Eine neue Untersuchung der Columbia University und der University of Chicago zeigt: Über die Hälfte aller Spam-Mails wird mittlerweile von künstlicher Intelligenz erzeugt – ein rapider Anstieg seit dem Launch von ChatGPT. Gleichzeitig bleiben komplexe Betrugsversuche wie CEO-Fraud meist weiterhin menschlich gesteuert.
Künstliche Intelligenz dominiert Spam-Produktion
Laut der Analyse von Barracuda Networks, auf die sich die Studie stützt, waren im April 2025 rund 51 Prozent aller unerwünschten E-Mails KI-generiert. Das ist ein drastischer Anstieg im Vergleich zu der Zeit vor der Veröffentlichung von ChatGPT im November 2022. Besonders Massenmails und einfache Phishing-Angriffe stammen zunehmend aus der digitalen Feder künstlicher Systeme.
Menschen schreiben die raffiniertesten Betrugsmails
Während einfache Spam-Inhalte automatisiert entstehen, sind laut Studie nur 14 Prozent der sogenannten CEO-Betrügereien – also zielgerichtete Attacken auf Führungspersonen in Unternehmen – auf KI zurückzuführen. Diese Art von Angriffen erfordert noch immer ein hohes Maß an Kontextverständnis und psychologischem Feingefühl, das künstliche Systeme bisher nur bedingt leisten können.
– Attacker verwenden zunehmend KI für die Erstellung von Spam, aber bei gezielten, kontextreichen Angriffen wie CEO-Fraud sind es weiterhin Menschen, die am Werk sind, sagte Asaf Cidon, Professor für Informatik an der Columbia University.
Formulierungen werden professioneller – und gefährlicher
Die Studie zeigt auch, dass KI-generierte E-Mails oft sprachlich ausgefeilter, grammatikalisch korrekt und formal professioneller sind. Dadurch sinkt die Wahrscheinlichkeit, dass sie von Spam-Filtern erkannt werden – und steigt das Risiko, dass Empfänger auf sie hereinfallen.
Auch nutzen Angreifer KI inzwischen, um verschiedene Textvarianten zu testen – ähnlich dem A/B-Testing im Marketing –, um die effektivsten Versionen zu finden.
Unternehmen brauchen neue Verteidigungsstrategien
Zur Unterscheidung von menschlich und KI-generiertem Spam setzten die Forscher auf eine Methode, bei der E-Mails, die vor der Veröffentlichung von ChatGPT verschickt wurden, als menschlich verfasst galten. Auf dieser Basis wurde ein Erkennungsmodell trainiert, das mit hoher Sicherheit KI-Texte identifizieren kann.
– Die Bedrohungslage verändert sich rasant, und KI erlaubt es Angreifern, ihre Aktivitäten in großem Stil auszuweiten, sagte Klas Palmér, Sicherheitsexperte bei Barracuda Networks in Schweden. – Um mitzuhalten, brauchen Unternehmen KI-gestützte Verteidigungssysteme und kontinuierliche Mitarbeiterschulungen.
Barracuda empfiehlt ein mehrschichtiges Sicherheitskonzept, bei dem künstliche Intelligenz eine zentrale Rolle spielt – kombiniert mit regelmäßiger Awareness-Trainings für alle Mitarbeiter.
