Bedrohungsszenario
Phishing & Social Engineering
Angriffsformen im Überblick
Spear-Phishing
Im Gegensatz zu Massen-Phishing sind Spear-Phishing-Angriffe gezielt auf eine Person oder ein Unternehmen zugeschnitten. Der Angreifer recherchiert im Vorfeld (LinkedIn, Website, Social Media) und formuliert eine glaubwürdige Nachricht.
CEO-Fraud via E-Mail
Mitarbeiter erhalten E-Mails, die scheinbar von der Geschäftsführung stammen und zur
Durchführung einer dringenden Überweisung auffordern. Die Absenderadresse ist meist nur
minimal verfälscht (z.B. ceo@firmaa.de statt ceo@firma.de).
Smishing (SMS-Phishing)
Phishing-Nachrichten über SMS – häufig als Paketbenachrichtigung, Bankalert oder Behördenmitteilung getarnt. Links führen auf gefälschte Login-Seiten.
Vishing (Voice-Phishing)
Telefonische Angriffe: Angreifer geben sich als IT-Support, Bank oder Behörde aus und erschleichen sich Zugangsdaten oder veranlassen die Installation von Fernzugriff-Software.
Erkennungsmerkmale
Absender prüfen
E-Mail-Adresse exakt prüfen, nicht nur den Anzeigenamen.
support@paypa1.com ≠ support@paypal.com
Dringlichkeit & Druck
„Handeln Sie jetzt – Ihr Konto wird gesperrt!" ist ein klassisches Manipulationsmuster. Seriöse Absender erzeugen keinen Zeitdruck.
Links überprüfen
Vor dem Klick mit der Maus über den Link fahren und die tatsächliche URL in der Statusleiste prüfen. Im Zweifel: Webseite manuell aufrufen.
Anhänge
Unerwartete Anhänge (besonders .exe, .docm, .xlsm, .zip) niemals öffnen. Im Zweifel beim Absender telefonisch nachfragen.
Schutzmaßnahmen
Technisch
- E-Mail-Filter mit Anti-Phishing-Erkennung aktivieren (Microsoft Defender, Google Workspace)
- DMARC, SPF und DKIM für die Unternehmensdomäne konfigurieren
- Multi-Faktor-Authentifizierung für alle Konten aktivieren – verhindert Kontomissbrauch trotz gestohlener Zugangsdaten
- Browser-Erweiterungen für Phishing-Schutz (z.B. uBlock Origin, Microsoft Defender Browser Protection)
- Makros in Office-Dokumenten standardmäßig deaktivieren
Organisatorisch
- Vier-Augen-Prinzip bei Überweisungen ab einem definierten Betrag
- Rückruf-Pflicht bei ungewöhnlichen Anfragen (auch von vermeintlichen Vorgesetzten)
- Klare Kommunikationskanäle: Überweisungsaufträge nur über definierte Prozesse, nicht per E-Mail
- Meldewesen einrichten: Mitarbeiter sollen verdächtige E-Mails melden können – ohne Angst vor Kritik
Awareness & Training
- Regelmäßige Schulungen zu aktuellen Phishing-Taktiken (mindestens jährlich)
- Simulierte Phishing-Tests: Mitarbeiter bekommen kontrollierte Test-Mails, um Reaktionsmuster zu prüfen
- Konkrete Beispiele realer Phishing-E-Mails im Training zeigen
Was tun bei einem Verdachtsfall?
- Nicht in Panik geraten – ruhig und methodisch handeln
- IT-Verantwortlichen oder Vorgesetzten sofort informieren
- Betroffene Zugangsdaten umgehend ändern (anderes Gerät nutzen, falls möglich)
- MFA-Session auf allen Geräten abmelden/widerrufen
- Vorfall dokumentieren: Zeitpunkt, welche Daten eingegeben wurden, welcher Link geklickt wurde
- Bei Datenpanne: Datenschutzbeauftragten informieren (72-Stunden-Frist DSGVO)
Checkliste: Phishing-Resistenz
Anti-Phishing Working Group: apwg.org
Phishing-Simulator: GoPhish (Open Source, selbst hostbar)