Kaum eine Angriffsform trifft Unternehmen so regelmäßig wie Phishing. Täglich landen gefälschte Rechnungen, angebliche Paketbenachrichtigungen und vermeintliche Anmeldeaufforderungen in geschäftlichen Postfächern. Ein einziger unbedachter Klick kann genügen, um Angreifern Zugangsdaten zu liefern oder Schadsoftware ins Netzwerk zu holen.
Für IT-Verantwortliche ist Phishing deshalb weit mehr als ein Ärgernis im Posteingang. Es zählt zu den häufigsten Einstiegspunkten in Unternehmensnetze und steht am Anfang vieler Ransomware-Vorfälle. Kampagnen richten sich dabei längst gegen Unternehmen jeder Größe, vom Handwerksbetrieb bis zum Konzern. Wer die Mechanik dieser Angriffe versteht und mehrere Schutzebenen kombiniert, senkt das Risiko schwerer Sicherheitsvorfälle spürbar.
Was ist Phishing?
Phishing bezeichnet Betrugsversuche, bei denen sich Angreifer als vertrauenswürdige Absender ausgeben, um Empfänger zu einer schädlichen Handlung zu bewegen: Zugangsdaten auf einer gefälschten Seite eingeben, einen infizierten Anhang öffnen oder eine Zahlung freigeben. Der Begriff leitet sich vom englischen Wort für Angeln ab. Die Täter werfen Köder aus und warten, wer anbeißt.
Klassisches Phishing erfolgt als Massenversand per E-Mail. Daneben haben sich gezieltere Varianten etabliert. Beim Spear-Phishing recherchieren Angreifer ihre Opfer vorab und formulieren persönlich zugeschnittene Nachrichten, etwa an Mitarbeitende der Buchhaltung oder an Administratoren. Smishing verlagert den Angriff in SMS und Messenger-Dienste, häufig getarnt als Paket- oder Bankbenachrichtigung. Beim Business Email Compromise geben sich Täter als Geschäftsführung, Lieferant oder Geschäftspartner aus und veranlassen Überweisungen oder ändern hinterlegte Kontoverbindungen, oft ganz ohne Schadsoftware.
Allen Varianten gemeinsam ist das Ziel, menschliches Vertrauen auszunutzen. Technische Schwachstellen spielen erst in zweiter Linie eine Rolle. Genau das macht Phishing so hartnäckig: Es funktioniert überall dort, wo Menschen unter Zeitdruck kommunizieren und Entscheidungen treffen.
So läuft ein Angriff ab
Die meisten Angriffe folgen einem wiederkehrenden Muster:
- Vorbereitung: Angreifer sammeln Adressen und Hintergrundwissen aus öffentlichen Quellen, etwa Unternehmenswebsites, sozialen Netzwerken oder früheren Datenlecks. Bei gezielten Angriffen entsteht so ein genaues Bild von Rollen, Projekten und internen Abläufen.
- Köder: Eine Nachricht imitiert einen bekannten Absender und erzeugt Handlungsdruck, etwa durch eine angeblich gesperrte Mailbox oder eine offene Rechnung mit knapper Frist. Absenderadresse, Logo und Tonfall wirken täuschend echt.
- Klick: Der Link führt auf eine nachgebaute Anmeldeseite, oder der Anhang enthält Schadcode. Eingegebene Zugangsdaten landen direkt bei den Angreifern. Moderne Angriffswerkzeuge fangen zusätzlich Sitzungs-Cookies ab und hebeln damit auch manche Multi-Faktor-Verfahren aus.
- Übernahme: Mit den erbeuteten Daten melden sich die Täter an, lesen Postfächer mit, richten unauffällige Weiterleitungsregeln ein und verschaffen sich Zugang zu weiteren Systemen.
- Ausbreitung und Monetarisierung: Vom kompromittierten Konto aus folgen Angriffe auf Kollegen und Geschäftspartner, der Diebstahl vertraulicher Daten oder die Vorbereitung eines Ransomware-Angriffs.
Warum das wichtig ist
- Einfallstor für Ransomware: Viele Verschlüsselungsangriffe beginnen mit einer einzigen überzeugenden Mail. Die Folgekosten eines Vorfalls übersteigen den Aufwand für Prävention erheblich.
- Direkter finanzieller Schaden: Business Email Compromise führt zu realen Überweisungen auf Täterkonten. Eine Rückholung gelingt selten, vor allem bei Auslandsüberweisungen.
- Gestohlene Identitäten wirken lange nach: Kompromittierte Konten werden über Wochen für Folgeangriffe genutzt, oft ohne dass es jemand bemerkt.
- Technik allein genügt selten: Filter erkennen viele Angriffe, gut gemachte Einzelangriffe kommen jedoch weiterhin durch. Der Faktor Mensch bleibt Teil der Verteidigung.
- Die Qualität der Angriffe steigt: Werkzeuge auf Basis künstlicher Intelligenz erzeugen fehlerfreie, sprachlich überzeugende Nachrichten in jeder Sprache. Das früher verlässliche Erkennungsmerkmal holpriger Formulierungen entfällt damit zunehmend.
- Meldepflichten und Reputation: Erfolgreiche Angriffe können Meldungen nach DSGVO auslösen und das Vertrauen von Kunden und Partnern dauerhaft beschädigen.
Typische Szenarien
- Gefälschte Anmeldeseite: Eine E-Mail fordert zur erneuten Anmeldung am Cloud-Postfach auf. Die verlinkte Seite ist eine optisch identische Kopie, die Zugangsdaten abgreift.
- Chef-Masche: Die vermeintliche Geschäftsführung bittet per Mail um eine dringende, vertrauliche Überweisung. Der Ton ist drängend, Rückfragen werden abgeblockt.
- Lieferanten-Trick: Ein bekannter Lieferant meldet scheinbar eine neue Bankverbindung. Die nächste reguläre Zahlung geht an die Täter.
- Bewerbung mit Anhang: Eine vermeintliche Bewerbung enthält ein präpariertes Dokument, das beim Öffnen eine Hintertür auf dem Rechner installiert.
- Paket-SMS: Eine Kurznachricht meldet ein aufgehaltenes Paket und führt auf eine Seite, die persönliche Daten abfragt oder zur Installation einer App drängt.
Phishing vs. Social Engineering
Phishing ist die bekannteste Ausprägung von Social Engineering, also der gezielten Manipulation von Menschen zu sicherheitskritischen Handlungen. Social Engineering umfasst darüber hinaus Telefonanrufe mit erfundenen Geschichten (Vishing), das Erschleichen von Zutritt zu Gebäuden oder präparierte USB-Sticks. Der Unterschied liegt im Kanal, das Prinzip bleibt gleich: Ausgenutzt werden Vertrauen, Hilfsbereitschaft und Zeitdruck.
Wirksame Abwehr adressiert deshalb beides. Technische Kontrollen reduzieren die Zahl der Köder, die Mitarbeitende überhaupt erreichen. Geschulte Teams erkennen und melden die Versuche, die es dennoch durch die Filter schaffen. Klare Prozesse, etwa das Vier-Augen-Prinzip bei Zahlungsfreigaben und Stammdatenänderungen, entziehen selbst erfolgreichen Täuschungen die Wirkung. Regelmäßige kurze Übungen mit realistischen Beispielen wirken dabei erfahrungsgemäß besser als seltene Pflichtschulungen.
Schutz mit KAEMI
Die Zustellung von Phishing-Nachrichten lässt sich nie vollständig verhindern, der daraus entstehende Schaden sehr wohl. Mit SASE/SSE blockiert ein Secure Web Gateway den Zugriff auf bekannte Phishing-Seiten, und ZTNA sorgt dafür, dass gestohlene Zugangsdaten allein noch keinen Zugriff auf interne Anwendungen eröffnen. Kommt es dennoch zu einer Kompromittierung, begrenzt Mikrosegmentierung die Ausbreitung im Netzwerk auf wenige Systeme. Gerne entwickeln wir mit Ihnen einen gestaffelten Schutz, der zu Ihrer Organisation passt: Kontakt .