IT-Lexikon
Cybersecurity

Whaling

Gezielter Phishing-Angriff auf hochrangige Führungskräfte wie Geschäftsführung oder Vorstand, deren weitreichende Befugnisse und Zugriffe sie zu besonders wertvollen Zielen machen.

Whaling (englisch für „Walfang") ist eine besonders hochwertige Form des Spear Phishings, die sich gezielt gegen die „großen Fische" eines Unternehmens richtet — Geschäftsführung, Vorstand, Finanzleitung oder andere Personen mit weitreichenden Befugnissen. Der Begriff betont, dass hier nicht ein beliebiger Mitarbeiter, sondern eine ranghohe Führungskraft das Ziel ist. Weil diese Personen über umfangreiche Zugriffsrechte, Zahlungsvollmachten und Zugang zu vertraulichen Informationen verfügen, ist ein erfolgreicher Angriff auf sie ungleich wertvoller als auf einen einzelnen Sachbearbeiter.

Whaling im Verhältnis zu verwandten Angriffen

Whaling, Spear Phishing und Business Email Compromise werden oft vermischt, lassen sich aber klar unterscheiden. Der entscheidende Punkt ist, wer Ziel und wer vorgetäuschter Absender ist.

Begriff Ziel des Angriffs Kern
Spear Phishing Einzelne, gezielt ausgewählte Person Personalisierung durch Recherche
Whaling Hochrangige Führungskraft Wert und Befugnisse des Opfers
CEO-Fraud Mitarbeitende (z. B. Buchhaltung) Imitation der Führungskraft als Absender

Whaling und CEO-Fraud sind damit zwei Seiten derselben Medaille: Beim Whaling ist die Führungskraft das Opfer, beim CEO-Fraud — einer Variante des Business Email Compromise — wird sie als Absender missbraucht, um Untergebene zu täuschen.

Warum Führungskräfte attraktive Ziele sind

Führungskräfte sind aus mehreren Gründen exponiert. Ihre Namen, Positionen und Aktivitäten sind öffentlich sichtbar — in Impressum, Pressemitteilungen, Interviews und auf LinkedIn —, was Angreifern reichlich Material für die Aufklärung liefert. Gleichzeitig stehen sie unter Zeitdruck, delegieren viel und werden seltener in Awareness-Trainings einbezogen als das übrige Personal. Ein überzeugend formulierter Angriff, der auf eine reale Geschäftsreise, eine laufende Übernahme oder einen bekannten Geschäftspartner Bezug nimmt, wirkt dadurch besonders glaubwürdig. Generative KI senkt den Aufwand für diese maßgeschneiderte Ansprache erheblich.

Wirksame Gegenmaßnahmen

Der Schutz von Führungskräften erfordert dieselben technischen Grundlagen wie gegen jedes gezielte PhishingMFA mit phishing-resistenten Methoden wie FIDO2-Passkeys, DMARC im Enforcement-Modus und Conditional Access —, ergänzt um Maßnahmen, die der besonderen Rolle Rechnung tragen. Dazu gehört, das Management ausdrücklich in Awareness-Programme einzubeziehen statt es davon auszunehmen, verbindliche Freigabeprozesse auch für Anweisungen „von ganz oben" zu etablieren und die öffentlich sichtbare Angriffsfläche prominenter Personen bewusst zu begrenzen.

Relevanz für KMUs

Im Mittelstand ist Whaling besonders heikel, weil Geschäftsführung und Inhaber oft in einer Person zusammenfallen und deren Wort im Unternehmen kaum hinterfragt wird. Genau diese kurze Befehlskette machen sich Angreifer zunutze. Wirksam ist eine Kultur, in der auch eine scheinbar direkte Anweisung der Geschäftsführung über einen zweiten Kanal verifiziert werden darf und soll — kombiniert mit phishing-resistenter Authentifizierung für die besonders privilegierten Konten der Führungsebene.