Phishing: Die unterschätzte Gefahr

Über 90% aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-Nachricht. Dabei werden die Methoden der Angreifer immer ausgefeilter: Von massenhaft versendeten Spam-Mails bis hin zu hochpersonalisierten Spear-Phishing-Angriffen auf Geschäftsführer.

Arten von Phishing-Angriffen

🚨

Cyberangriff? Jetzt Soforthilfe erhalten.

24/7 erreichbar. In 20 Minuten handlungsfähig. TÜV-zertifiziert.

0800 - 292 37 24 Kontaktformular

E-Mail-Phishing

Die klassische Variante: Massenhaft versendete E-Mails, die bekannte Absender imitieren – Banken, Paketdienste, Microsoft, oder den eigenen IT-Support.

Typische Merkmale:

  • Dringlichkeit ("Ihr Konto wird gesperrt")
  • Generische Anrede ("Sehr geehrter Kunde")
  • Verdächtige Links oder Anhänge
  • Rechtschreibfehler (immer seltener dank KI)

Spear Phishing

Gezielte Angriffe auf einzelne Personen oder Abteilungen. Der Angreifer hat im Vorfeld Informationen über das Ziel gesammelt (LinkedIn, Website, Social Media).

Beispiel: Eine E-Mail, die aussieht wie eine Nachricht vom Vorgesetzten, mit Bezug auf ein reales Projekt.

CEO-Fraud / Business Email Compromise (BEC)

Der Angreifer gibt sich als Geschäftsführer oder Vorstand aus und veranlasst eine dringende Überweisung. Schaden pro Fall: durchschnittlich 120.000 Euro in Deutschland.

Smishing & Vishing

  • Smishing: Phishing per SMS oder WhatsApp
  • Vishing: Phishing per Telefon (Voice Phishing)

Beide Methoden werden zunehmend in Kombination mit E-Mail-Phishing eingesetzt.

Phishing erkennen: Die Checkliste

Prüfen Sie bei jeder verdächtigen Nachricht

  • Absender: Stimmt die E-Mail-Adresse wirklich? (nicht nur der angezeigte Name)
  • Dringlichkeit: Wird künstlicher Zeitdruck aufgebaut?
  • Links: Wohin führt der Link wirklich? (Mouseover, nicht klicken)
  • Anhänge: Erwarten Sie diese Datei? Ist das Dateiformat üblich?
  • Kontext: Passt die Nachricht zum normalen Geschäftsablauf?
  • Sprache: Gibt es sprachliche Auffälligkeiten?
  • Aufforderung: Werden Zugangsdaten, Zahlungen oder vertrauliche Daten verlangt?

Red Flags – sofort misstrauisch werden bei

  • Aufforderung zur Passwort-Eingabe über einen Link
  • Unerwartete Anhänge (.exe, .zip, .docm, .xlsm)
  • Abweichende Reply-To-Adresse
  • Hinweise auf "dringende Sicherheitsmaßnahmen"
  • Angebliche Rechnungen von unbekannten Absendern

Technische Schutzmaßnahmen

E-Mail-Sicherheit

  • SPF, DKIM, DMARC korrekt konfigurieren
  • E-Mail-Gateway mit Malware-Scanning und Sandbox-Analyse
  • Link-Rewriting zum Schutz vor verzögert aktivierten Links
  • Anhang-Sandboxing: Verdächtige Dateien in isolierter Umgebung öffnen

Multi-Faktor-Authentifizierung (MFA)

MFA ist der einzelne wichtigste Schutz gegen kompromittierte Zugangsdaten. Auch wenn ein Passwort per Phishing gestohlen wird, verhindert der zweite Faktor den Zugriff.

Empfohlene Methoden (nach Sicherheit):

  1. Hardware-Token (FIDO2/WebAuthn) – am sichersten
  2. Authenticator-App (TOTP)
  3. Push-Benachrichtigung
  4. SMS-Code – besser als nichts, aber nicht ideal

Browser-Schutz

  • Safe-Browsing-Funktionen aktivieren
  • Browser-Extensions zur Phishing-Erkennung
  • Automatische URL-Prüfung gegen bekannte Phishing-Seiten

Mitarbeiter schulen – richtig

Awareness-Training

Einmalige Schulungen reichen nicht. Phishing-Awareness muss kontinuierlich trainiert werden:

  • Regelmäßige Schulungen (mindestens quartalsweise)
  • Phishing-Simulationen mit realistischen Szenarien
  • Positives Feedback für gemeldete Phishing-Versuche
  • Keine Bestrafung bei Fehlern – sondern Lernmomente

Phishing-Simulationen

Simulierte Phishing-Angriffe sind das effektivste Trainingstool:

  • Realistische Szenarien, die zum Unternehmen passen
  • Schwierigkeitsgrad schrittweise steigern
  • Sofortiges Feedback bei Klick auf simulierte Links
  • Anonymisierte Auswertung auf Abteilungsebene

Meldeprozess etablieren

Machen Sie es Ihren Mitarbeitern einfach, verdächtige E-Mails zu melden:

  • Phishing-Button im E-Mail-Client
  • Klarer Prozess: Wohin melden? Was passiert dann?
  • Schnelle Rückmeldung: War es wirklich Phishing?
  • Anerkennung: Gemeldetes Phishing ist ein Sicherheitsgewinn

Incident Response bei erfolgreichem Phishing

Wenn ein Mitarbeiter auf eine Phishing-Mail hereingefallen ist – handeln Sie sofort:

  1. Sofort melden – keine Schuldzuweisungen
  2. Passwort sofort ändern (über bekannten, sicheren Weg)
  3. Sessions beenden (alle aktiven Anmeldungen abmelden)
  4. IT-Security informieren für weitere Analyse
  5. Monitoring verstärken auf dem betroffenen Account
  6. Bewerten: Wurde Malware installiert? Wurden Daten preisgegeben?

Weiterführende Informationen

Fazit

Phishing ist die größte Bedrohung für Unternehmen – aber auch die am besten bekämpfbare. Eine Kombination aus technischen Maßnahmen und kontinuierlichem Mitarbeiter-Training reduziert das Risiko drastisch. Und wenn doch etwas passiert: Schnelle Reaktion minimiert den Schaden. Unsere Notfall-Hotline ist 24/7 erreichbar: 0800 - 292 37 24.