlichen Kosten einer BEC-Datenzugriffsverletzung im Jahr 2024 auf 4,89 Millionen US-Dollar. Unternehmen mit 50.000 oder mehr Mitarbeitern sind laut einer Studie von Hoxhunt wöchentlich einem BEC-Risiko von nahezu 100 % ausgesetzt, und 63–70 % der Unternehmen waren im Zeitraum 2024–2025 mit BEC-Versuchen konfrontiert.

Der Fall Levitas Capital verdeutlicht eine oft übersehene Dimension der Auswirkungen von Cyberangriffen. Während sich die direkten Verluste auf etwa 800.000 Dollar beliefen, führte der Reputationsschaden dazu, dass der größte Kunde des Fonds seine Geschäftsbeziehung kündigte, was die vollständige Schließung des Unternehmens zur Folge hatte. Dieses Muster von Insiderrisiken – bei dem eine anfängliche Sicherheitsverletzung zu existenziellen Bedrohungen für das Unternehmen führt – tritt immer häufiger auf.

Whaling-Angriffe erkennen und verhindern

Ein wirksamer Schutz vor Whaling erfordert mehrschichtige Kontrollmaßnahmen, die E-Mail-Authentifizierung, Schulungen für Führungskräfte, die Erkennung von verdächtigem Verhalten und dokumentierte Verfahren zur Reaktion auf Vorfälle umfassen. Keine einzelne Technologie oder kein einzelner Prozess kann Whaling allein verhindern.

1. DMARC-, SPF- und DKIM-E-Mail-Authentifizierung mit der Richtlinie „Ablehnen“ implementieren
2. Implementierung einer KI-gestützten E-Mail-Sicherheit, die Verhaltensmuster analysiert
3. Durchführung von Simulationstrainingsprogrammen zum Walfang speziell für Führungskräfte
4. Für Finanztransaktionen, die festgelegte Schwellenwerte überschreiten, ist eine doppelte Autorisierung erforderlich
5. Einführung von Out-of-Band-Verifizierungsprotokollen für alle Anfragen der Führungskräfte
6. Implementierung von Netzwerküberwachung und -reaktion für Indikatoren nach einer Kompromittierung
7. Überwachen Sie Identitätsverhalten mit ITDR, um den Missbrauch von Anmeldedaten zu erkennen
8. Setzen Sie für alle Konten von Führungskräften einephishing MFA durch

Technische Maßnahmen zur E-Mail-Authentifizierung

Die E-Mail-Authentifizierung bildet die grundlegende Verteidigungsschicht gegen Domain-Spoofing, weist jedoch erhebliche Einschränkungen auf.

• SPF (Sender Policy Framework) legt fest, welche IP-Adressen berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden
• DKIM (DomainKeys Identified Mail) fügt eine kryptografische Signatur hinzu, die die Integrität der E-Mail und die Authentifizierung des Absenders überprüft
• DMARC (Domain-based Message Authentication, Reporting & Conformance) setzt Richtlinien durch, wenn SPF- oder DKIM-Prüfungen fehlschlagen – stellen Sie die Einstellung auf „reject“, um zu verhindern, dass gefälschte E-Mails die Empfänger erreichen

Cloudflare bietet detaillierte technische Anleitungen zur Implementierung dieser Protokolle. Die entscheidende Einschränkung besteht darin, dass die E-Mail-Authentifizierung Angriffe nicht verhindern kann, die von kompromittierten legitimen Konten oder nachgemachten Domains ausgehen – weshalb Protokolle zur Verhaltenserkennung und -überprüfung unverzichtbare ergänzende Kontrollmaßnahmen sind.

Konzeption von Weiterbildungsprogrammen für Führungskräfte

Führungskräfte haben besondere Schulungsbedürfnisse, denen allgemeine Programme zur Sensibilisierung für Sicherheitsfragen nicht gerecht werden. Sie sind mit anderen Bedrohungsprofilen konfrontiert, haben nur begrenzt Zeit für Schulungen und lehnen standardisierte Ansätze möglicherweise ab, da sie diese als unter ihrem Fachniveau liegend empfinden.

Wirksame Schulungsprogramme zum Thema „Executive Whaling“ sollten aktuelle Fallstudien – wie den Arup-Deepfake-Vorfall und die Vorfälle in Singapur – als Szenariomodelle nutzen, die bei Führungskräften auf Resonanz stoßen. Simulationen sollten sich sowohl an Führungskräfte als auch an deren Assistenten richten, da Assistenten häufig die eigentliche Angriffsfläche darstellen. Die Messung der Schulungswirksamkeit anhand von Klickraten, Melderaten und der Zeit bis zur Meldung liefert Daten zur Rechenschaftspflicht, die Sicherheitsteams dem Vorstand vorlegen können.

Leitfaden zur Reaktion auf Whaling-Angriffe

Wird ein Whaling-Versuch entdeckt oder ist er erfolgreich, entscheidet die Reaktionsgeschwindigkeit darüber, ob Verluste begrenzt oder wieder hereingeholt werden können. In den BEC-Leitlinien des FBI wird betont, dass man sich innerhalb von 48 Stunden an die Finanzinstitute wenden sollte, um die besten Chancen auf eine Rückforderung der Gelder zu haben.

1. Sofortige Eindämmung. Sperren Sie kompromittierte Konten, halten Sie ausstehende Finanztransaktionen zurück und benachrichtigen Sie die Finanzinstitute, damit diese Überweisungen sperren.
2. Festlegung des Untersuchungsumfangs. Durchführung einer E-Mail-Forensik zur Identifizierung sämtlicher Kommunikationen des Angreifers, Überprüfung der Protokolle zu Finanztransaktionen und Beurteilung, ob Zugangsdaten kompromittiert wurden.
3. Meldeverfahren. Informieren Sie Rechtsberater, Compliance-Teams, die Geschäftsleitung und Aufsichtsbehörden gemäß den geltenden Vorschriften.
4. Maßnahmen zur Wiederherstellung: Setzen Sie die Anmeldedaten für alle betroffenen Konten zurück, leiten Sie über die Bankkanäle Versuche zur Rückbuchung der Zahlungen ein und überprüfen Sie die Richtigkeit aller kürzlich von der Geschäftsleitung genehmigten Transaktionen.
5. Nachanalyse des Vorfalls. Dokumentieren Sie die Angriffskette, ermitteln Sie Kontrollversagen, aktualisieren Sie die Erkennungsregeln und lassen Sie die gewonnenen Erkenntnisse in Schulungsszenarien für Führungskräfte einfließen.

Zuordnung zu MITRE ATT&CK

Das MITRE ATT&CK enthält keine spezifische Untertechnik für Whaling. Stattdessen fällt Whaling unter T1566 Phishing als gezielte Variante des Spearphishing, bei der hochrangige Mitglieder der Organisation gezielt ins Visier genommen werden.

Zuordnung der MITRE ATT&CK -Untertechniken zur Erkennung von Whaling-Angriffen.

Technologien zur Erkennung von Verhaltensbedrohungen bieten einen entscheidenden zusätzlichen Schutz, indem sie nach einer anfänglichen Kompromittierung ungewöhnliche Aktivitätsmuster identifizieren – wie beispielsweise ungewöhnliche Datenzugriffe, unerwartete Abläufe bei Finanztransaktionen oder die Ausweitung von Berechtigungen –, die durch eine statische E-Mail-Analyse nicht erkannt werden können.

Walfang und Einhaltung von Vorschriften

Zahlreiche regulatorische Rahmenwerke schreiben mittlerweilephishing vor, wodurch der Schutz vor Whaling sowohl zu einer Compliance-Anforderung als auch zu einer Sicherheitspriorität wird. Die Anforderung 5.4.1 des PCI DSS v4.0 schreibtphishing ab dem 1. April 2025 verbindlich vor, und die ab dem 20. März 2026 geltenden Regeln der Nacha ACH Phase 1 führen risikobasierte Überwachungsanforderungen für betrügerisch ausgelöste Zahlungsvorgänge ein.

Übersicht über den regulatorischen Rahmen mit den für den Walfang relevanten Compliance-Anforderungen.

Moderne Ansätze zum Schutz der Wale

Die wirksamsten Programme zur Abwehr von Phishing-Angriffen kombinieren KI-gestützte E-Mail-Sicherheit mit Network Detection and Response (NDR) zur Erkennung von Verhaltensindikatoren nach einem Sicherheitsverstoß, Identity Threat Detection and Response (ITDR) zur Überwachung kompromittierter Anmeldedaten sowie operativen Protokollen wie der Out-of-Band-Verifizierung. Technologien zur Erkennung von Deepfakes sind zwar im Kommen, noch nicht ausgereift – Unternehmen sollten sich daher nicht auf sie als primäre Kontrollmaßnahme verlassen.

Die zentrale Erkenntnis im Bereich der IT-Sicherheit lautet, dass E-Mail-Gateways allein ausgeklügelte Whaling-Angriffe nicht verhindern können. Angriffe, bei denen kompromittierte Konten genutzt werden, gehen von legitimen E-Mail-Adressen aus, und durch Deepfakes vorgenommene Identitätsfälschungen umgehen visuelle Überprüfungen vollständig. Die Abwehrmaßnahmen müssen daher auch die Erkennung der Verhaltensmuster umfassen, die auf eine erfolgreiche Kompromittierung hindeuten.

Wie Vectra AI die Abwehr von Whaling-Angriffen Vectra AI

Vectra AI die Abwehr von Whaling-Angriffen aus der Perspektive einer KI-gestützten Sicherheit, die sich mit den Folgen befasst, die eintreten, wenn ein Angriff E-Mail-Gateways und erste Kontrollmechanismen umgeht. Während E-Mail-Filterung und -Authentifizierung wichtige erste Schutzebenen bilden, umgehen ausgeklügelte Whaling-Angriffe – insbesondere solche, bei denen kompromittierte Konten oder Deepfake-Identitätsbetrug zum Einsatz kommen – diese Abwehrmaßnahmen regelmäßig. Attack Signal Intelligence erkennt die Verhaltensfolgen erfolgreicher Whaling-Angriffe über Netzwerk-, cloud und Identitäts-Angriffsflächen hinweg und überwacht dabei anomale Finanztransaktionsmuster, ungewöhnlichen Datenzugriff, Privilegieneskalation sowie Command-and-Control-Rückrufe, die darauf hindeuten, dass ein Whaling-Angriff über die anfängliche Social-Engineering-Phase hinaus fortgeschritten ist.

Künftige Trends und neue Überlegungen

Die Bedrohungslage im Bereich Whaling verändert sich rasch, wobei mehrere Entwicklungen das Risiko für Führungskräfte in den nächsten 12 bis 24 Monaten grundlegend verändern dürften.

Von KI generierte Sprach- und Videoinhalte werden von echter Kommunikation nicht mehr zu unterscheiden sein. Mit den Fortschritten der Deepfake-Technologie und der zunehmenden Verbreitung von DaaS-Plattformen werden die Kosten und technischen Hürden für überzeugende Identitätsfälschungen von Führungskräften weiter sinken. Unternehmen sollten davon ausgehen, dass jeder nicht verifizierte Kommunikationskanal – einschließlich Videoanrufe – kompromittiert werden kann, und entsprechende Verifizierungsprotokolle entwickeln.

Der regulatorische Druck hinsichtlichphishing nimmt zu. Daphishing des PCI DSS v4.0 nun verbindlich sind und die Nacha-ACH-Vorschriften im März 2026 in Kraft treten, sind Unternehmen, die über keine dokumentierten Whaling-Kontrollen verfügen, sowohl Sicherheits- als auch Compliance-Risiken ausgesetzt. Die Durchsetzung der NIS2-Richtlinie in der EU führt zu zusätzlichen Meldepflichten für BEC-Vorfälle.

KI-Agenten und autonome Arbeitsabläufe werden neue Angriffsflächen. Wenn Unternehmen KI-Agenten mit Finanzautorisierungsfunktionen einsetzen, werden Whaling-Angreifer ihren Fokus von menschlichen Führungskräften auf die Manipulation KI-gesteuerter Entscheidungssysteme verlagern. Sicherheitsteams sollten damit beginnen, zu prüfen, wie automatisierte Finanz-Workflows Identität und Absichten validieren.

Plattformübergreifende Angriffe werden zur Regel werden. Die Kombination aus E-Mail, Telefon, Video und Messaging-Plattformen, wie sie in den Fällen von Arup und Singapur zu beobachten war, wird sich durchsetzen. Verteidigungsstrategien müssen eine mehrkanalige Verifizierung vorsehen, die nicht von einer einzelnen Kommunikationsplattform abhängig ist.

Unternehmen sollten vorrangig in Lösungen zur Verhaltenserkennung investieren, die Aktivitäten nach einer Kompromittierung unabhängig vom ursprünglichen Angriffsvektor aufspüren, sowie in speziell auf Führungskräfte zugeschnittene Schulungsprogramme, die vierteljährlich anhand aktueller Fallstudien aktualisiert werden, und in Out-of-Band-Verifizierungsprotokolle, die für alle besonders wichtigen Anfragen einen bestätigten sekundären Kommunikationskanal vorschreiben.

Schlussfolgerung

Whaling-Angriffe nehmen in der Bedrohungslandschaft eine Sonderstellung ein – sie verbinden die Zielgenauigkeit staatlich gelenkter Operationen mit den finanziellen Motiven der organisierten Kriminalität. Da KI-Deepfakes herkömmliche Warnsignale aushebeln und Deepfake-as-a-Service-Plattformen die Hürden für die Identitätsfälschung von Führungskräften senken, sind diejenigen Unternehmen am besten gewappnet, die über eine rein auf E-Mails ausgerichtete Verteidigung hinausgegangen sind und nun mehrschichtige Kontrollmechanismen einsetzen, die Authentifizierung, Verhaltenserkennung, Schulungen für Führungskräfte und geprüfte Betriebsprotokolle umfassen.

Die wichtigste Umstellung für Sicherheitsteams ist eine grundsätzliche. Gehen Sie davon aus, dass raffinierte Whaling-Angriffe E-Mail-Gateways umgehen werden. Bauen Sie Erkennungs- und Reaktionsmechanismen auf, die die Verhaltensfolgen einer erfolgreichen Kompromittierung identifizieren – ungewöhnliche Finanztransaktionen, Missbrauch von Zugangsdaten, Anomalien beim Datenzugriff –, unabhängig davon, wie das ursprüngliche Social Engineering durchgeführt wurde. Ordnen Sie Ihre Kontrollmaßnahmen MITRE ATT&CK den regulatorischen Rahmenwerken zu, um fundierte, evidenzbasierte Programme zu entwickeln.

Wenn Sie mehr darüber erfahren möchten, wie Verhaltenserkennung und Attack Signal Intelligence Aktivitäten nach einer Kompromittierung durch Angriffe auf Führungskräfte Attack Signal Intelligence , entdecken Sie die Vectra AI .