Wie funktioniert ein Phishing-Angriff technisch gesehen?

Holger Maczkowsky ·
Angelhaken hängt bedrohlich über einer modernen Tastatur auf weißem Schreibtisch, symbolisiert Phishing-Gefahr.

Ein Phishing-Angriff ist eine Form des Social Engineering, bei der Angreifer gefälschte E-Mails, Webseiten oder Nachrichten einsetzen, um Nutzer zur Preisgabe vertraulicher Daten zu verleiten. Technisch gesehen kombinieren solche Angriffe täuschend echte Nachahmer-Infrastrukturen mit psychologischem Druck. Das Ziel ist fast immer dasselbe: Zugangsdaten, Zahlungsinformationen oder das unbemerkte Einschleusen von Schadsoftware in ein Unternehmensnetzwerk.

Phishing-Angriffe treffen Unternehmen dort, wo klassische Sicherheitsmaßnahmen versagen

Viele Organisationen verlassen sich auf Spam-Filter und Antivirensoftware, die jedoch gegen moderne Phishing-Kampagnen zunehmend unzureichend sind. Angreifer registrieren Domains, die legitimen Adressen zum Verwechseln ähnlich sehen, nutzen HTTPS-Zertifikate für gefälschte Seiten und passen ihre Nachrichten gezielt auf einzelne Personen an. Das Ergebnis: Mitarbeitende klicken auf Links, die technisch einwandfrei aussehen, und öffnen damit Türen, die eigentlich geschlossen sein sollten. Der konkrete Schaden reicht von gestohlenen Zugangsdaten bis hin zum vollständigen Datenverlust. Eine wirksame Gegenmaßnahme beginnt damit, den Browser als Einfallstor konsequent vom internen Netzwerk zu trennen.

Fehlende Browser-Isolation macht jeden Arbeitsplatz zum potenziellen Angriffspunkt

Solange ein Webbrowser direkt auf dem Arbeitsplatzrechner ausgeführt wird, kann jede aufgerufene Webseite Schadcode in die lokale Umgebung einschleusen. Phishing-Seiten nutzen genau diese Schwachstelle: Sie laden im Hintergrund Exploits, stehlen Session-Cookies oder starten Drive-by-Downloads, ohne dass der Nutzer etwas bemerkt. Das ist kein theoretisches Szenario, sondern tägliche Realität in Unternehmen und Behörden. Die Lösung liegt nicht darin, Mitarbeitende noch strikter zu schulen, sondern die technische Architektur so zu gestalten, dass ein Klick auf eine Phishing-Seite schlicht keine Auswirkungen auf das interne Netzwerk haben kann.

Was ist ein Phishing-Angriff genau?

Ein Phishing-Angriff ist ein gezielter Täuschungsversuch, bei dem Angreifer die Identität vertrauenswürdiger Absender oder Webseiten imitieren, um Nutzer zur Herausgabe sensibler Informationen zu bewegen oder Schadsoftware zu installieren. Der Begriff leitet sich vom englischen „fishing“ ab und beschreibt treffend das Auswerfen von Ködern in der Hoffnung, dass jemand anbeißt.

Phishing richtet sich sowohl gegen Privatpersonen als auch gegen Unternehmen und Behörden. Besonders gefährlich ist das sogenannte Spear-Phishing, bei dem Angreifer vorab Informationen über das Ziel sammeln und die Nachricht individuell anpassen. Eine gefälschte E-Mail, die den Namen des Vorgesetzten trägt und auf ein internes Projekt Bezug nimmt, wirkt weitaus glaubwürdiger als eine generische Massennachricht.

Neben klassischen E-Mails werden auch SMS (Smishing), Telefonanrufe (Vishing) und gefälschte Webseiten als Vektoren eingesetzt. Die gemeinsame technische Grundlage ist immer dieselbe: eine täuschend echte Imitation legitimer Kommunikation.

Wie läuft ein Phishing-Angriff technisch ab?

Ein Phishing-Angriff folgt einem klaren technischen Ablauf: Der Angreifer erstellt eine gefälschte Infrastruktur, versendet eine täuschende Nachricht, lockt das Opfer auf eine präparierte Seite und stiehlt dort Daten oder installiert Schadsoftware. Jede Phase ist technisch aufeinander abgestimmt.

  1. Vorbereitung: Der Angreifer registriert eine Domain, die einer legitimen Adresse ähnelt, zum Beispiel „m-privaacy.de“ statt „m-privacy.de“. Er richtet einen Webserver ein, kopiert das Layout der echten Seite und beschafft oft sogar ein gültiges HTTPS-Zertifikat, damit der Browser kein Warnsignal anzeigt.
  2. Versand: Die Phishing-Nachricht wird über kompromittierte E-Mail-Konten, gefälschte Absenderadressen (E-Mail-Spoofing) oder legitime Versanddienste verschickt. Technisch wird dabei der „From“-Header manipuliert, sodass die angezeigte Adresse nicht der tatsächlichen Versandquelle entspricht.
  3. Täuschung: Das Opfer klickt auf einen Link und landet auf der gefälschten Seite. Diese kann ein Login-Formular enthalten, das Zugangsdaten direkt an den Angreifer sendet, oder im Hintergrund automatisch Schadcode ausführen.
  4. Ausnutzung: Gestohlene Zugangsdaten werden sofort für weitere Angriffe genutzt, etwa für den Zugriff auf Unternehmenssysteme oder für Business Email Compromise.

Welche technischen Methoden setzen Angreifer bei Phishing ein?

Angreifer kombinieren bei Phishing mehrere technische Methoden: E-Mail-Spoofing zur Absenderfälschung, Typosquatting für täuschend ähnliche Domains, HTML-Verschleierung in E-Mails sowie Redirect-Ketten, die Sicherheitsfilter umgehen. Moderne Kampagnen nutzen zudem legitime Cloud-Dienste als Zwischenstufe.

E-Mail-Spoofing und Domain-Imitation: Angreifer manipulieren den Absender-Header oder registrieren Domains mit minimalen Abweichungen. Homograph-Angriffe nutzen optisch identische Zeichen aus anderen Zeichensätzen, etwa ein kyrillisches „a“ statt eines lateinischen, um Filter zu umgehen.

Redirect-Ketten und legitime Dienste: Statt direkt auf die Phishing-Seite zu verlinken, leiten Angreifer über legitime Dienste wie Google Docs, SharePoint oder öffentliche URL-Kürzer um. Das täuscht automatisierte Sicherheitssysteme, die nur den ersten Link prüfen.

Adversary-in-the-Middle-Phishing: Fortgeschrittene Angriffe schalten einen transparenten Proxy zwischen Nutzer und legitime Seite. Der Nutzer sieht die echte Webseite, während der Proxy Zugangsdaten und Session-Tokens in Echtzeit abgreift. Selbst Zwei-Faktor-Authentifizierung kann so ausgehebelt werden.

Wie gelangt Schadsoftware über Phishing auf ein System?

Schadsoftware gelangt über Phishing entweder durch direkte Dateianhänge, durch Drive-by-Downloads beim Besuch präparierter Webseiten oder durch das Ausführen von Makros in Office-Dokumenten auf ein System. In allen Fällen sind der Browser oder der E-Mail-Client das Einfallstor.

Bei Drive-by-Downloads reicht bereits der Besuch einer präparierten Seite aus. Der Browser lädt automatisch Schadcode nach, der Sicherheitslücken im Browser selbst, in Plugins oder im Betriebssystem ausnutzt. Der Nutzer muss nichts herunterladen oder bestätigen; der Angriff läuft vollständig im Hintergrund ab.

Schädliche Anhänge tarnen sich häufig als Rechnungen, Lieferbenachrichtigungen oder interne Dokumente. Office-Dateien mit aktivierten Makros, manipulierte PDFs oder ausführbare Dateien mit doppelter Dateiendung wie „Rechnung.pdf.exe“ sind typische Vektoren. Sobald die Datei geöffnet wird, verbindet sich die Schadsoftware mit einem Command-and-Control-Server und lädt weitere Komponenten nach.

Warum reichen klassische Schutzmaßnahmen gegen Phishing oft nicht aus?

Klassische Schutzmaßnahmen wie Spam-Filter, Antivirensoftware und Mitarbeiterschulungen reduzieren das Risiko, eliminieren es aber nicht. Sie reagieren auf bekannte Muster und versagen bei neuen, noch nicht klassifizierten Angriffen. Phishing-Kampagnen werden heute automatisiert erstellt und können innerhalb von Minuten angepasst werden.

Spam-Filter prüfen Metadaten und bekannte Signaturen. Ein Angreifer, der eine frisch registrierte Domain und eine legitime Versandinfrastruktur nutzt, passiert diese Filter problemlos. Ähnliches gilt für Antivirensoftware: Sie erkennt bekannte Schadsoftware, nicht aber maßgeschneiderte Varianten oder dateilose Angriffe, die direkt im Arbeitsspeicher ausgeführt werden.

Mitarbeiterschulungen sind wertvoll, aber keine technische Schutzmaßnahme. Selbst gut geschulte Mitarbeitende können unter Zeitdruck oder bei besonders glaubwürdigen Spear-Phishing-Nachrichten Fehler machen. Ein technischer Schutz sollte deshalb nicht davon abhängen, ob ein Mensch im richtigen Moment die richtige Entscheidung trifft.

Wie schützt eine Browser-Isolation zuverlässig vor Phishing-Angriffen?

Browser-Isolation schützt vor Phishing, indem sie den Webbrowser vollständig vom lokalen Arbeitsplatzrechner und dem internen Netzwerk trennt. Schadcode, der beim Besuch einer Phishing-Seite ausgeführt wird, läuft in einer isolierten Umgebung und kann das eigentliche System nicht erreichen.

Das Prinzip ist technisch klar: Der Browser wird nicht lokal auf dem Arbeitsplatzrechner ausgeführt, sondern auf einem separaten Server. Der Nutzer sieht lediglich die visuelle Ausgabe, während sämtliche Browseraktivitäten in einer abgeschotteten Umgebung stattfinden. Selbst wenn eine Phishing-Seite Schadcode ausführt, bleibt dieser innerhalb der isolierten Umgebung eingeschlossen und hat keinen Zugriff auf das interne Netzwerk oder lokale Daten.

Diese Architektur macht den Erfolg eines Phishing-Angriffs technisch irrelevant: Es spielt keine Rolle mehr, ob ein Mitarbeitender auf einen schadhaften Link klickt, weil der entstehende Schaden strukturell begrenzt ist. Mehr über das Prinzip der sicheren Internetanbindung erfahren Sie auf der Website von m-privacy.

Wie m-privacy GmbH Sie vor Phishing-Angriffen schützt

Wir bei der m-privacy GmbH haben uns auf den präventiven Schutz vor genau den Angriffsvektoren spezialisiert, die klassische Sicherheitslösungen regelmäßig überfordern. Unser Ansatz setzt auf technische Architektur statt auf Reaktion:

  • TightGate-Pro: Unsere Remote-Controlled-Browser-Lösung trennt den Webbrowser physisch vom Arbeitsplatzrechner. Phishing-Seiten, Drive-by-Downloads und browserbasierte Exploits können das interne Netzwerk schlicht nicht erreichen. TightGate-Pro ist durch das BSI nach Common Criteria EAL3+ zertifiziert und wird in Behörden, Finanzinstituten und kritischen Infrastrukturen eingesetzt.
  • Security Audits nach ISO 27001: Wir analysieren Ihre bestehende Sicherheitsarchitektur und identifizieren konkrete Schwachstellen, die Phishing-Angriffe ausnutzen könnten.
  • Mitarbeiterschulungen: Wir schulen Ihre Teams zu datenschutzkonformen Verfahrensweisen und zur Erkennung von Phishing-Versuchen, sodass technischer Schutz und menschliches Urteilsvermögen Hand in Hand gehen.
  • Externer Datenschutzbeauftragter: Für Unternehmen, die eine externe Lösung bevorzugen, stellen wir qualifizierte Datenschutzbeauftragte, die regulatorische Anforderungen und technische Sicherheit verbinden.

Phishing-Angriffe werden technisch immer ausgefeilter. Die wirksamste Antwort darauf ist eine Infrastruktur, die Angriffe strukturell wirkungslos macht, bevor sie Schaden anrichten können. Kontaktieren Sie uns und erfahren Sie, wie wir Ihre Organisation konkret absichern können.