Jetzt anfragen

P

Phishing

Was ist Phishing?

Phishing ist eine Form von Online-Betrug, bei der Angreifer versuchen, über gefälschte E-Mails, Webseiten, SMS oder Nachrichten an sensible Daten zu kommen – zum Beispiel Passwörter, Kreditkartendaten oder Zugangsdaten zu Online-Diensten. Die Nachrichten sehen oft täuschend echt aus und geben sich als Bank, Paketdienst, Arbeitgeber, Cloud-Anbieter oder sogar als Kollegin oder Kollege aus. Ziel ist immer, das Opfer dazu zu bringen, auf einen Link zu klicken, eine Datei zu öffnen oder vertrauliche Informationen preiszugeben.

Wie erkennt man Phishing-Versuche?

Phishing-Mails und -Nachrichten folgen oft bestimmten Mustern. Typische Merkmale sind:

  • Dringlichkeit und Druck: „Ihr Konto wird gesperrt“, „Letzte Chance“, „Sofort handeln“.
  • Ungewöhnliche Absenderadresse: Leicht abgeänderte Domains oder freie Mailadressen statt offizieller Firmenadressen.
  • Rechtschreib- und Grammatikfehler: Viele Phishing-Mails sind schlecht übersetzt.
  • Unerwartete Links oder Anhänge: Vor allem, wenn man dazu aufgefordert wird, sich neu anzumelden oder eine Datei zu öffnen.
  • Allgemeine Anrede: „Sehr geehrter Kunde“ statt persönlicher Name – besonders bei eigentlich personalisierten Diensten.

Trotzdem werden Phishing-Kampagnen immer professioneller. Deshalb reicht reines „Bauchgefühl“ oft nicht aus – es braucht bewusste Prüfmechanismen und technische Schutzmaßnahmen.

Alltagsvergleich: Phishing als „verkleideter Betrüger“

Man kann sich Phishing vorstellen wie einen Betrüger, der in der Fußgängerzone in der Uniform eines Paketzustellers oder Bankmitarbeiters auftritt:

  • Er trägt das richtige Logo, die richtige Farbe, spricht „offiziell“ – wirkt also vertrauenswürdig.
  • Er fragt nach deinem Ausweis, deiner Bankkarte oder deiner Unterschrift „für die Zustellung“.
  • In Wahrheit hat er aber nichts mit dem echten Unternehmen zu tun, sondern nutzt nur dessen Erscheinungsbild.

Genauso arbeitet Phishing digital: Die E-Mail sieht aus wie von der Bank, die Login-Seite wie die echte Website – nur die Daten landen beim Angreifer.

Typische Arten von Phishing

Phishing gibt es in verschiedenen Varianten, die sich Ziel und Vorgehen unterscheiden:

  • Klassisches E-Mail-Phishing: Massenmails an viele Empfänger, z. B. angeblich von PayPal, Amazon oder einer Bank, mit dem Ziel, Zugangsdaten abzugreifen.
  • Spear-Phishing: Gezielt auf einzelne Personen oder Firmen zugeschnitten, mit persönlichen Details (Name, Funktion, Projekte), um glaubwürdiger zu wirken.
  • CEO-Fraud / Business E-Mail Compromise: Angreifer geben sich als Geschäftsführer oder Führungskraft aus und fordern Überweisungen oder die Herausgabe sensibler Daten.
  • Smishing: Phishing per SMS oder Messenger, oft mit Paket- oder Zustellbenachrichtigungen, die auf schädliche Seiten führen.
  • Vishing: Voice-Phishing per Telefon, bei dem sich Angreifer als Support, Bank oder Behörde ausgeben und Daten erfragen.

Beispiele für Phishing im Unternehmensalltag

Typische Szenarien, die in Unternehmen immer wieder vorkommen:

  • Login-Falle: Eine Mail „von Microsoft“ fordert dazu auf, das Office-365-Passwort zu erneuern. Der Link führt auf eine gefälschte Login-Seite, die das Passwort abgreift.
  • Rechnungsbetrug: Eine scheinbar echte Lieferantenrechnung mit geänderter Bankverbindung soll zur Überweisung auf ein Betrugskonto verleiten.
  • Fake-Paketbenachrichtigung: „Ihr Paket konnte nicht zugestellt werden“ – der Link installiert beim Klick Schadsoftware auf dem Rechner.
  • Chef-Anweisung: Eine gefälschte E-Mail im Namen der Geschäftsführung fordert die Buchhaltung auf, „dringend und vertraulich“ eine Überweisung auszuführen.

Welche Schäden kann Phishing verursachen?

Erfolgreiches Phishing kann massive Folgen haben:

  • Kontenübernahme: E-Mail-, Cloud- oder Banking-Accounts werden übernommen und für weitere Angriffe genutzt.
  • Ransomware-Einschleusung: Über Phishing-Anhänge wird Schadsoftware gestartet, die Daten verschlüsselt.
  • Datendiebstahl: Kunden-, Mitarbeiter- und Unternehmensdaten wandern in die Hände von Angreifern.
  • Finanzielle Schäden: Unberechtigte Überweisungen, Betrugsbestellungen, Erpressung.
  • Image- und Vertrauensverlust: Bekanntgewordene Sicherheitsvorfälle schaden Ruf und Kundenvertrauen.

Wie schützt man sich vor Phishing?

Effektiver Schutz besteht immer aus einer Kombination aus Technik, Prozessen und Bewusstsein:

  • Technische Maßnahmen: Spam- und Phishing-Filter, URL-Filter, Sandboxing von Anhängen, aktuelle Virenscanner, DMARC/SPF/DKIM für E-Mail-Sicherheit.
  • Multi-Faktor-Authentifizierung (MFA): Selbst wenn Passwörter gestohlen werden, reicht das allein nicht für den Zugriff.
  • Klare Prozesse: z. B. Vier-Augen-Prinzip bei Überweisungen, keine Änderung von Kontodaten nur per E-Mail.
  • Security-Awareness-Trainings: Mitarbeitende regelmäßig schulen, Beispiele zeigen und Erkennungsmuster trainieren.
  • Meldekultur: Verdächtige Mails sollten einfach und ohne Angst vor „Fehlalarm“ an die IT gemeldet werden können.

Checkliste: Ist diese E-Mail vielleicht Phishing?

Beim Lesen einer unerwarteten Nachricht können diese Fragen helfen:

  • Erwarte ich diese E-Mail wirklich – oder kommt sie überraschend?
  • Stimmt die Absenderadresse wirklich mit dem bekannten Kontakt überein?
  • Wirkt der Text hektisch, drohend oder sehr dringlich?
  • Fordert mich jemand auf, sensible Daten per E-Mail, Formular oder Telefon preiszugeben?
  • Ist der Link beim Darüberfahren mit der Maus (ohne Klick) wirklich die Website, die ich erwarte?

Im Zweifel: nicht klicken, nicht antworten – sondern Rückfrage über einen bekannten, offiziellen Kanal (z. B. direkt beim Kollegen, bei der Bank oder in der IT) stellen.

Kurz zusammengefasst

Phishing ist einer der häufigsten und gefährlichsten Angriffswege in der IT-Sicherheit. Angreifer nutzen Vertrauen, Stress und Unaufmerksamkeit aus, um an Zugangsdaten und vertrauliche Informationen zu gelangen. Wer Phishing verstehen, typische Muster erkennen und technische sowie organisatorische Schutzmaßnahmen kombinieren kann, reduziert das Risiko deutlich. Am Ende gilt: Lieber eine verdächtige Nachricht einmal zu viel hinterfragen, als einmal zu wenig und damit „Tür und Tor“ für einen Angriff zu öffnen.

Support kontaktieren