Veröffentlicht:

Phishing Detection mit KI & n8n – So baust du deinen eigenen KI-Phishing-Scanner

.

Phishing Detection mit KI & n8n – So baust du deinen eigenen KI-Phishing-Scanner Photo by Marco Griep

Geschrieben von Marco Griep

Phishing-Mails gehören nach wie vor zu den größten Sicherheitsrisiken für Unternehmen und Selbstständige. Trotz moderner Spam-Filter rutschen immer wieder täuschend echte Mails durch – oft mit erheblichen finanziellen und sicherheitstechnischen Folgen.

In diesem Artikel zeige ich dir, wie du mit n8n und einem KI-Agenten einen automatisierten Workflow aufbaust, der eingehende E-Mails analysiert und mithilfe von KI erkennt, ob es sich um Phishing handelt oder nicht.

Warum klassische Spam-Filter nicht mehr ausreichen

Moderne Phishing-Mails sind längst nicht mehr voller Rechtschreibfehler. Angreifer nutzen:

  • KI-generierte Texte
  • Personalisierte Inhalte (Spear Phishing)
  • Gefälschte Absender-Domains
  • Realistisch aussehende Login-Seiten
  • Kontextspezifische Social-Engineering-Taktiken

Das macht es für regelbasierte Filter zunehmend schwer, zwischen legitimen und bösartigen Mails zu unterscheiden.

👉 Genau hier kommt KI-gestützte Phishing Detection ins Spiel.

Die Lösung: KI-gestützte Phishing-Erkennung mit n8n

Mit n8n kannst du flexible Automatisierungs-Workflows bauen, die externe Dienste, APIs und KI-Modelle miteinander verbinden. In meinem Setup übernimmt ein KI-Agent die semantische Analyse jeder eingehenden E-Mail.

Der Workflow bewertet unter anderem typische Phishing-Indikatoren:

  • Tonfall & Dringlichkeit
  • Auffällige Call-to-Actions
  • Inkonsistenzen zwischen Absender & Inhalt
  • Typische Phishing-Muster
  • Struktur & Sprache der Mail

Statt nur Keywords zu prüfen, bewertet die KI den inhaltlichen Kontext – ähnlich wie ein Mensch.

Architektur des Phishing-Detection-Workflows

Der grundlegende Aufbau sieht so aus:

  1. E-Mail-Eingang (IMAP, Gmail, Microsoft 365 etc.)
  2. n8n triggert Workflow bei neuer Mail
  3. Übergabe an KI-Agent / LLM
  4. KI-Analyse & Klassifikation (Score 1–10 + Begründung)
  5. Automatische Reaktion (z.B. Push-Benachrichtigung bei Score > 5)

Erweiterungsmöglichkeiten

Diese Architektur ist flexibel und lässt sich leicht erweitern, z.B. für:

  • Ticket-Systeme
  • SOAR-Workflows (Security Orchestration, Automation and Response)
  • REST-APIs oder Webhook-Trigger
  • Benutzer-Benachrichtigungen
  • Automatisches Löschen oder Quarantäne von Mails

Vorteile gegenüber klassischen Lösungen

Kontextbasierte Analyse

Die KI erkennt auch neue, unbekannte Phishing-Varianten.

Weniger False Positives

Weniger legitime Mails werden fälschlich blockiert.

Voll automatisiert

Kein manueller Review nötig für die meisten Fälle.

Self-Hosted möglich

n8n + KI lassen sich vollständig selbst hosten.

Das komplette Setup im Video (empfohlen)

Den detaillierten Aufbau des n8n-Workflows findet ihr im Anleitungs-Video.
Die Codes & Prompts für den KI-Agenten sowie die Docker-Compose für n8n findet ihr hier im Artikel.

🎥 Das Video zum Artikel

Docker & Hosting mit Hetzner Cloud

In meinem Video nutze ich Docker und Docker Compose, um n8n schnell bereitzustellen. Als Hosting-Anbieter nutze ich die Hetzner Cloud.

Vorteile:

  • Minutengenaue Abrechnung
  • Server jederzeit löschbar
  • Ideal für Tests & Prototypen
  • Günstiger Einstieg (z.B. CX11 für ca. 3,56 € / Monat)

Zum Testen kannst du meinen Gutschein nutzen und den Server danach einfach wieder löschen.

👉 Hetzner Empfehlungslink (20 € Startguthaben):
https://hetzner.cloud/?ref=R9viUuoBFWyv

Docker-Compose & Setup-Dateien

Die verwendete Docker-Compose-Datei findest du hier:

Der n8n Workflow zur Phishing-Erkennung

So ist der Workflow visuell aufgebaut:

n8n Phishing Erkennung

Wie die Metadaten verarbeitet werden und wie der KI-Agent genau aufgebaut ist, erfahrt ihr im Detail im Video.

👉 Zum YouTube-Video:
https://youtu.be/0eEm6BUmpGg

KI-Agent Prompt (Copy & Paste)

Prompt User Message

Validiere diese Mail. Bewerte anhand einer Bewertung von 1-10 wie wahrscheinlich dies Mail Spam oder Phishing ist. 1 = Extrem unwahrscheinlich, 10 sehr wahrscheinlich.

Mail Metadata:
{{ $json.mail.metadata }}

E-Mail von: {{ $json.mail.from }}

body-html: {{ $json.mail.textHtml }}
body-text: {{ $json.mail.textPlain }}

betreff: {{ $json.mail.subject }}

gib mir dein ergebnis in folgendem Format aus:

Structured Output Format

{
  "score": 2,
  "reason": "phishing link found"
}

Fazit: KI + Automation = moderne E-Mail-Sicherheit

KI-gestützte Phishing Detection ist kein Zukunftsthema mehr, sondern heute schon ein echter Sicherheitsgewinn. In Kombination mit n8n kannst du dir einen flexiblen, erweiterbaren Security-Workflow bauen, der sich an deine Infrastruktur anpasst.

KI- & PHISHING-SECURITY AUTOMATISIEREN?

Möchten Sie Ihre E-Mail-Sicherheit mit KI, n8n und automatisierten Security-Workflows modernisieren?

Jetzt Beratung anfragen