Phishing

Kaum eine Angriffsform trifft Unternehmen so regelmäßig wie Phishing. Täglich landen gefälschte Rechnungen, angebliche Paketbenachrichtigungen und vermeintliche Anmeldeaufforderungen in geschäftlichen Postfächern. Ein einziger unbedachter Klick kann genügen, um Angreifern Zugangsdaten zu liefern oder Schadsoftware ins Netzwerk zu holen.

Für IT-Verantwortliche ist Phishing deshalb weit mehr als ein Ärgernis im Posteingang. Es zählt zu den häufigsten Einstiegspunkten in Unternehmensnetze und steht am Anfang vieler Ransomware-Vorfälle. Kampagnen richten sich dabei längst gegen Unternehmen jeder Größe, vom Handwerksbetrieb bis zum Konzern. Wer die Mechanik dieser Angriffe versteht und mehrere Schutzebenen kombiniert, senkt das Risiko schwerer Sicherheitsvorfälle spürbar.

Was ist Phishing?

Phishing bezeichnet Betrugsversuche, bei denen sich Angreifer als vertrauenswürdige Absender ausgeben, um Empfänger zu einer schädlichen Handlung zu bewegen: Zugangsdaten auf einer gefälschten Seite eingeben, einen infizierten Anhang öffnen oder eine Zahlung freigeben. Der Begriff leitet sich vom englischen Wort für Angeln ab. Die Täter werfen Köder aus und warten, wer anbeißt.

Klassisches Phishing erfolgt als Massenversand per E-Mail. Daneben haben sich gezieltere Varianten etabliert. Beim Spear-Phishing recherchieren Angreifer ihre Opfer vorab und formulieren persönlich zugeschnittene Nachrichten, etwa an Mitarbeitende der Buchhaltung oder an Administratoren. Smishing verlagert den Angriff in SMS und Messenger-Dienste, häufig getarnt als Paket- oder Bankbenachrichtigung. Beim Business Email Compromise geben sich Täter als Geschäftsführung, Lieferant oder Geschäftspartner aus und veranlassen Überweisungen oder ändern hinterlegte Kontoverbindungen, oft ganz ohne Schadsoftware.

Allen Varianten gemeinsam ist das Ziel, menschliches Vertrauen auszunutzen. Technische Schwachstellen spielen erst in zweiter Linie eine Rolle. Genau das macht Phishing so hartnäckig: Es funktioniert überall dort, wo Menschen unter Zeitdruck kommunizieren und Entscheidungen treffen.

So läuft ein Angriff ab

Die meisten Angriffe folgen einem wiederkehrenden Muster:

  • Vorbereitung: Angreifer sammeln Adressen und Hintergrundwissen aus öffentlichen Quellen, etwa Unternehmenswebsites, sozialen Netzwerken oder früheren Datenlecks. Bei gezielten Angriffen entsteht so ein genaues Bild von Rollen, Projekten und internen Abläufen.
  • Köder: Eine Nachricht imitiert einen bekannten Absender und erzeugt Handlungsdruck, etwa durch eine angeblich gesperrte Mailbox oder eine offene Rechnung mit knapper Frist. Absenderadresse, Logo und Tonfall wirken täuschend echt.
  • Klick: Der Link führt auf eine nachgebaute Anmeldeseite, oder der Anhang enthält Schadcode. Eingegebene Zugangsdaten landen direkt bei den Angreifern. Moderne Angriffswerkzeuge fangen zusätzlich Sitzungs-Cookies ab und hebeln damit auch manche Multi-Faktor-Verfahren aus.
  • Übernahme: Mit den erbeuteten Daten melden sich die Täter an, lesen Postfächer mit, richten unauffällige Weiterleitungsregeln ein und verschaffen sich Zugang zu weiteren Systemen.
  • Ausbreitung und Monetarisierung: Vom kompromittierten Konto aus folgen Angriffe auf Kollegen und Geschäftspartner, der Diebstahl vertraulicher Daten oder die Vorbereitung eines Ransomware-Angriffs.

Warum das wichtig ist

  • Einfallstor für Ransomware: Viele Verschlüsselungsangriffe beginnen mit einer einzigen überzeugenden Mail. Die Folgekosten eines Vorfalls übersteigen den Aufwand für Prävention erheblich.
  • Direkter finanzieller Schaden: Business Email Compromise führt zu realen Überweisungen auf Täterkonten. Eine Rückholung gelingt selten, vor allem bei Auslandsüberweisungen.
  • Gestohlene Identitäten wirken lange nach: Kompromittierte Konten werden über Wochen für Folgeangriffe genutzt, oft ohne dass es jemand bemerkt.
  • Technik allein genügt selten: Filter erkennen viele Angriffe, gut gemachte Einzelangriffe kommen jedoch weiterhin durch. Der Faktor Mensch bleibt Teil der Verteidigung.
  • Die Qualität der Angriffe steigt: Werkzeuge auf Basis künstlicher Intelligenz erzeugen fehlerfreie, sprachlich überzeugende Nachrichten in jeder Sprache. Das früher verlässliche Erkennungsmerkmal holpriger Formulierungen entfällt damit zunehmend.
  • Meldepflichten und Reputation: Erfolgreiche Angriffe können Meldungen nach DSGVO auslösen und das Vertrauen von Kunden und Partnern dauerhaft beschädigen.

Typische Szenarien

  • Gefälschte Anmeldeseite: Eine E-Mail fordert zur erneuten Anmeldung am Cloud-Postfach auf. Die verlinkte Seite ist eine optisch identische Kopie, die Zugangsdaten abgreift.
  • Chef-Masche: Die vermeintliche Geschäftsführung bittet per Mail um eine dringende, vertrauliche Überweisung. Der Ton ist drängend, Rückfragen werden abgeblockt.
  • Lieferanten-Trick: Ein bekannter Lieferant meldet scheinbar eine neue Bankverbindung. Die nächste reguläre Zahlung geht an die Täter.
  • Bewerbung mit Anhang: Eine vermeintliche Bewerbung enthält ein präpariertes Dokument, das beim Öffnen eine Hintertür auf dem Rechner installiert.
  • Paket-SMS: Eine Kurznachricht meldet ein aufgehaltenes Paket und führt auf eine Seite, die persönliche Daten abfragt oder zur Installation einer App drängt.

Phishing vs. Social Engineering

Phishing ist die bekannteste Ausprägung von Social Engineering, also der gezielten Manipulation von Menschen zu sicherheitskritischen Handlungen. Social Engineering umfasst darüber hinaus Telefonanrufe mit erfundenen Geschichten (Vishing), das Erschleichen von Zutritt zu Gebäuden oder präparierte USB-Sticks. Der Unterschied liegt im Kanal, das Prinzip bleibt gleich: Ausgenutzt werden Vertrauen, Hilfsbereitschaft und Zeitdruck.

Wirksame Abwehr adressiert deshalb beides. Technische Kontrollen reduzieren die Zahl der Köder, die Mitarbeitende überhaupt erreichen. Geschulte Teams erkennen und melden die Versuche, die es dennoch durch die Filter schaffen. Klare Prozesse, etwa das Vier-Augen-Prinzip bei Zahlungsfreigaben und Stammdatenänderungen, entziehen selbst erfolgreichen Täuschungen die Wirkung. Regelmäßige kurze Übungen mit realistischen Beispielen wirken dabei erfahrungsgemäß besser als seltene Pflichtschulungen.

Schutz mit KAEMI

Die Zustellung von Phishing-Nachrichten lässt sich nie vollständig verhindern, der daraus entstehende Schaden sehr wohl. Mit SASE/SSE blockiert ein Secure Web Gateway den Zugriff auf bekannte Phishing-Seiten, und ZTNA sorgt dafür, dass gestohlene Zugangsdaten allein noch keinen Zugriff auf interne Anwendungen eröffnen. Kommt es dennoch zu einer Kompromittierung, begrenzt Mikrosegmentierung die Ausbreitung im Netzwerk auf wenige Systeme. Gerne entwickeln wir mit Ihnen einen gestaffelten Schutz, der zu Ihrer Organisation passt: Kontakt .

Häufige Fragen zu Phishing

Woran erkenne ich eine Phishing-Mail?

Achten Sie auf erzeugten Zeitdruck, unerwartete Zahlungs- oder Anmeldeaufforderungen, abweichende Absenderadressen und Links, deren tatsächliches Ziel vom angezeigten Text abweicht. Auch fehlerfreie, professionell gestaltete Mails können gefälscht sein. Im Zweifel gilt: Nachricht nicht beantworten, keinen Link anklicken und den vermeintlichen Absender über einen bekannten, separaten Kanal verifizieren, etwa per Telefon.

Was sollten wir nach einem Klick auf einen Phishing-Link tun?

Melden Sie den Vorfall sofort an die IT, auch bei bloßem Verdacht. Ändern Sie betroffene Passwörter von einem sauberen Gerät aus und lassen Sie aktive Sitzungen sowie App-Freigaben beenden. Die IT prüft Postfachregeln, Anmeldeprotokolle und das betroffene Gerät. Eine offene Meldekultur ohne Schuldzuweisungen sorgt dafür, dass solche Vorfälle früh gemeldet werden und der Schaden klein bleibt.

Reicht ein Spamfilter als Schutz vor Phishing?

Ein Filter ist notwendig, allein aber unzureichend. Gut gemachte Einzelangriffe, kompromittierte echte Absenderkonten und Links, die erst nach der Zustellung scharfgeschaltet werden, überwinden Filter immer wieder. Wirksamer ist ein Zusammenspiel aus E-Mail-Filter, Web-Filter auf Netzwerkebene, Multi-Faktor-Authentifizierung, klaren Freigabeprozessen für Zahlungen und regelmäßigen Schulungen der Mitarbeitenden.

Was unterscheidet Phishing von Spear-Phishing?

Klassisches Phishing wird massenhaft und ungezielt versendet, die Nachrichten bleiben generisch. Spear-Phishing richtet sich gegen ausgewählte Personen oder Abteilungen und nutzt recherchierte Details, etwa reale Projektnamen, Kollegen oder Lieferanten. Dadurch wirken die Nachrichten glaubwürdig und werden von Filtern wie von Empfängern deutlich schwerer erkannt. Führungskräfte und Buchhaltung stehen besonders häufig im Fokus.

Schützt Multi-Faktor-Authentifizierung zuverlässig vor Phishing?

Sie erhöht die Hürde erheblich und gehört zur Grundausstattung. Angreifer haben jedoch Gegenmethoden entwickelt, etwa die Echtzeit-Weiterleitung von Codes oder das Abfangen von Sitzungs-Cookies über nachgebaute Anmeldeseiten. Phishing-resistente Verfahren wie hardwarebasierte Sicherheitsschlüssel und zusätzliche Kontrollen auf Netzwerkebene, etwa ZTNA im Rahmen von SASE/SSE, schließen diese Lücke weitgehend.

Offene Fragen dazu in Ihrer Umgebung? KAEMI berät Sie anforderungsorientiert und übernimmt auf Wunsch auch den Betrieb.