Welche Arten von Phishing-Angriffen gibt es?

Holger Maczkowsky ·
Geöffneter Briefumschlag mit Angelhaken auf dunklem Schreibtisch, symbolisiert Phishing-Angriff per E-Mail.

Phishing ist eine der häufigsten und gefährlichsten Formen von Cyberangriffen. Dabei versuchen Angreifer, über gefälschte E-Mails, Websites oder Nachrichten an vertrauliche Daten wie Passwörter, Kreditkartennummern oder Zugangsdaten zu gelangen. Die Methoden werden immer ausgefeilter und sind oft kaum von echter Kommunikation zu unterscheiden. Für Unternehmen und Behörden bedeutet das: Wer Phishing nicht kennt, kann sich auch nicht wirksam davor schützen.

Unerkannte Phishing-Angriffe kosten Unternehmen weit mehr als nur Daten

Ein erfolgreicher Phishing-Angriff endet selten beim Diebstahl eines einzelnen Passworts. Angreifer nutzen gestohlene Zugangsdaten, um in interne Systeme einzudringen, Ransomware zu platzieren oder Finanztransaktionen zu manipulieren. Die Folgen reichen von Betriebsunterbrechungen und Reputationsschäden bis hin zu empfindlichen Bußgeldern nach der DSGVO. Der entscheidende Schritt ist, Phishing-Versuche überhaupt als solche zu erkennen, bevor ein Klick den Schaden auslöst.

Fehlende technische Schutzmaßnahmen machen selbst aufmerksame Mitarbeitende angreifbar

Sensibilisierung allein reicht nicht aus. Selbst gut geschulte Mitarbeitende können auf täuschend echte Phishing-Seiten hereinfallen, die über kompromittierte oder manipulierte Browserumgebungen ausgeliefert werden. Wer den Webbrowser direkt auf dem Arbeitsplatzrechner betreibt, bietet Angreifern eine direkte Angriffsfläche ins interne Netzwerk. Technische Lösungen, die den Browser physisch vom Arbeitsplatz trennen, schließen diese Lücke konsequent – unabhängig davon, wie aufmerksam die Nutzenden sind.

Was ist Phishing und wie funktioniert es?

Phishing ist eine Angriffsmethode, bei der Cyberkriminelle gefälschte Kommunikation einsetzen, um Personen zur Preisgabe sensibler Informationen zu verleiten. Die Angreifer geben sich dabei als vertrauenswürdige Absender aus, etwa als Bank, Behörde oder Arbeitgeber, und fordern die Zielperson zu einer Handlung auf, zum Beispiel zum Klick auf einen Link oder zur Eingabe von Zugangsdaten.

Technisch funktioniert Phishing meist über E-Mails, die auf gefälschte Websites verlinken. Diese Seiten sehen dem Original täuschend ähnlich und erfassen eingegebene Daten direkt für die Angreifer. Alternativ werden Anhänge verwendet, die beim Öffnen Schadsoftware installieren. Moderne Phishing-Kampagnen sind häufig automatisiert und werden in großem Maßstab verschickt, um die Erfolgswahrscheinlichkeit zu erhöhen.

Der Begriff leitet sich vom englischen Wort „fishing“ ab, also Angeln. Die Angreifer werfen gewissermaßen einen Köder aus und warten darauf, dass jemand anbeißt. Da die Methode technisch vergleichsweise einfach umzusetzen ist, gehört Phishing zu den am weitesten verbreiteten Angriffsvektoren weltweit.

Welche Arten von Phishing-Angriffen gibt es?

Es gibt mehrere Varianten von Phishing-Angriffen, die sich in Zielgruppe, Kanal und Aufwand unterscheiden. Die wichtigsten Arten sind: E-Mail-Phishing, Spear Phishing, Whaling, Smishing, Vishing und Clone Phishing. Jede Variante nutzt unterschiedliche Täuschungsmechanismen und richtet sich an verschiedene Opfer.

  • E-Mail-Phishing: Die klassische und häufigste Form. Massenhaft verschickte E-Mails imitieren bekannte Absender und fordern zur Eingabe von Daten auf.
  • Spear Phishing: Gezielte Angriffe auf bestimmte Personen oder Organisationen, mit personalisierten Inhalten aus öffentlich zugänglichen Quellen.
  • Whaling: Eine Unterform des Spear Phishings, die sich speziell gegen Führungskräfte wie Geschäftsführende oder Finanzvorstände richtet.
  • Smishing: Phishing über SMS oder Messenger-Dienste, oft mit Links zu gefälschten Websites oder Aufforderungen zum Rückruf.
  • Vishing: Telefonisches Phishing, bei dem Angreifer sich als Bankmitarbeitende, IT-Support oder Behörden ausgeben.
  • Clone Phishing: Eine legitime E-Mail wird kopiert, der Anhang oder Link durch eine schädliche Version ersetzt und erneut versendet.

Die Grenzen zwischen diesen Kategorien sind fließend. Angreifer kombinieren häufig mehrere Methoden, etwa indem sie zunächst per E-Mail Kontakt aufnehmen und dann telefonisch nachfassen, um das Vertrauen der Zielperson weiter zu stärken.

Was ist der Unterschied zwischen Phishing und Spear Phishing?

Der Hauptunterschied liegt in der Zielgenauigkeit. Phishing ist ein Massenangriff ohne spezifisches Ziel, während Spear Phishing auf eine bestimmte Person oder Organisation zugeschnitten ist. Spear-Phishing-Nachrichten enthalten persönliche Details wie den Namen, die Position oder aktuelle Projekte der Zielperson und wirken dadurch deutlich glaubwürdiger.

Beim klassischen Phishing werden Millionen identischer E-Mails verschickt. Der Aufwand pro Angriff ist gering, die Erfolgsquote aber ebenfalls niedrig. Beim Spear Phishing investieren Angreifer Zeit in die Recherche ihrer Zielperson, zum Beispiel über LinkedIn, Unternehmenswebsites oder frühere Datenpannen. Das Ergebnis ist eine Nachricht, die kaum von echter Kommunikation zu unterscheiden ist.

Für Unternehmen ist Spear Phishing besonders gefährlich, weil Standard-Spamfilter diese Nachrichten oft nicht abfangen. Die Angriffe sind individuell formuliert und enthalten keine typischen Muster, die automatisierte Systeme erkennen könnten.

Wie erkennt man eine Phishing-E-Mail?

Phishing-E-Mails lassen sich an mehreren Merkmalen erkennen: ungewöhnliche Absenderadressen, Rechtschreibfehler, unerwartete Aufforderungen zur Dateneingabe, verdächtige Links und künstlicher Zeitdruck. Keines dieser Merkmale ist allein ausschlaggebend, aber das Zusammenspiel mehrerer Hinweise ist ein deutliches Warnsignal.

Konkrete Warnsignale im Überblick:

  • Die Absenderadresse ähnelt einer bekannten Domain, weicht aber leicht ab, zum Beispiel „support@paypa1.com“ statt „support@paypal.com“.
  • Die E-Mail enthält Links, deren Zieladresse beim Überfahren mit der Maus nicht zur angezeigten Domain passt.
  • Es wird Dringlichkeit erzeugt: „Ihr Konto wird in 24 Stunden gesperrt.“
  • Anhänge werden unerwartet mitgeschickt, besonders ausführbare Dateien oder Office-Dokumente mit Makros.
  • Die Anrede ist unpersönlich oder generisch, etwa „Sehr geehrter Kunde“.

Bei modernen Spear-Phishing-Angriffen treffen viele dieser klassischen Merkmale nicht mehr zu. Die Nachrichten sind sprachlich korrekt, persönlich adressiert und kommen scheinbar von bekannten Kontakten. In solchen Fällen hilft es, bei ungewöhnlichen Anfragen den Absender über einen anderen Kommunikationsweg direkt zu kontaktieren, bevor man handelt.

Wie schützen sich Unternehmen effektiv vor Phishing?

Effektiver Phishing-Schutz für Unternehmen besteht aus drei Ebenen: technischen Schutzmaßnahmen, regelmäßigen Mitarbeiterschulungen und klaren internen Prozessen. Keine dieser Ebenen allein ist ausreichend. Erst das Zusammenspiel aller drei schließt die relevanten Angriffsflächen.

Auf der technischen Ebene gehören dazu:

  • E-Mail-Filterung und Spam-Schutz mit aktuellen Signaturen
  • Zwei-Faktor-Authentifizierung für alle kritischen Systeme
  • DNS-basierte Schutzlösungen, die bekannte Phishing-Domains blockieren
  • Browserbasierte Schutzlösungen, die verhindern, dass Schadcode vom Browser auf den Arbeitsplatzrechner gelangt

Auf der organisatorischen Ebene sind regelmäßige Schulungen zur IT-Sicherheit entscheidend. Mitarbeitende sollten wissen, wie Phishing-Angriffe aussehen, wie sie verdächtige Nachrichten melden und welche Schritte im Ernstfall zu unternehmen sind. Simulierte Phishing-Tests helfen dabei, den Schulungsstand zu überprüfen und gezielt zu verbessern.

Klare Prozesse ergänzen die technischen und schulungsbezogenen Maßnahmen. Dazu gehört zum Beispiel eine Vier-Augen-Regel bei Überweisungen, eine definierte Meldekette bei Sicherheitsvorfällen und regelmäßige Überprüfungen der Zugriffsrechte.

Was sind die häufigsten Ziele von Phishing-Angriffen?

Phishing-Angriffe zielen vor allem auf Zugangsdaten zu Online-Konten, Bankdaten, Unternehmensanmeldedaten und persönliche Identifikationsdaten. Besonders im Visier stehen Mitarbeitende mit Zugang zu Finanzsystemen, IT-Infrastruktur oder sensiblen Kundendaten.

Auf Unternehmensebene sind folgende Ziele besonders häufig:

  • Finanzabteilungen: Angreifer versuchen, Überweisungen umzuleiten oder Zugangsdaten zu Bankkonten zu stehlen.
  • IT-Administratoren: Kompromittierte Admin-Zugänge ermöglichen weitreichenden Zugriff auf interne Systeme.
  • Führungskräfte: Ihre Konten haben hohe Berechtigungen, und ihre Identität wird für Betrugsversuche gegenüber Mitarbeitenden missbraucht.
  • Mitarbeitende im Homeoffice: Oft mit weniger Schutz ausgestattet und schwerer über interne Kanäle erreichbar.

Neben Unternehmen sind auch Behörden und Betreiber kritischer Infrastrukturen bevorzugte Ziele, weil ein erfolgreicher Angriff dort besonders weitreichende Konsequenzen hat. Angreifer wählen ihre Ziele strategisch und investieren entsprechend mehr Aufwand in die Vorbereitung.

So unterstützt die m-privacy GmbH beim Schutz vor Phishing

Phishing-Angriffe treffen Unternehmen und Behörden täglich. Wir bei der m-privacy GmbH helfen Ihnen, die relevanten Angriffsflächen konsequent zu schließen. Unser Ansatz kombiniert technische Lösungen mit Beratung und Schulung:

  • TightGate Pro: Unsere Remote-Controlled-Browser-Lösung trennt den Webbrowser physisch vom Arbeitsplatzrechner. Schadcode, der über Phishing-Seiten ausgeliefert wird, erreicht Ihr internes Netzwerk damit gar nicht erst.
  • Mitarbeiterschulungen: Wir schulen Ihre Mitarbeitenden praxisnah zu Phishing-Erkennungsmerkmalen, sicheren Verhaltensweisen und internen Meldeprozessen.
  • Security Audits nach ISO 27001: Wir analysieren Ihre bestehenden Schutzmaßnahmen und identifizieren konkrete Schwachstellen in Ihren Prozessen und Systemen.
  • Externer Datenschutzbeauftragter: Wir unterstützen Sie dabei, Phishing-Vorfälle datenschutzkonform zu dokumentieren und zu melden.

Sprechen Sie mit uns über Ihre aktuelle Sicherheitssituation. Kontaktieren Sie uns und erfahren Sie, wie wir gemeinsam Ihre digitale Sicherheit nachhaltig stärken können.