Spear-Phishing

Spear-Phishing ist die zielgerichtete Variante des Phishings. Während generisches Phishing Millionen E-Mails mit identischem Inhalt verschickt und auf statistische Wahrscheinlichkeit setzt, bereitet Spear-Phishing jeden Angriff individuell vor.

Generisches Phishing vs. Spear-Phishing

	Generisches Phishing	Spear-Phishing
Zielgruppe	Beliebige E-Mail-Adressen	Spezifische Person(en)
Inhalt	Generisch (“Ihr Konto wird gesperrt”)	Personalisiert mit echten Details
Aufwand	Minimal	Stunden bis Tage Recherche
Klickrate	5-30%	50-70% bei gutem Kontext
Erkennung	Einfacher (offensichtliche Warnzeichen)	Sehr schwer

Wie Angreifer Spear-Phishing vorbereiten

OSINT-Phase (Open Source Intelligence):

Angreifer sammeln Informationen aus öffentlichen Quellen:

• LinkedIn: Name, Titel, Abteilung, Kollegennamen, laufende Projekte, Technologien
• Unternehmenswebsite: Organigramm, News, aktuelle Ausschreibungen, Kooperationen
• XING, Twitter/X: Professionsinteressen, Konferenzbesuche
• Pressemitteilungen: M&A-Aktivitäten, neue Partnerschaften, Führungswechsel
• GitHub: Technologien, Codekommentare mit internen Hostnamen
• Google: Mitarbeiter-Namen aus alten Präsentationen, internen Dokumenten

Pretext-Entwicklung:

Mit den gesammelten Informationen wird eine glaubwürdige Geschichte konstruiert:

• “Hallo [Vorname], ich bin [echter Kollegenname] aus dem IT-Bereich. Zu unserem Microsoft-365-Migration-Projekt brauche ich kurz Ihre Bestätigung…”
• “Bezüglich unserer Kooperation mit [echter Partnerunternehmen] - können Sie diese Rechnung freigeben?”
• Gefälschte E-Mail vom “CEO” mit internem Projekt-Kontext

Whaling - Spear-Phishing auf Führungsebene

Whaling (“Walfang”) bezeichnet Spear-Phishing gezielt gegen Führungskräfte (CEO, CFO, CISO). Diese Angriffe sind besonders wertvoll für Angreifer weil:

• Führungskräfte Entscheidungsgewalt über Transaktionen haben
• Ihre Autorität für CEO-Fraud ausgenutzt wird
• Sie Zugang zu besonders sensiblen Informationen haben

Whaling-E-Mails tarnen sich typischerweise als:

• Vorladungen von Behörden oder Gerichten
• Steueranfragen des Finanzamts
• Geschäftliche Anfragen von Investoren oder Großkunden
• Vertrauliche Fusionsgespräche

Schutzmaßnahmen

Technisch:

• DMARC/DKIM/SPF verhindert E-Mail-Spoofing der eigenen Domain
• Anti-Phishing-Filter in E-Mail-Gateway (erkennt Lookalike-Domains, DKIM-Anomalien)
• Multi-Faktor-Authentifizierung (verhindert Kontoübernahme auch wenn Credentials erbeutet)
• FIDO2/Passkeys für phishing-resistente Authentifizierung

Prozessual:

• Verifikationspflicht für Zahlungsanfragen über zweiten Kanal (Rückruf)
• Vier-Augen-Prinzip für Überweisungen über Schwellenwert
• Kein Klick auf Links in unerwarteten E-Mails - direkt URL eingeben

Awareness:

• Spear-Phishing-Simulationen mit echtem Kontext (Kollegennamen, aktuelles Projekt)
• Training das spezifisch Führungskräfte adressiert (CEO-Fraud-Szenarien)
• Meldung verdächtiger E-Mails ohne Angst vor Konsequenzen

Spear-Phishing als APT-Eingangsvektor

Staatlich gesponserte Angreifer (APTs) nutzen Spear-Phishing systematisch als Erstzugangsvektor:

• Monatelange OSINT-Phase mit detailliertem Profiling der Zielperson
• Maßgeschneiderte Malware in scheinbar harmlosen Anhängen (Word-Dokument, PDF)
• Zero-Day-Exploits in Anhängen für maximal unentdeckten Zugang

Das BSI und CISA berichten regelmäßig über staatliche Spear-Phishing-Kampagnen gegen Regierungsbehörden, Rüstungsunternehmen und Forschungseinrichtungen in Deutschland.