Phishing
Social-Engineering-Angriff, bei dem Opfer durch gefälschte Nachrichten zur Preisgabe von Zugangsdaten oder zur Ausführung schädlicher Aktionen verleitet werden.
Phishing ist und bleibt der häufigste initiale Angriffsvektor für Cyberangriffe auf Unternehmen. Bei einem Phishing-Angriff täuschen Angreifer eine vertrauenswürdige Identität vor — etwa einen Kollegen, Geschäftspartner oder IT-Dienstleister — und verleiten das Opfer dazu, Zugangsdaten einzugeben, schädliche Anhänge zu öffnen oder Überweisungen auszulösen. Die Angriffe werden durch KI-generierte Texte und Deepfakes zunehmend raffinierter.
Phishing-Varianten
| Variante | Zielgruppe | Methode | Typisches Ziel |
|---|---|---|---|
| Spear Phishing | Einzelne Personen | Personalisierte E-Mails mit Kontextbezug | Zugangsdaten, Malware |
| Whaling | Geschäftsführung / C-Level | Hochgradig recherchierte Angriffe | CEO Fraud, Überweisungen |
| Smishing | Mobilnutzer | SMS mit schädlichen Links | Zugangsdaten, App-Installation |
| Vishing | Telefon-Empfänger | Sprachbasiertes Social Engineering | Zugangsdaten, Remote-Zugriff |
| Clone Phishing | Empfänger legitimer E-Mails | Kopie einer echten E-Mail mit schädlichem Anhang | Malware-Verbreitung |
Warum Phishing so erfolgreich ist
Phishing zielt auf den Menschen als schwächstes Glied der Sicherheitskette. Selbst technisch versierte Mitarbeitende können unter Zeitdruck oder in stressigen Situationen auf gut gemachte Phishing-Mails hereinfallen. Angreifer nutzen psychologische Trigger wie Dringlichkeit ('Ihr Konto wird gesperrt'), Autorität ('Anweisung der Geschäftsführung') und Neugier ('Ihre Gehaltsabrechnung im Anhang').
Technische Gegenmaßnahmen
| Maßnahme | Schutzwirkung |
|---|---|
| SPF (Sender Policy Framework) | Verhindert E-Mail-Versand von nicht autorisierten Servern |
| DKIM (DomainKeys Identified Mail) | Stellt Integrität und Authentizität von E-Mails sicher |
| DMARC (Domain-based Message Authentication) | Kombiniert SPF und DKIM mit Richtlinien für Fehlschläge |
| E-Mail-Gateway-Filterung | Erkennung schädlicher Anhänge und URLs |
| URL-Rewriting und Sandboxing | Prüfung von Links zum Klickzeitpunkt |
SPF, DKIM und DMARC sollten als Mindeststandard für jede Unternehmens-Domain konfiguriert sein. Zusammen verhindern sie, dass Angreifer die eigene Domain für Phishing missbrauchen können. Mit unserem kostenlosen E-Mail Security Check können Sie die Konfiguration Ihrer Domain in Sekunden prüfen.
Organisatorische Gegenmaßnahmen
Technische Maßnahmen allein genügen nicht. Regelmäßige Security-Awareness-Trainings mit simulierten Phishing-Kampagnen schärfen das Bewusstsein der Mitarbeitenden. Entscheidend ist dabei nicht die 'Durchfallquote', sondern die Lernkurve und eine offene Meldekultur: Mitarbeitende, die einen Phishing-Versuch melden, sollten positives Feedback erhalten — nicht bestraft werden.
Phishing und Zero Trust
Ein Zero-Trust-Ansatz reduziert den Schaden eines erfolgreichen Phishing-Angriffs erheblich. Multi-Faktor-Authentifizierung (MFA) macht gestohlene Passwörter allein wertlos. Conditional-Access-Richtlinien können Anmeldungen von unbekannten Geräten oder Standorten blockieren. Und Least-Privilege-Prinzipien stellen sicher, dass ein kompromittiertes Konto nur minimalen Schaden anrichten kann.
Relevanz für KMUs
Mittelständische Unternehmen sind überproportional häufig Phishing-Ziele, weil Angreifer dort weniger ausgereifte Schutzmaßnahmen erwarten. Die Kombination aus korrekt konfigurierten E-Mail-Sicherheitsstandards (SPF, DKIM, DMARC), regelmäßigem Awareness-Training und einer Zero-Trust-Architektur mit MFA bildet den wirksamsten Schutz — und ist auch für kleinere Unternehmen umsetzbar. Ob Ihre E-Mail-Authentifizierung korrekt eingerichtet ist, zeigt der kostenlose E-Mail Security Check in wenigen Sekunden. Verdächtige Links aus Phishing-Nachrichten lassen sich zudem mit dem Phishing-URL-Check auf Homoglyphen, gefälschte Domains und Google-Safe-Browsing-Einträge prüfen, bevor sie angeklickt werden.