ChatGPT und Internetbetrug: Die dunkle Seite

ChatGPT ist derzeit in aller Munde. Der Chatbot, der im November 2022 veröffentlicht wurde, beruht auf künstlicher Intelligenz und hat das Potenzial, die Art und Weise, wie wir im Internet nach Informationen suchen, zu revolutionieren. Im Gegensatz zu traditionellen Suchmaschinen wie Google, die auf Schlagwörtern und Verknüpfungen von Websites basieren, versteht er natürliche Anfragen und liefert kontextbezogene Antworten. Oder kurz: Er findet auf nahezu jede Frage eine Antwort und kann sie auch noch als grammatikalisch einwandfreien Text ausliefern. Zur Textein- und -ausgabe nutzt Chat GPT den KI-Algorithmus GPT-3.

Doch leider gibt es auch eine Kehrseite der Medaille, denn neben Marketers haben Cyberkriminelle die Software für sich entdeckt, um sie für den Internetbetrug zu nutzen.

Update 2026: Warum das Thema für Unternehmen relevanter geworden ist

Der Beitrag stammt ursprünglich aus der frühen ChatGPT-Phase. Die Grundlogik ist heute noch relevanter: Sprachmodelle machen Social Engineering nicht automatisch erfolgreicher, aber sie senken die Hürde für glaubwürdige Texte, Varianten und personalisierte Angriffsmuster.

Für Unternehmen bedeutet das vor allem:

• Phishing lässt sich nicht mehr zuverlässig an schlechter Sprache erkennen.
• Freigabe- und Zahlungsprozesse brauchen klare Gegenprüfungen.
• Mitarbeitende müssen mit realistischen Beispielen geschult werden.
• Marketing-, Support- und Sales-Teams sollten wissen, wie leicht externe Kommunikation imitiert werden kann.

Der operative Schutz entsteht also nicht nur durch Security-Tools, sondern durch Prozesse, klare Rollen und Sensibilisierung.

Was ist GPT-3?

GPT-3 (Generative Pre-trained Transformer) ist ein KI-Sprachmodell, das Deep Learning verwendet, um menschenähnliche Texte zu erstellen. Es wurde vom amerikanischen Unternehmen OpenAI entwickelt und trainiert. GPT-3 nutzt die fortschrittliche Transformer-Architektur und war mit 175 Milliarden Parametern eines der prägenden großen Sprachmodelle der frühen ChatGPT-Welle. Mit solchen Modellen werden Aufgaben wie Texterstellung, Übersetzung, Beantwortung von Fragen und sogar Programmierung durch natürliche Sprachverarbeitung automatisiert.

Mit sehr detaillierten Anweisungen kann man dem Modell mehr Kontext geben, wie es eine Antwort produzieren soll. Die Kunst, solche Aufforderungen so zu gestalten, dass sehr spezifische und qualitativ hochwertige Antworten erzielt werden, wird als Prompt Engineering bezeichnet.

**Neue Möglichkeiten für Phishing und BEC **

Und genau dieses Konzept machen sich nun Cyberkriminelle zu eigen. Eine Studie, die unlängst von Forschern des internationalen Sicherheitsunternehmens WithSecure durchgeführt wurde, zeigt, wie das GPT-3-Modell zur Generierung natürlicher Sprache und der darauf basierende Chatbot ChatGPT eingesetzt werden können, um Social-Engineering-Angriffe zu verbessern, indem sie immer leichter durchzuführen und vor allem immer schwieriger zu erkennen sind. Dazu gehören Phishing, bei dem betrügerische Nachrichten versendet werden, um beispielsweise vertrauliche Informationen wie Passwörter oder Kreditkarteninformationen zu stehlen, oder Business E-Mail Compromise (BEC), eine Methodik, mit der Betrüger mit gefälschten Geschäfts-E-Mails an sensible Daten gelangen oder Finanztransaktionen auslösen.

In einem Statement der beiden Forscher Andrew Patel und Jason Sattler von WithSecure Intelligence heißt es:

“Mit der breiten Freigabe von benutzerfreundlichen Tools, die autoregressive Sprachmodelle wie GPT-3 und GPT-3.5 verwenden, kann nun jeder mit einer Internetverbindung in Sekundenschnelle menschenähnliche Sprache erzeugen. Die Generierung von vielseitigem Text in natürlicher Sprache aus einer geringen Menge an Eingaben wird unweigerlich das Interesse von Kriminellen wecken, insbesondere von Cyberkriminellen – falls dies nicht schon geschehen ist. Ebenso könnte jeder, der das Internet nutzt, um Betrug, gefälschte Nachrichten oder Fehlinformationen im Allgemeinen zu verbreiten, Interesse an einem Tool haben, das glaubwürdige, möglicherweise sogar überzeugende Texte in übermenschlicher Geschwindigkeit erstellt.”

So können Cyberkriminelle mithilfe von Chat GPT ganze E-Mail-Kampagnen aufsetzen, indem sie eine Eingabeaufforderung schreiben und automatisiert eine unbegrenzte Anzahl individueller Varianten derselben Phishing-E-Mail generieren. Das macht jede dieser Nachrichten einzigartig.

Für mehr Authentizität können die Betrüger darüber hinaus ganze E-Mail-Ketten zwischen verschiedenen Personen erstellen und ihrem Betrug so mehr Glaubwürdigkeit verleihen. In ihrer Studie “Creatively malicious prompt engineering” zeigen die WithSecure-Forscher unter anderem, wie aus einem einzelnen Geschäftsprozess eine ganze E-Mail-Kette entstehen kann: erst die vermeintliche GDPR-Begründung, dann eine Rückfrage, danach ein angeblich neues sicheres Upload-System und schließlich die Aufforderung an eine Zielperson, Dateien erneut bereitzustellen.

Die E-Mails werden zudem immer glaubhafter, da die KI nicht nur einwandfreie Rechtschreibung und Grammatik verwendet, sondern auf Basis zahlreicher Kommunikationsbeispiele den Schreibstil echter Menschen nachahmt.

Eine neue Qualität von Phishing-Ködern

Chet Wisniewski, Cybersecurity-Experte beim britischen Sicherheitssoftware-Unternehmen Sophos, sieht die neue Gefahr, die von Chat GPT ausgeht, genau in dieser Verbesserung der Qualität von Phishing-Ködern:

“Damit sind Phishing-Angriffe selbst für aufmerksame Nutzer immer schwieriger zu identifizieren. Letztendlich liefern die immer besseren KI-Chatbots ein kostenloses Upgrade für alle Arten von Social-Engineering-Angriffen. Programme wie ChatGPT können dazu genutzt werden, kriminell orientierte, sehr realistische, interaktive Gespräche via E-Mail zu führen oder Chat-Angriffe über Messenger, WhatsApp oder andere Chat-Apps zu starten. Heute besteht die größte Gefahr für die englischsprachige Zielgruppe. Es ist aber wahrscheinlich nur eine Frage der Zeit, bis neue Versionen verfügbar sind, um glaubwürdige Texte in allen häufig gesprochenen Sprachen der Welt zu erstellen. Wir haben ein Stadium erreicht, in dem Menschen immer öfter nicht in der Lage sind, maschinengenerierte Prosa von der von Menschen geschriebenen zu unterscheiden – insbesondere, wenn wir das Gegenüber nicht gut kennen.“

Zusammengefasst bedeutet dies wohl, dass die Zeiten, in denen sich Phishing-Mails und BEC-Angriffe anhand von ungewöhnlichen Formulierungen, Grammatik- und Rechtschreibfehlern identifizieren lassen, vorbei sind. Laut Experten seien so gut wie alle Anwendungsarten im Bereich KI mittlerweile in der Lage, einen Menschen in vielen Fällen zu täuschen. Dazu gehört auch ChatGPT — eine leistungsfähige Text-KI und ein potenziell mächtiges Werkzeug für Cyberkriminelle.

Was Unternehmen daraus ableiten sollten

Für Marketing- und Vertriebsteams ist der wichtigste Punkt: Vertrauen darf nicht nur über Sprache entstehen. Je besser KI Texte imitiert, desto wichtiger werden überprüfbare Absender, saubere Freigabeprozesse und eindeutige interne Standards.

Praktische Maßnahmen:

• Zahlungs- und Datenfreigaben nie allein auf Basis einer E-Mail erteilen.
• Externe Links, Dateiablagen und neue Zahlungswege separat verifizieren.
• Mitarbeitende mit aktuellen Beispielen für KI-gestützte Phishing-Muster schulen.
• Für Website, Formulare und Kampagnen klare Datenschutz- und Sicherheitsstandards pflegen.

Passende Anschlussstellen auf unserer Seite sind Web-Analytics, Marketing-Beratung und LLM-Optimierung, wenn KI nicht nur produktiv, sondern auch kontrolliert eingesetzt werden soll.