8,3 Milliarden Phishing-Angriffe in 90 Tagen: Warum Email Security sowohl Erkennung als auch Prävention Email Security

• Microsoft Threat Intelligence im ersten Quartal 2026 8,3 Milliarden Phishing-Angriffe per E-Mail Threat Intelligence , wobei Phishing-Angriffe mit QR-Codes im Laufe des Quartals um 146 % zunahmen und sich Phishing-Angriffe mit CAPTCHA-Hürden im März im Vergleich zum Februar mehr als verdoppelten.
• Microsofts eigene Tests zeigen, dass Microsoft Defender 70,8 % der schädlichen E-Mails nach der Zustellung entfernt, also nachdem diese bereits im Posteingang angekommen sind.
• Bis Dezember 2025 machten durch KI generierte Phishing-Angriffe 56 % aller Phishing-Versuche aus, was einem 14-fachen Anstieg im Laufe des Jahres entspricht.
• Ein mehrschichtiger Ansatz, der Erkennung und Prävention miteinander verbindet und auf der Deep CDR™-Technologie basiert, neutralisiert dateibasierte Bedrohungen, bevor sie die Benutzer erreichen – unabhängig davon, ob die Bedrohung bekannt ist oder nicht.

Wenn Sie für ein großes Unternehmen die E-Mail-Sicherheit gewährleisten, kam Ihnen das vergangene Quartal wahrscheinlich bekannt vor. Eine Flut von E-Mails mit QR-Code-Anhängen. Ein sprunghafter Anstieg von HTML-Dateien, die sich seltsam verhielten. Eine verdächtige PDF-Datei, die durch das Gateway gerutscht war und erst Stunden später aus den Posteingängen entfernt wurde. Jeder Alarm wurde bearbeitet, jedes Ticket geschlossen, doch im Hintergrund schwebte immer dieselbe quälende Frage: Wie viel davon fangen wir tatsächlich rechtzeitig ab?

Der Bericht von Microsoft zur E-Mail-Bedrohungslage im ersten Quartal 2026 liefert die konkreten Zahlen zu dieser Frage. Innerhalb von drei Monaten Threat Intelligence Microsoft Threat Intelligence 8,3 Milliarden E-Mail-basierte Phishing-Angriffe Threat Intelligence , einen Anstieg des QR-Code-Phishings um 146 % verzeichnet und festgestellt, dass sich das CAPTCHA-gestützte Phishing allein im März mehr als verdoppelt hat.

Das Entscheidende ist nicht das Ausmaß. Es ist die Geschwindigkeit des Wandels und was sie über die Grenzen rein auf Erkennung ausgerichteter Kontrollen offenbart.

Das durch CAPTCHA-Prüfungen erschwerte Phishing hat sich im März mehr als verdoppelt (+125 %) und damit das höchste monatliche Volumen seit über einem Jahr erreicht.

Microsoft stellte fest, dass die Angreifer ihre Verbreitungsmethoden monatlich aktiv wechselten, um zu testen, welche Formate die E-Mail-Sicherheitsmaßnahmen am besten umgehen. Dieses Verhalten ist aussagekräftiger als das reine Volumen allein.

• Im Januar waren HTML-Anhänge die beliebteste Versandmethode (37 %); im Februar gingen sie um 34 % zurück, um sich dann im März mehr als zu verdoppeln
• Die Zahl der SVG-Dateien stieg im Februar um 49 % an und ging im März um 57 % zurück
• Die Zahl der PDF-Anhänge, die CAPTCHA-geschütztes Phishing verbreiten, hat sich im März mehr als vervierfacht (+356 %) und damit den bisherigen Jahreshöchststand um 37 % übertroffen
• Die Anzahl der DOC/DOCX-Nutzdaten hat sich im März fast verfünffacht (+373 %) und erreichte einen Anteil von 15 % an den durch CAPTCHA-Prüfungen gesicherten Phishing-Angriffen
• In E-Mails eingebettete URLs, die einst mehr als die Hälfte der durch CAPTCHA-Prüfungen gesicherten Phishing-Angriffe ausmachten, erreichten ein Achtmonatstief, bevor sie sich teilweise wieder erholten

Eine im Februar auf das Erkennen von HTML-Nutzdaten abgestimmte Schutzmaßnahme gibt den Sicherheitsverantwortlichen kaum Aufschluss darüber, ob sie auch den Anstieg an PDF-Angriffen im März abfangen wird.

Bei der erkennungsbasierten E-Mail-Sicherheit dreht sich alles um eine Frage: Handelt es sich um eine Bedrohung?

Die Wirksamkeit hängt jedoch davon ab, dass die Lösung der Bedrohung (oder zumindest einer ähnlichen) bereits zuvor begegnet ist. Zero-Day-Angriffe und durch KI optimierte Payloads sind jedoch schneller als Signaturabgleiche und ML-Modelle mit nur einem Engine und entziehen sich so der Erkennung. Es ist bezeichnend, dass KI-generiertes Phishing im Dezember 2025 um das 14-Fache zugenommen hat und laut dem Hoxhunt Phishing Trends Report bis Dezember 2025 56 % aller Phishing-Versuche ausmachte , da diese Bedrohungen schwerer zu erkennen sind.

Der Prüfungsaufwand wird durch die „Format-Waffenisierung“ noch verstärkt; Angreifer versenden schädliche Inhalte über HTML-, PDF-, SVG-, DOC-/DOCX-Dateien und URLs. Jedes Format verfügt über eine eigene Oberfläche für aktive Inhalte, die Erkennungsmodule einzeln erlernen müssen, was die Erkennung zusätzlich einschränkt.

Schließlich zeigen Microsofts eigene Benchmark-Tests, dass Microsoft Defender nach der Zustellung durchschnittlich 70,8 % der schädlichen E-Mails entfernt. Native Cloud-Abwehrmechanismen weisen Lücken auf, die selbst bei kurzer Verweildauer zu Sicherheitsrisiken führen. Bis die Behebung erfolgt ist, könnte ein Benutzer den schädlichen Anhang bereits geöffnet, weitergeleitet oder darauf reagiert haben.

Das soll nicht heißen, dass die Erkennung keine Rolle mehr spielt. Eine auf Erkennung basierende E-Mail-Sicherheit funktioniert hervorragend gegen bekannte Bedrohungen. Für die von Microsoft in diesem Quartal dokumentierten Bedrohungsmuster reicht sie allein jedoch nicht mehr aus.

Keine E-Mail-Sicherheitsmaßnahme kann alle Bedrohungen ausschließen, doch eine solide Verteidigungsstrategie besteht in einer möglichst umfassenden Abdeckung – was heutzutage bedeutet, Erkennung und Prävention zu kombinieren. Wenn Ihre E-Mail-Sicherheitsstrategie nach wie vor hauptsächlich darauf setzt, Bedrohungen zu identifizieren, bevor sie blockiert werden, zeigt Ihnen die von Microsoft in diesem Quartal dokumentierte Rotation der Payloads, wie anfällig Sie sind.

Prävention in den Maßnahmenkatalog aufnehmen

Ein mehrschichtiger Ansatz stellt neben der Erkennung noch eine weitere Frage: Enthält diese Anhangdatei noch aktiven Inhalt?

Die Deep CDR™-Technologie OPSWATversucht nicht, festzustellen, ob eine Datei schädlich ist. Ausgehend von der Annahme, dass alle Dateien schädlich sein könnten, zerlegt sie Dateien, entfernt potenziell riskante Elemente und liefert eine sichere Version. Der Benutzer erhält ein funktionsfähiges Dokument. Die Bedrohung – ob bekannt oder unbekannt – ist beseitigt.

Selbst wenn sich die Anzahl von PDF-Dateien mit CAPTCHA-geschützten Phishing-Nutzlasten vervierfacht, muss eine durch Deep CDR™-Technologie geschützte Umgebung die neue Variante nicht erkennen. Der aktive Inhalt, der den Angriff ermöglicht, wird ohnehin entfernt. Das Gleiche gilt für manipulierte DOC/DOCX-, SVG-, HTML- und ZIP-Anhänge sowie für in PDF-Dateien eingebettete QR-Codes – den am schnellsten wachsenden Angriffsvektor im ersten Quartal 2026, wobei PDF-Dateien 70 % der bösartigen QR-Übermittlungen ausmachen.

Die Deep CDR™-Technologie wurde von SE Labs als erste CDR-Lösung überhaupt validiert, die eine Bewertung von 100 % in den Bereichen Schutz und Genauigkeit erreicht hat.

Schluss mit der Zero-Day-Lücke dank MetaDefender

Durch die Bereinigung werden aktive Inhalte unschädlich gemacht. Einige Anhänge erfordern jedoch weiterhin eine eingehendere Verhaltensanalyse, insbesondere bei verschleierten Payloads, die bei der statischen Analyse harmlos erscheinen sollen. MetaDefender Sandbox die Prävention um eine emulationsbasierte dynamische Analyse, deckt bösartiges Verhalten in verdächtigen Anhängen auf und liefert ein einziges verlässliches Ergebnis für eine schnellere Einstufung. Mit einer Zero-Day-Erkennungsrate von 99,9 % schließt Aether die Lücke, die durch die Bereinigung und das Mehrfachscannen allein noch verbleibt.

MetaDefender ™ ist die mehrschichtige Lösung OPSWAT für die Bedrohungen, die in den Daten von Microsoft für das erste Quartal 2026 beschrieben werden. Zwei Bereitstellungsmodelle, dieselbe kombinierte Grundlage für Erkennung und Prävention. ist die mehrschichtige Lösung OPSWAT für die Bedrohungen, die in den Daten von Microsoft für das erste Quartal 2026 beschrieben werden. Zwei Bereitstellungsmodelle, dieselbe kombinierte Grundlage für Erkennung und Prävention.

MetaDefender Gateway Security™ (EGS) wird als Software vor bestehenden Mail-Servern auf SMTP-/MX-Ebene bereitgestellt. Es nutzt die Deep CDR™-Technologie für über 200 Dateitypen, Sandbox MetaDefender Sandbox, Metascan-Multiscanning mit über 30 Antiviren-Engines für die umfassendste Abdeckung bekannter Bedrohungen, Phishing-Erkennung, Proactive DLP sowie Predictive Alin AI, eine vor der Ausführung tätige KI-Ebene, die KI-generierte und polymorphe Anhänge innerhalb von Millisekunden markiert, mit Offline-Fähigkeit für OT/ICS- und Air-Gapped-Umgebungen.

MetaDefender Cloud Security™ (CES) ergänzt Microsoft 365-Umgebungen und lässt sich innerhalb weniger Minuten ohne Änderungen an den MX-Einträgen bereitstellen. Gegen die von Microsoft dokumentierten Trends bei dateibasierten Payloads (Missbrauch von HTML, PDF, DOC, ZIP und SVG) setzt CES die Deep CDR™-Technologie, MetaDefender , Metascan™ Multiscanning bis zu 17 Antiviren-Engines und Predictive Alin AI ein, um jeden Anhang im ein- und ausgehenden E-Mail-Verkehr, einschließlich verschlüsselter Dateien, zu überprüfen und zu bereinigen.

Dank unseres unermüdlichen Engagements, Innovationen auf den Markt zu bringen, die unsere Kunden auch vor modernen Bedrohungen wie KI-gesteuerten Angriffen schützen, schützt OPSWAT mehr als 2.000 Unternehmen weltweit.