Phishing: Angriffe werden immer professioneller – das können Sie tun
Phishing-Mails sind nervig, oder? Tatsächlich sind sie noch viel mehr als ein lästiges Übel. Phishing ist eine ernstzunehmende Bedrohung, denn die Angriffe nehmen zu, werden raffinierter und erfolgreicher. Cyberkriminelle haben sich professionalisiert, nutzen KI und psychologische Tricks. Während Ihre Firewall immer ausgefeilter wird, bleibt der Mensch die Schwachstelle. Und genau die wird gezielt ausgenutzt. Das kann teuer werden und schädigt den Ruf.
Phishing und Social Engineering – kurze Begriffserklärung
Das Wort Phishing ist eine Kombination der Begriffe „password“ und „fishing“. Es beschreibt das gezielte Abfischen von Passwörtern. Cyberkriminelle werfen ihre digitalen Köder wie gefälschte E-Mails aus, die vorgeben, von einem seriösen Anbieter wie Ihrer Bank, einem Online-Shop oder einer Behörde zu stammen. Sobald Sie auf einen Link klicken oder einen Anhang öffnen, haben die Angreifer ihr Ziel erreicht. Sie servieren damit Ihre Zugangsdaten, Kreditkarteninformationen oder am besten gleich den Zugang zu Ihrem Unternehmensnetzwerk auf dem Silbertablett.
Als ob das nicht schon schlimm genug wäre, ist Phishing mittlerweile häufig nur der Anfang. Dabei wird eine Schadsoftware eingeschleust, die je nach Auftrag Daten stiehlt, Systeme ausspioniert oder Ransomware installiert. Herzlichen Glückwunsch.
Phishing ist allerdings keine isolierte Bedrohung, sondern Teil eines größeren Konzepts. Gemeint ist das Social Engineering. Dabei setzen Angreifer auf psychologische Manipulation. Sie erzeugen bewusst Emotionen wie Druck, Panik oder Angst, damit Sie schnell und unüberlegt handeln. Ihr Unterbewusstsein übernimmt die Kontrolle, rationales Denken wird ausgeschaltet. Genau das ist die Absicht – auch beim Phishing.
Darum ist Phishing so erfolgreich
Die Zeiten von schlecht formulierten E-Mails voller Rechtschreibfehler sind vorbei. Moderne Phishing-Nachrichten sind täuschend echt gestaltet. Sie nutzen echte Logos, imitieren bekannte Marken und passen sich dem Sprachstil der angeblichen Absender an. KI-gestützte Tools machen diese Arbeit in wenigen Minuten und erzeugen Ergebnisse, bei denen selbst Profis zwei Mal hinschauen müssen.
Ohne gezielte Schutzmaßnahmen – die erschreckend vielen Unternehmen immer noch fehlen – liegt die Erfolgsrate von Phishing-Angriffen derzeit bei 32,6 Prozent. Jede dritte Attacke führt zum Ziel, wenn Unternehmen nicht handeln.
Übrigens: Nicht jede dubiose E-Mail will Daten klauen. Manche Spam-Mails machen schlicht und einfach Adressakquise. Sie nutzen die Impressumspflicht aus, um an vollständige Kontaktdaten zu gelangen. Wer auf solche Mails reagiert, bestätigt, dass die Adresse aktiv ist und liefert gleich weitere personenbezogene Daten mit. Ist also auch schlimm.
Neueste Methoden
Cyberkriminelle sind clever und entwickeln ständig neue Methoden. So gab es Anfang 2025 eine Phishing-Welle, die vor allem den Online-Handel betraf: das QR-Code-Phishing (Quishing). Die QR-Codes führen die Opfer unbemerkt auf gefälschte Webseiten.
Vor wenigen Tagen gab das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine gemeinsame Sicherheitswarnung mit dem Bundesamt für Verfassungsschutz heraus (BfV). Gewarnt wird vor Phishing-Angriffen via Messengerdiensten wie Signal. Die Angreifer kontaktieren ihre Opfer über eine Chatnachricht und geben sich als Mitarbeiter des Support-Teams aus. Was dann folgt, ist bekannt: Es sollen Sicherheits-PINs oder Verifizierungscodes herausgegeben werden, um eine Sperrung des Accounts zu verhindern. Bei einer zweiten Variante soll die Kopplung eines weiteren Geräts mit dem Account zugelassen werden. Auftraggeber ist mutmaßlich ein staatlicher Akteur, doch auch andere kriminelle Gruppierungen können diese Art des Phishings nutzen.
Konkrete Maßnahmen zum Schutz vor Phishing
Jetzt wird es praktisch. Auch wenn Phishing-Angriffe immer glaubwürdiger wirken, sind Sie diesen nicht schutzlos ausgeliefert.
Meine wichtigste Regel: Die 3-Stunden-Regel
Sobald eine E-Mail, SMS oder Chatnachricht Druck aufbaut oder Panik erzeugt, atmen Sie durch und denken Sie nach. Prüfen Sie die Situation genau und sprechen Sie im Zweifel mit einem Vorgesetzten. Es gibt nichts – wirklich nichts – das nicht auch drei Stunden warten kann.
Keine Bank sperrt Ihr Konto in den nächsten 60 Minuten. Kein Finanzamt pfändet Ihr Vermögen bis Mitternacht. Kein Chef geht pleite, weil Sie nicht sofort überweisen. Klingt jetzt im Moment ziemlich logisch, oder?
Sensibilisierung ist alles
Typische Fehler sind voreiliges Handeln unter Zeitdruck, Angst und blindes Vertrauen in professionell gestaltete E-Mails. Eine kurze Rückfrage beim angeblichen Absender würde oft Klarheit schaffen – wird aber nicht gemacht, weil man nicht „dumm“ dastehen will.
Schulen Sie Ihre Mitarbeiter regelmäßig. Nur wer regelmäßig mit dem Thema in Berührung kommt, erkennt die Fallen und lernt, entsprechend zu handeln.
Zwei-Faktor-Authentifizierung
Selbst wenn Zugangsdaten gestohlen werden, verhindert eine zweite Sicherheitsebene den unbefugten Zugriff. Das BSI empfiehlt dringend den Einsatz von Zwei-Faktor-Authentifizierung oder passwortlosen Passkeys. Das Einrichten dauert fünf Minuten, die Zeit hat jeder.
Technische Schutzmaßnahmen
Auch wenn der Mensch das Ziel ist, kann die Technik unterstützen. Spam-Filter, E-Mail-Authentifizierung wie DMARC und moderne Security-Lösungen fangen viele Angriffe ab, bevor sie überhaupt bei Ihnen ankommen.
Den Ernstfall testen
Testen Sie Ihre Mitarbeiter mit simulierten Phishing-Angriffen. Das schärft das Bewusstsein und zeigt Schwachstellen auf, bevor echte Angreifer sie ausnutzen. Das Ergebnis wird Sie schockieren.
Fazit
Phishing bedroht alle Unternehmen. Die Professionalisierung durch KI, die psychologische Raffinesse und die schiere Masse der Angriffe machen es schwerer, alle gefälschten Nachrichten zu erkennen. Wer seine Mitarbeiter nicht schult, geht ein unnötiges Risiko ein. Unternehmen, die den Menschen als Risikofaktor ernst nehmen, schließen eine ihrer größten Sicherheitslücken.
Sie möchten Ihr Unternehmen wirksam vor Phishing schützen?
Sprechen Sie mich gerne an. In einer kurzen Beratung klären wir, wo Ihre größten Risiken liegen und welche Maßnahmen für Ihr Unternehmen sinnvoll sind.
Für eine systematische Absicherung empfehle ich meine Seminare zum BSI-Grundschutz sowie zum Thema Social Engineering.
Alle Seminare finden Sie hier: cheyenne-IT.de/seminare