Was ist Phishing und wie funktioniert es?

Holger Maczkowsky ·
Angelhaken auf Laptop-Tastatur neben leuchtendem E-Mail-Posteingang, symbolisiert Phishing-Angriff im dunklen Büro.

Phishing ist eine der häufigsten und gefährlichsten Formen der Cyberkriminalität. Dabei versuchen Angreifer, über gefälschte E-Mails, Websites oder Nachrichten an vertrauliche Daten wie Passwörter, Bankdaten oder Zugangsdaten zu gelangen. Phishing-Angriffe treffen Privatpersonen ebenso wie Unternehmen und Behörden. Wer die Methoden kennt, kann sich und seine Organisation deutlich besser schützen.

Unerkannte Phishing-Angriffe kosten Unternehmen weit mehr als nur Daten

Wenn ein Phishing-Angriff erfolgreich ist, sind die Folgen selten auf den ersten Blick sichtbar. Kompromittierte Zugangsdaten öffnen Angreifern Türen ins interne Netzwerk, oft ohne dass es jemand sofort bemerkt. Bis der Schaden erkannt wird, haben Kriminelle häufig bereits sensible Daten abgegriffen, Systeme manipuliert oder Ransomware installiert. Der eigentliche Schaden entsteht nicht im Moment des Klicks, sondern in den Wochen danach. Wer Phishing ernst nimmt, investiert deshalb in Prävention: Schulungen, technische Schutzmaßnahmen und klare interne Prozesse für den Ernstfall.

Fehlende Medienkompetenz macht Mitarbeitende zum größten Sicherheitsrisiko

Technische Sicherheitslösungen allein reichen nicht aus, wenn Mitarbeitende nicht wissen, woran sie eine gefälschte E-Mail erkennen. Angreifer setzen gezielt auf menschliche Schwächen: Zeitdruck, Neugier, Vertrauen in bekannte Absender. Eine einzige unbedachte Reaktion genügt, um eine ganze IT-Infrastruktur zu gefährden. Die wirksamste Gegenmaßnahme sind regelmäßige, praxisnahe Schulungen. Mitarbeitende müssen Phishing-Versuche erkennen und wissen, wie sie im Verdachtsfall reagieren, bevor sie auf einen Link klicken oder Zugangsdaten eingeben.

Was ist Phishing genau?

Phishing ist ein Cyberangriff, bei dem Kriminelle sich als vertrauenswürdige Absender ausgeben, um Empfänger zur Preisgabe sensibler Informationen zu verleiten. Der Begriff leitet sich vom englischen Wort „fishing“ ab: Die Angreifer werfen einen Köder aus und warten darauf, dass jemand anbeißt. Ziel sind meist Passwörter, Kreditkartendaten oder Unternehmensgeheimnisse.

Phishing gehört zur Kategorie des Social Engineering. Das bedeutet: Der Angriff zielt nicht auf eine technische Schwachstelle in einem System, sondern auf das Verhalten und die Reaktionen von Menschen. Die gefälschten Nachrichten sind oft täuschend echt gestaltet und imitieren bekannte Unternehmen, Banken oder Behörden.

Phishing-Angriffe sind deshalb so wirksam, weil sie auf universelle menschliche Reaktionen setzen: Vertrauen, Angst, Neugier oder Zeitdruck. Diese psychologischen Auslöser werden bewusst eingesetzt, um schnelle, unreflektierte Handlungen zu provozieren.

Wie funktioniert ein Phishing-Angriff?

Ein Phishing-Angriff läuft typischerweise in mehreren Schritten ab: Der Angreifer wählt ein Ziel, erstellt eine täuschend echte Nachricht oder Website, versendet sie und wartet auf die Reaktion des Opfers. Klickt das Opfer auf einen Link oder gibt Daten ein, hat der Angriff sein Ziel erreicht.

Im Detail sieht der Ablauf häufig so aus:

  1. Vorbereitung: Der Angreifer recherchiert das Ziel und wählt einen glaubwürdigen Absender, zum Beispiel eine bekannte Bank oder einen Paketdienstleister.
  2. Täuschung: Eine E-Mail oder Nachricht wird so gestaltet, dass sie vom echten Absender kaum zu unterscheiden ist. Logos, Schriftarten und Formulierungen werden kopiert.
  3. Handlungsaufforderung: Das Opfer wird aufgefordert, auf einen Link zu klicken, eine Datei zu öffnen oder Daten einzugeben, oft mit einer dringlichen Begründung.
  4. Datenabgriff: Der Link führt auf eine gefälschte Website, die Eingaben direkt an den Angreifer weiterleitet.
  5. Missbrauch: Die gestohlenen Daten werden für weitere Angriffe, Identitätsdiebstahl oder finanziellen Betrug genutzt.

Moderne Phishing-Angriffe sind technisch und sprachlich oft sehr ausgereift. Automatisierte Tools ermöglichen es Kriminellen, Tausende von Nachrichten gleichzeitig zu versenden und dabei individuell auf die Empfänger einzugehen.

Welche Arten von Phishing-Angriffen gibt es?

Phishing tritt in verschiedenen Formen auf. Die häufigsten Varianten sind E-Mail-Phishing, Spear-Phishing, Smishing (per SMS), Vishing (per Telefon) und Pharming (Manipulation von DNS-Einträgen). Jede Methode nutzt einen anderen Kanal, verfolgt aber dasselbe Ziel: die Preisgabe sensibler Daten.

  • E-Mail-Phishing: Die klassische und verbreitetste Form. Massenhaft versendete E-Mails imitieren bekannte Unternehmen oder Institutionen.
  • Spear-Phishing: Zielgerichtete Angriffe auf bestimmte Personen oder Organisationen, mit personalisierten Inhalten.
  • Smishing: Phishing über SMS-Nachrichten, häufig mit gefälschten Paketbenachrichtigungen oder Bankwarnungen.
  • Vishing: Telefonischer Betrug, bei dem Angreifer als Bankmitarbeiter, Behörden oder IT-Support auftreten.
  • Pharming: Ein technisch aufwendiger Angriff, bei dem Nutzer ohne ihr Wissen auf gefälschte Websites umgeleitet werden, selbst wenn sie die richtige Adresse eingeben.
  • Clone-Phishing: Eine legitime E-Mail wird kopiert und leicht verändert, zum Beispiel mit einem anderen Link, und erneut versendet.

Woran erkennt man eine Phishing-E-Mail?

Phishing-E-Mails lassen sich an mehreren Merkmalen erkennen: ungewöhnliche Absenderadressen, dringliche Formulierungen, verdächtige Links, Rechtschreibfehler und unerwartete Dateianhänge sind typische Warnsignale. Kein seriöses Unternehmen fordert per E-Mail zur Eingabe von Passwörtern oder Bankdaten auf.

Konkrete Hinweise, auf die Sie achten sollten:

  • Die Absenderadresse weicht leicht von der echten Domain ab, zum Beispiel „support@paypa1.com“ statt „support@paypal.com“.
  • Die Anrede ist unpersönlich, zum Beispiel „Sehr geehrter Kunde“ statt Ihres Namens.
  • Der Text erzeugt künstlichen Zeitdruck: „Ihr Konto wird in 24 Stunden gesperrt.“
  • Links führen zu Adressen, die nicht zur angeblichen Absenderorganisation passen.
  • Anhänge haben ungewöhnliche Dateiformate oder unerwartete Namen.

Ein einfacher Test: Fahren Sie mit dem Mauszeiger über einen Link, ohne zu klicken. Die tatsächliche Zieladresse erscheint in der Statusleiste des Browsers. Stimmt sie nicht mit dem angezeigten Text überein, ist Vorsicht geboten.

Was ist der Unterschied zwischen Phishing und Spear-Phishing?

Phishing ist ein breit gestreuter Angriff ohne spezifisches Ziel, während Spear-Phishing gezielt auf eine bestimmte Person oder Organisation ausgerichtet ist. Beim Spear-Phishing recherchieren Angreifer ihr Ziel vorab und personalisieren die Nachricht, was sie deutlich überzeugender und gefährlicher macht.

Beim klassischen Phishing wird dieselbe E-Mail an Tausende von Empfängern gesendet. Die Trefferquote ist niedrig, aber durch die schiere Masse werden dennoch viele Opfer erreicht. Beim Spear-Phishing hingegen investieren Angreifer Zeit: Sie kennen den Namen des Empfängers, seinen Arbeitgeber, seine Kollegen und manchmal sogar aktuelle Projekte. Die gefälschte Nachricht wirkt dadurch wie eine legitime interne Kommunikation.

Eine besonders gefährliche Variante des Spear-Phishings ist das sogenannte Whaling: Dabei werden gezielt Führungskräfte oder Entscheidungsträger angegriffen, da diese oft Zugang zu besonders sensiblen Systemen und Daten haben.

Wie kann man sich vor Phishing schützen?

Effektiver Schutz vor Phishing kombiniert technische Maßnahmen mit regelmäßiger Sensibilisierung. Dazu gehören Spamfilter, Zwei-Faktor-Authentifizierung, aktuelle Software und vor allem geschulte Mitarbeitende, die Phishing-Versuche erkennen und richtig reagieren.

Folgende Maßnahmen erhöhen Ihren Schutz erheblich:

  1. Zwei-Faktor-Authentifizierung aktivieren: Selbst wenn ein Passwort gestohlen wird, verhindert ein zweiter Faktor den unbefugten Zugriff.
  2. Software aktuell halten: Sicherheitsupdates für Betriebssysteme und Browser schließen bekannte Schwachstellen.
  3. Mitarbeitende schulen: Regelmäßige Trainings helfen, Phishing-Nachrichten zu erkennen und richtig zu reagieren.
  4. E-Mail-Filter einsetzen: Technische Filter reduzieren die Anzahl der Phishing-Nachrichten, die überhaupt im Postfach landen.
  5. Verdächtige Links prüfen: Im Zweifel die Adresse manuell im Browser eingeben, statt auf den Link zu klicken.
  6. Klare Meldeprozesse einrichten: Mitarbeitende sollten wissen, an wen sie sich wenden, wenn sie eine verdächtige Nachricht erhalten.

Besonders für Unternehmen gilt: Technische Schutzmaßnahmen allein reichen nicht aus. Der Browser ist nach wie vor eines der größten Einfallstore für Angriffe. Lösungen, die die Ausführungsumgebung des Browsers vom internen Netzwerk trennen, bieten hier einen zusätzlichen Schutzwall, der auch dann greift, wenn ein Nutzer versehentlich auf einen schädlichen Link klickt.

Wie m-privacy GmbH Sie beim Schutz vor Phishing unterstützt

Phishing-Angriffe werden immer raffinierter, und kein Unternehmen ist dagegen vollständig immun. Wir bei der m-privacy GmbH bieten Ihnen ein umfassendes Sicherheitskonzept, das technische und organisatorische Maßnahmen verbindet:

  • TightGate-Pro: Unsere BSI-zertifizierte Remote-Browser-Lösung trennt die Ausführungsumgebung des Webbrowsers physisch vom Arbeitsplatzrechner. Selbst wenn ein Nutzer auf einen Phishing-Link klickt, bleibt das interne Netzwerk geschützt, weil schädlicher Code niemals den Arbeitsplatzrechner erreicht.
  • Schulungen zu IT-Sicherheit und Datenschutz: Wir sensibilisieren Ihre Mitarbeitenden praxisnah für aktuelle Angriffsmethoden, damit Phishing-Versuche erkannt werden, bevor Schaden entsteht.
  • Security Audits nach ISO 27001: Wir analysieren Ihre bestehende Sicherheitsarchitektur und identifizieren konkrete Schwachstellen, die Angreifer ausnutzen könnten.
  • Externe Datenschutzbeauftragte: Wir übernehmen die Rolle des externen Datenschutzbeauftragten und stellen sicher, dass Ihr Unternehmen auch bei Sicherheitsvorfällen rechtskonform handelt.

Phishing ist kein Problem, das sich mit einer einzigen Maßnahme lösen lässt. Es braucht ein durchdachtes Zusammenspiel aus Technik, Prozessen und Menschen. Kontaktieren Sie uns und erfahren Sie, wie wir Ihre Organisation wirksam vor Phishing und anderen Cyberbedrohungen schützen können. Weitere Informationen zu unseren Lösungen finden Sie auf der Website der m-privacy GmbH.