Spear Phishing
Gezielter Phishing-Angriff auf eine bestimmte Person oder kleine Gruppe, bei dem die Nachricht mit recherchierten persönlichen und beruflichen Details glaubwürdig zugeschnitten wird.
Spear Phishing ist eine gezielte Form des Phishings, bei der Angreifer nicht wahllos möglichst viele Empfänger anschreiben, sondern einzelne Personen oder eine kleine, sorgfältig ausgewählte Gruppe ins Visier nehmen. Der Name stammt vom Speerfischen: Statt ein weites Netz auszuwerfen, zielt der Angreifer präzise auf ein einzelnes Opfer. Die Nachricht wird mit recherchierten Details — Name, Position, Projekte, Geschäftsbeziehungen, Schreibstil des vermeintlichen Absenders — so glaubwürdig zugeschnitten, dass die üblichen Erkennungsmerkmale von Massen-Phishing fehlen.
Was Spear Phishing von Massen-Phishing unterscheidet
Klassisches Phishing setzt auf Masse: identische Nachrichten an tausende Empfänger, in der Erwartung, dass ein kleiner Prozentsatz reagiert. Spear Phishing setzt auf Qualität statt Quantität. Der entscheidende Unterschied ist die Vorbereitung — die Aufklärung im Vorfeld.
| Merkmal | Massen-Phishing | Spear Phishing |
|---|---|---|
| Zielgruppe | Beliebige, große Empfängerzahl | Einzelperson oder kleine Gruppe |
| Personalisierung | Gering, generische Anrede | Hoch, echter Kontext und Namen |
| Vorbereitung | Minimal | Gezielte Recherche über das Opfer |
| Erkennbarkeit | Oft an Standardmerkmalen erkennbar | Schwer, wirkt wie legitime Korrespondenz |
| Erfolgsquote | Niedrig pro Empfänger | Deutlich höher pro Empfänger |
Whaling (Angriffe auf die Geschäftsführung) und CEO-Fraud sind Spezialfälle des Spear Phishings, bei denen besonders hochrangige oder zahlungsbefugte Personen adressiert werden.
Aufklärung als Grundlage
Der Kern jedes Spear-Phishing-Angriffs ist die Recherche. Angreifer sammeln öffentlich verfügbare Informationen (OSINT) aus Quellen wie LinkedIn, Unternehmenswebseiten, Pressemitteilungen, Stellenanzeigen und früheren Datenlecks. Daraus ergibt sich ein Bild davon, wer mit wem zusammenarbeitet, welche Projekte laufen und welche Formulierungen intern üblich sind. Dieses Wissen fließt in einen glaubwürdigen Vorwand ein — etwa eine angebliche Rechnung eines echten Lieferanten oder eine Anweisung einer real existierenden Führungskraft. Genau diese Kontextnähe hebelt das Social Engineering die Wachsamkeit aus, auf die klassische Awareness-Schulungen setzen.
Warum KI Spear Phishing skalierbar macht
Traditionell war Spear Phishing arbeitsintensiv: Recherche und individuelle Formulierung pro Ziel begrenzten die Zahl der Angriffe. Generative KI verschiebt dieses Verhältnis grundlegend. Sprachmodelle formulieren fehlerfreie, stilistisch angepasste Nachrichten in Sekunden und können die OSINT-Recherche teilautomatisieren. Damit wird die Qualität eines gezielten Angriffs auf die Menge eines Massenangriffs übertragen — der bisherige Zielkonflikt zwischen Breite und Personalisierung entfällt. Laut dem Microsoft Digital Defense Report 2025 erreichen KI-gestützte Phishing-Kampagnen Klickraten von bis zu 54 Prozent gegenüber rund 12 Prozent bei klassischen Kampagnen.
Wirksame Gegenmaßnahmen
Weil Spear Phishing die menschliche Erkennung gezielt aushebelt, muss der Schutz technisch und prozessual ansetzen. Phishing-resistente Authentifizierung mit FIDO2-Passkeys entwertet gestohlene Zugangsdaten, da der Schlüssel kryptografisch an die echte Domain gebunden ist. E-Mail-Authentifizierung mit DMARC im Enforcement-Modus verhindert das Fälschen der eigenen Domain. Conditional Access prüft Anmeldungen zusätzlich nach Kontext und Risiko. Gegen die Fälle ohne technische Nutzlast — etwa betrügerische Zahlungsanweisungen — bleibt ein verbindliches Vier-Augen-Prinzip mit Zweitkanal-Verifikation die wirksamste Kontrolle. Ergänzend reduziert ein bewusster Umgang mit öffentlich sichtbaren Mitarbeiterinformationen die Angriffsfläche für die Aufklärungsphase.
Relevanz für KMUs
Der Mittelstand ist ein besonders attraktives Ziel für Spear Phishing, weil dort oft klare Freigabeprozesse für Zahlungen fehlen und die Geschäftsführung direkt erreichbar ist. Ein einziger überzeugender CEO-Fraud kann fünf- bis sechsstellige Schäden verursachen. Wirksamer Schutz erfordert keine Enterprise-Werkzeuge: verbindliche Zahlungsfreigaben mit Rückkanal-Verifikation, DMARC auf der eigenen Domain, MFA mit phishing-resistenten Methoden und eine offene Meldekultur, in der Mitarbeitende ungewöhnliche Anfragen ohne Scheu hinterfragen dürfen, bilden zusammen eine belastbare Verteidigung — auch für kleine Unternehmen.