Was ist Phishing?
Phishing ist der Versuch, über gefälschte E-Mails, SMS (Smishing) oder Anrufe (Vishing) an Zugangsdaten, Geld oder vertrauliche Informationen zu gelangen. Angreifer nutzen dabei psychologische Mechanismen wie Dringlichkeit, Autorität und Angst.

Angriffsformen im Überblick

Spear-Phishing

Im Gegensatz zu Massen-Phishing sind Spear-Phishing-Angriffe gezielt auf eine Person oder ein Unternehmen zugeschnitten. Der Angreifer recherchiert im Vorfeld (LinkedIn, Website, Social Media) und formuliert eine glaubwürdige Nachricht.

CEO-Fraud via E-Mail

Mitarbeiter erhalten E-Mails, die scheinbar von der Geschäftsführung stammen und zur Durchführung einer dringenden Überweisung auffordern. Die Absenderadresse ist meist nur minimal verfälscht (z.B. ceo@firmaa.de statt ceo@firma.de).

Smishing (SMS-Phishing)

Phishing-Nachrichten über SMS – häufig als Paketbenachrichtigung, Bankalert oder Behördenmitteilung getarnt. Links führen auf gefälschte Login-Seiten.

Vishing (Voice-Phishing)

Telefonische Angriffe: Angreifer geben sich als IT-Support, Bank oder Behörde aus und erschleichen sich Zugangsdaten oder veranlassen die Installation von Fernzugriff-Software.

Erkennungsmerkmale

Absender prüfen

E-Mail-Adresse exakt prüfen, nicht nur den Anzeigenamen. support@paypa1.comsupport@paypal.com

Dringlichkeit & Druck

„Handeln Sie jetzt – Ihr Konto wird gesperrt!" ist ein klassisches Manipulationsmuster. Seriöse Absender erzeugen keinen Zeitdruck.

Links überprüfen

Vor dem Klick mit der Maus über den Link fahren und die tatsächliche URL in der Statusleiste prüfen. Im Zweifel: Webseite manuell aufrufen.

Anhänge

Unerwartete Anhänge (besonders .exe, .docm, .xlsm, .zip) niemals öffnen. Im Zweifel beim Absender telefonisch nachfragen.

Schutzmaßnahmen

Technisch

  • E-Mail-Filter mit Anti-Phishing-Erkennung aktivieren (Microsoft Defender, Google Workspace)
  • DMARC, SPF und DKIM für die Unternehmensdomäne konfigurieren
  • Multi-Faktor-Authentifizierung für alle Konten aktivieren – verhindert Kontomissbrauch trotz gestohlener Zugangsdaten
  • Browser-Erweiterungen für Phishing-Schutz (z.B. uBlock Origin, Microsoft Defender Browser Protection)
  • Makros in Office-Dokumenten standardmäßig deaktivieren

Organisatorisch

  • Vier-Augen-Prinzip bei Überweisungen ab einem definierten Betrag
  • Rückruf-Pflicht bei ungewöhnlichen Anfragen (auch von vermeintlichen Vorgesetzten)
  • Klare Kommunikationskanäle: Überweisungsaufträge nur über definierte Prozesse, nicht per E-Mail
  • Meldewesen einrichten: Mitarbeiter sollen verdächtige E-Mails melden können – ohne Angst vor Kritik

Awareness & Training

  • Regelmäßige Schulungen zu aktuellen Phishing-Taktiken (mindestens jährlich)
  • Simulierte Phishing-Tests: Mitarbeiter bekommen kontrollierte Test-Mails, um Reaktionsmuster zu prüfen
  • Konkrete Beispiele realer Phishing-E-Mails im Training zeigen

Was tun bei einem Verdachtsfall?

Sofortmassnahmen
Auf keinen Link geklickt und keine Daten eingegeben? Prima – E-Mail melden und löschen. Bereits auf einen Link geklickt oder Daten eingegeben? Sofort IT informieren und Passwörter ändern.
  1. Nicht in Panik geraten – ruhig und methodisch handeln
  2. IT-Verantwortlichen oder Vorgesetzten sofort informieren
  3. Betroffene Zugangsdaten umgehend ändern (anderes Gerät nutzen, falls möglich)
  4. MFA-Session auf allen Geräten abmelden/widerrufen
  5. Vorfall dokumentieren: Zeitpunkt, welche Daten eingegeben wurden, welcher Link geklickt wurde
  6. Bei Datenpanne: Datenschutzbeauftragten informieren (72-Stunden-Frist DSGVO)

Checkliste: Phishing-Resistenz

Weiterführende Ressourcen
BSI-Phishing-Ratgeber: bsi.bund.de/phishing
Anti-Phishing Working Group: apwg.org
Phishing-Simulator: GoPhish (Open Source, selbst hostbar)