Phishing
Phishing ist ein Social-Engineering-Angriff, bei dem Angreifer durch gefälschte E-Mails, Websites oder Nachrichten Nutzer zur Preisgabe von Zugangsdaten, Zahlungsinformationen oder zur Ausführung von Malware verleiten.
Phishing (von englisch fishing - angeln, mit ph in Anlehnung an die Hackerszene der 1980er) ist die häufigste Einstiegsmethode für Cyberangriffe. Laut BSI-Lagebericht 2024 beginnen über 90% aller erfolgreichen Ransomware-Angriffe mit einer Phishing-E-Mail.
Phishing-Varianten
Standard-Phishing: Massenversand an viele Empfänger, generische Inhalte (“Ihr Konto wurde gesperrt”)
Spear Phishing: Zielgerichteter Angriff auf spezifische Personen oder Organisationen mit personalisierten Inhalten. Erheblich höhere Erfolgsquote - Angreifer kennt Name, Position und Kontext.
Whaling: Spear-Phishing gezielt gegen Führungskräfte (C-Level) - höhere Berechtigungen, höherer Schaden
Clone Phishing: Kopie einer legitimen E-Mail mit ausgetauschten Links oder Anhängen
Smishing: Phishing per SMS (“Ihr Paket wartet - bitte Zollgebühr zahlen”)
Vishing: Phishing per Telefonanruf (Voice Phishing) - auch mit KI-generierten Stimmen (Deepfake Vishing)
QR-Code-Phishing (Quishing): Bösartige QR-Codes leiten auf Phishing-Seiten um, umgehen dabei oft E-Mail-Security-Filter
CEO-Fraud / Business Email Compromise (BEC): Angreifer gibt sich als Geschäftsführer aus und fordert dringende Überweisungen. FBI 2024: 2,9 Mrd. USD Schaden durch BEC weltweit.
Erkennungsmerkmale
Technische Indikatoren:
- Domain unterscheidet sich subtil von der echten (
paypa1.comstattpaypal.com, oderdeutschebank-noreply.de) - Kein oder ungültiges TLS-Zertifikat
- Fehlende oder falsche DMARC/SPF/DKIM-Authentifizierung
- Unerwarteter Absender, Reply-To weicht von From ab
Inhaltliche Indikatoren:
- Ungewöhnliche Dringlichkeit oder Drohungen (“Konto gesperrt in 2 Stunden!”)
- Anforderung von Zugangsdaten, Zahlungen oder persönlichen Daten
- Grammatikfehler (bei KI-generierten Angriffen zunehmend seltener)
- Ungewöhnliche Anhänge (.exe, .zip, .doc mit Makros, .iso)
Was passiert nach dem Klick?
Das Öffnen einer Phishing-E-Mail selbst ist meist harmlos. Die Gefahr entsteht durch:
- Link anklicken: Führt auf Fake-Login-Seite → Credentials werden gestohlen, oder Drive-by-Download startet Malware
- Anhang öffnen: Macro-aktivierte Office-Dokumente laden Payload nach (
WINWORD.EXE → powershell.exe) - Handlung durchführen: Überweisung tätigen, Credentials eingeben, Code weitergeben
Sofortmaßnahme bei Verdacht: IT-Abteilung einschalten, betroffenen Account sofort sperren, Passwörter zurücksetzen.
Schutzmaßnahmen
Technisch:
- DMARC/DKIM/SPF-Enforcement - verhindert E-Mail-Spoofing der eigenen Domain
- E-Mail-Security-Gateway (SEG) mit URL-Rewriting und Sandboxing
- Browser-basiertes URL-Filtering
- MFA: Selbst bei gestohlenen Credentials kein Zugang (Phishing-resistente FIDO2 am besten)
- [EXTERN]-Banner im Betreff für externe E-Mails
Organisatorisch:
- Regelmäßige Phishing-Simulationen mit sofortigem Feedback (nicht bestrafen, belohnen!)
- Security-Awareness-Schulungen - mindestens jährlich, besser kontinuierlich
- Klarer Meldeprozess: “Phish Alert Button” in Outlook, Bestätigungsmail ans meldende Team
- Vier-Augen-Prinzip für Zahlungen ab bestimmtem Betrag
- Call-Back-Policy: Identität bei kritischen Anfragen immer telefonisch verifizieren
Weiterführende Informationen: AWARE7 Phishing-Simulationen | Wiki: Phishing erkennen
AWARE7 Leistungen zum Thema
Ausführlicher Wiki-Artikel
DMARC - Domain-based Message Authentication, Reporting and Conformance
7 Min. Lesezeit
Phishing und Social Engineering: Angriffsmethoden, Psychologie und Schutzmaßnahmen
16 min Lesezeit
Ransomware
8 Min. Lesezeit
Security Awareness Training: Wie die Human Firewall wirklich funktioniert
13 min Lesezeit
