Aktuelle Bedrohung

91% aller Angriffe starten
mit einer E-Mail.

Kein Patch, keine Firewall schützt, wenn ein Mitarbeiter unter Zeitdruck klickt. Diese Seite zeigt, wie Phishing funktioniert - und wie Sie sich schützen.

Phishing-Simulation starten Grundlagen lesen

Verizon DBIR 2024 4,5 Mio. USD Ø Schaden 3 Sek. Entscheidung

E-Mail Threat Scanner

0 Threats0 Safe

Warte auf eingehende E-Mails...

0/6 E-Mails analysiert

0% Threat-Rate

Cyberangriffe starten mit Phishing
Ø Schaden pro Vorfall
Klickraten-Reduktion
Entscheidungszeit

Grundlagen

Was ist Phishing?

Phishing ist ein Social-Engineering-Angriff, bei dem Angreifer legitime Organisationen oder Personen imitieren, um Opfer zur Preisgabe sensibler Daten, zum Klicken auf schädliche Links oder zur Ausführung von Aktionen zu verleiten. Der Begriff leitet sich von "fishing" (Angeln) ab - mit Menschen als Beute.

Was Phishing so gefährlich macht: Es greift nicht Technologie an, sondern Menschen. Kein Patch, keine Firewall und kein Antivirus schützt vollständig, wenn ein Mitarbeitender unter Stress oder in Zeitdruck auf einen Link klickt. Deshalb ist Security Awareness genauso wichtig wie technische Schutzmaßnahmen.

Phishing-Typen im Überblick

E-Mail Phishing

Massenangriffe per E-Mail mit gefälschten Absendern. Ziel ist das Stehlen von Zugangsdaten, die Infektion mit Malware oder die Initiierung von Zahlungsbetrug. Typische Merkmale: dringender Handlungsbedarf, gefälschte Absenderadressen, manipulierte Links.

Spear Phishing

Gezielter Angriff auf einzelne Personen oder Abteilungen mit personalisierten Inhalten aus OSINT-Recherche. Viel höhere Erfolgsrate als Massen-Phishing - bis zu 70% Klickrate gegenüber 3% bei generischen Kampagnen (Proofpoint State of the Phish 2025).

Whaling

Spear Phishing speziell gegen Führungskräfte (CEO, CFO, CISO). Angreifer imitieren Geschäftspartner, Rechtsanwälte oder Behörden. Häufiges Ziel: CEO-Fraud (Business E-Mail Compromise) mit Überweisungsaufforderungen - durchschnittlicher Schaden laut FBI IC3: 125.000 USD pro Vorfall.

Smishing

Phishing per SMS mit Links zu gefälschten Websites oder schädlichen Downloads. Paketbenachrichtigungen, Bankwarnungen und vermeintliche Behördenmitteilungen sind häufige Köder. Besonders gefährlich, da mobile Browser die vollständige URL oft nicht anzeigen.

Vishing

Voice Phishing über Telefon. Angreifer geben sich als IT-Support, Bank, Finanzamt oder Microsoft-Mitarbeiter aus. Durch soziale Manipulation werden Zugangsdaten oder Remote-Zugriff erbettelt. Kombination mit vorherigen E-Mails erhöht die Glaubwürdigkeit erheblich.

QR-Code Phishing (Quishing)

QR-Codes in E-Mails oder Druckmedien, die zu Phishing-Seiten führen. Besonders tückisch: E-Mail-Gateways scannen QR-Codes nicht wie URLs. Der Anwender scannt mit dem privaten Smartphone, das oft weniger geschützt ist als das Firmengerät. Stark wachsender Angriffsvektor seit 2023.

Threat Intelligence

Aktuelle Phishing-Methoden 2025/2026

KI-gestützte Angriffe, Deepfakes und neue Delivery-Kanäle verändern die Phishing-Landschaft rasant. Was gestern noch als Erkennungsmerkmal galt, funktioniert heute nicht mehr.

Kritisch

KI-generierte Phishing-Texte

2025/2026

LLMs wie GPT-4 ermöglichen fehlerfreie, stilsichere Phishing-Mails in jeder Sprache. Frühere Erkennungsmerkmale wie Rechtschreibfehler und schlechte Grammatik entfallen vollständig. Angreifer personalisieren Inhalte automatisiert auf Basis von LinkedIn-, XING- und Social-Media-Profilen.

Hoch

Deepfake Voice & Video

2025/2026

Synthetische Stimmen und Videos von CEOs oder Vorgesetzten für Whaling-Angriffe und Echtzeit-Vishing. Bereits 2024 verlor ein Unternehmen 25 Mio. USD durch einen Deepfake-Videoanruf, bei dem ein Finanzangestellter die gefälschte Identität seines CFO nicht erkannte (South China Morning Post, 2024).

Kritisch

Adversary-in-the-Middle (AiTM)

2024-2026

Phishing-Frameworks wie Evilginx oder Modlishka proxieren echte Login-Seiten in Echtzeit und stehlen Session-Cookies - auch hinter MFA. Der Benutzer sieht die echte Webseite und gibt echte Zugangsdaten ein, die direkt abgegriffen werden. MFA schützt hier nur bedingt.

Mittel

QR-Code Phishing in Dokumenten

2024-2026

QR-Codes in PDF-Anhängen, Rechnungen oder gedruckten Paketzetteln umgehen E-Mail-Scanner vollständig. Scannen mit dem Privathandy führt auf Phishing-Seiten außerhalb der Firmensicherheitskontrollen.

Hoch

Microsoft Teams / Slack Phishing

2023-2026

Collaboration-Tools als neuer Angriffsvektor: Angreifer kontaktieren Mitarbeitende über externe Gäste-Einladungen, gefälschte Systembenachrichtigungen oder kompromittierte Partner-Tenants. Weniger Misstrauen als bei E-Mail - höhere Klickrate.

Quellen: Verizon DBIR 2024, Proofpoint State of the Phish 2025, IBM Cost of a Data Breach Report 2024, FBI IC3 Annual Report 2024, KnowBe4 Phishing Benchmark 2024.

Schutz

Phishing erkennen: Checkliste

Phishing-E-Mails werden immer überzeugender. Diese Checkliste hilft, verdächtige Nachrichten zu identifizieren - auch wenn sie auf den ersten Blick legitim wirken.

Die 3-Sekunden-Regel

Angreifer setzen auf Zeitdruck. Wenn eine E-Mail sofortiges Handeln fordert - stoppen Sie 3 Sekunden lang und fragen: Würde diese Organisation mich auf diesem Weg kontaktieren? Ergibt die Anfrage in meinem Kontext Sinn? Dieser kurze Stopp verhindert einen Großteil aller Phishing-Klicks.

Absenderadresse genau prüfen

Nicht nur den Anzeigenamen, sondern die vollständige E-Mail-Adresse. Typosquatting wie "amazon-service.de" ist häufig.

Linkziel vor dem Klicken prüfen

Mouse-over auf Links zeigt die echte URL. Auf Mobilgeräten: Link gedrückt halten für Vorschau.

Dringende Handlungsaufforderungen hinterfragen

"Ihr Konto wird gesperrt" oder "Sofortiger Handlungsbedarf" sind klassische Panikmacher-Taktiken.

Unerwartete Anhänge niemals öffnen

Auch wenn der Absender bekannt scheint - Kontext klären über separaten Kommunikationskanal.

HTTPS ist kein Sicherheitsmerkmal

Über 80% der Phishing-Seiten nutzen inzwischen HTTPS. Das Schloss-Symbol bedeutet nur verschlüsselte Übertragung, nicht Legitimität.

Formulareingaben auf bekannte Domänen beschränken

Zugangsdaten nur auf offiziellen, direkt eingetippten URLs eingeben - nie über Links aus E-Mails.

Anruf bei bekannten Nummern zur Verifikation

Bei unerwarteten Zahlungsaufforderungen oder Login-Bitten: Rückruf über die bekannte offizielle Nummer, nie über die in der E-Mail genannte.

Praxisbeispiel

Anatomie einer Phishing-E-Mail

Diese realistische Nachbildung zeigt die typischen Warnsignale einer Phishing-E-Mail. Beobachten Sie, wie die 5 häufigsten Red Flags Schritt für Schritt aufgedeckt werden.

Mail

Suchen

AntwortenWeiterleitenLöschen

Dringende Sicherheitswarnung: Ihr Konto wurde eingeschränkt

Deutsche Kredit Bank AG<service@dk-bank-sicherheit.com>

An:Max Mustermann

Di 05.03.2026 09:14Externe Nachricht

Seien Sie vorsichtig mit dieser Nachricht. Sie wurde von einem externen Absender gesendet.

DKB

Deutsche Kredit BankOnline-Banking Sicherheitscenter

Sehr geehrter Kunde,

im Rahmen unserer routinemäßigen Sicherheitsüberprüfung haben wir ungewöhnliche Aktivitäten in Ihrem Online-Banking-Konto festgestellt. Zum Schutz Ihrer Daten haben wir den Zugang zu Ihrem Konto vorübergehend eingeschränkt.

Bitte verifizieren Sie Ihre Identität innerhalb von 24 Stunden, um eine dauerhafte Sperrung Ihres Kontos zu vermeiden.

4Jetzt Identität bestätigen

https://dk-bank-sicherheit.com/verify?id=mx9k2&ref=email

Halten Sie bitte Ihre Zugangsdaten, TAN-Nummer und Kreditkartendaten bereit, um den Verifizierungsprozess abzuschließen.

Mit freundlichen Grüßen
Thomas Weber
Abteilung Kontosicherheit
Deutsche Kredit Bank AG

Diese E-Mail wurde automatisch generiert. Bitte antworten Sie nicht auf diese Nachricht.
Deutsche Kredit Bank AG | Taunusanlage 12 | 60325 Frankfurt am Main

5 Warnsignale erkennen

1Gefälschte Absenderadresse

Der Anzeigename sagt "Deutsche Kredit Bank AG", aber die echte Adresse ist service@dk-bank-sicherheit.com - eine fremde Domain, die nichts mit der Bank zu tun hat.

2Unpersönliche Anrede

Ihre echte Bank kennt Ihren Namen. "Sehr geehrter Kunde" ist ein Zeichen für eine Massen-Phishing-Kampagne an tausende Empfänger.

3Künstlicher Zeitdruck

"Innerhalb von 24 Stunden" und Kontosperrung - klassische Panikmacher-Taktik. Seriöse Unternehmen setzen keine so kurzen Fristen per E-Mail.

4Gefälschter Link

Der Button verspricht die offizielle Seite, aber die echte URL ist dk-bank-sicherheit.com/verify - eine Phishing-Domain. Immer Linkziel prüfen!

5Abfrage sensibler Daten

Kein seriöses Unternehmen fordert per E-Mail zur Eingabe von Passwörtern, TANs oder Kreditkartendaten auf. Niemals über E-Mail-Links einloggen.

Fahren Sie mit der Maus über die nummerierten Bereiche in der E-Mail, um die Warnsignale zu entdecken.

Technologie

Technische Schutzmaßnahmen

Technische Kontrollen reduzieren die Angriffsfläche signifikant. Kein Einzelschutz ist ausreichend - Defence in Depth ist der richtige Ansatz.

Höchste Priorität

DMARC (p=reject)

Domain-based Message Authentication, Reporting & Conformance verhindert, dass Angreifer E-Mails mit Ihrer Domäne als Absender versenden. Zusammen mit SPF und DKIM bildet DMARC den Grundschutz. Ohne DMARC in p=reject können Phisher ungehindert Ihre Marke missbrauchen.

Höchste Priorität

SPF & DKIM

Sender Policy Framework (SPF) definiert, welche Server E-Mails für Ihre Domain versenden dürfen. DomainKeys Identified Mail (DKIM) signiert E-Mails kryptographisch. Beide sind Voraussetzung für funktionierende DMARC-Implementierung.

Hohe Priorität

E-Mail Gateway mit Sandboxing

Advanced E-Mail Security-Lösungen (Microsoft Defender for Office 365, Proofpoint, Mimecast) analysieren Links und Anhänge in isolierten Sandbox-Umgebungen. URL-Rewriting ermöglicht Echtzeit-Überprüfung auch nach Zustellung.

Hohe Priorität

Phishing-resistente MFA (FIDO2)

FIDO2/WebAuthn-basierte Authentifizierung (Hardware Security Keys, Passkeys) ist resistent gegen AiTM-Phishing. Der Authentifikator bindet sich an die Origin der Webseite - auf Phishing-Domains versagt die Authentifizierung automatisch.

Mittlere Priorität

DNS Filtering

DNS-basierte Filterung blockiert den Zugriff auf bekannte Phishing- und Malware-Domains - auch auf mobilen Geräten. Lösungen wie Cisco Umbrella oder Cloudflare Gateway bieten Threat Intelligence-gestützte Kategorisierung.

Mittlere Priorität

Endpoint Detection & Response (EDR)

Falls ein Klick trotz aller Prävention erfolgt: EDR-Lösungen erkennen post-exploitation-Aktivitäten (Credential-Dumping, Lateral Movement) und können Angriffe eindämmen, bevor größerer Schaden entsteht.

Menschlicher Schutzfaktor

Security Awareness als Schlüssel

Technische Maßnahmen allein reichen nicht. Der Mensch bleibt das letzte Sicherheitsnetz - und mit dem richtigen Training auch die stärkste Verteidigungslinie.

Security Awareness-Programme, die auf reinen Frontalunterricht setzen, verpuffen wirkungslos. Nachhaltige Verhaltensänderung entsteht durch wiederholte, realistische Übungen - genau das leistet eine kontinuierliche Phishing-Simulation.

Laut KnowBe4 Phishing Benchmark Report 2024 liegt die durchschnittliche Klickrate in Unternehmen ohne Training bei 34,3%. Nach 12 Monaten konsequenter Simulation und begleitendem Training sinkt sie auf 4,6%.

Security Awareness Leistungen

Wirksamkeit im Vergleich

Ohne Training 34,3%

Nach 90 Tagen Training 14,1%

Nach 12 Monaten Training 4,6%

Quelle: KnowBe4 Phishing by Industry Benchmark Report 2024

Durchschnittliche Klickrate-Reduktion

72% nach 12 Monaten kontinuierlicher Simulation

Unser Service

AWARE7 Phishing-Simulation - Managed Service

Vollautomatisierte, monatliche Phishing-Kampagnen mit realistischen Szenarien, Echtzeit-Dashboard und individuellem Schulungsmodul für jeden Klick.

Monatliche Kampagnen

Wechselnde Phishing-Szenarien - E-Mail, SMS, QR-Code, Teams - vollautomatisiert ausgerollt.

Echtzeit-Dashboard

Klickraten, Melderaten und Abteilungsauswertungen live einsehbar - für Sicherheitsverantwortliche und Management.

Sofort-Schulung

Wer klickt, sieht sofort eine lehrreiche Erklärung - kein Bloßstellen, sondern gezieltes Micro-Learning.

Rechtssicheres Setup

Beratung zur Betriebsratsvereinbarung, DSGVO-konforme Auswertung, anonymisierte Berichte auf Wunsch.

So funktioniert der Onboarding-Prozess

1 Kickoff-Gespräch: Ziele definieren, technisches Setup, Betriebsrat-Briefing
2 Template-Auswahl: Szenarien aus über 800 vorbereiteten Vorlagen oder individuelle Erstellung
3 Erste Kampagne: Baseline-Messung zur Ermittlung des aktuellen Sicherheitsniveaus
4 Monatliche Kampagnen: automatisiert, mit wechselnden Szenarien und Schwierigkeitsgraden
5 Quartals-Review: Auswertungsgespräch mit Trendanalyse und Handlungsempfehlungen

Phishing-Simulation für welche Unternehmen?

KMU ab 25 Mitarbeitenden
Kosteneffiziente Managed-Service-Option ohne eigene Plattform-Lizenz.
Unternehmen unter NIS2-Anforderungen
Phishing-Simulation als Nachweis für Sicherheitsschulungen nach NIS2 Art. 21.
Finanz- und Gesundheitssektor
Branchenspezifische Szenarien (SWIFT-Mails, Patientendaten, Bankingportale).
Unternehmen nach Sicherheitsvorfall
Gezielte Re-Schulung betroffener Abteilungen nach einem Phishing-Vorfall.

Managed Phishing-Simulation

Häufige Fragen

FAQ: Phishing & Phishing-Simulation

Was ist der Unterschied zwischen Phishing und Spear Phishing?

Standard-Phishing ist ein Massenangriff: Millionen identischer E-Mails werden versandt, in der Hoffnung, dass ein kleiner Prozentsatz darauf hereinfällt. Spear Phishing ist gezielt: Der Angreifer recherchiert das Ziel vorab (OSINT), personalisiert die Nachricht mit echten Namen, Titeln oder aktuellen Projekten und erzielt dadurch deutlich höhere Erfolgsraten. Für Unternehmen ist Spear Phishing weitaus gefährlicher - gerade für Führungskräfte und IT-Administratoren.

Schützt Zwei-Faktor-Authentifizierung (2FA/MFA) vor Phishing?

Klassische MFA (TOTP, SMS-Code) schützt bei einfachen Phishing-Angriffen, da Angreifer nur Passwort, aber keinen zweiten Faktor haben. Gegen moderne Adversary-in-the-Middle (AiTM)-Angriffe schützt sie jedoch nicht: Phishing-Frameworks proxieren die echte Login-Seite in Echtzeit und stehlen Session-Cookies noch während der Authentifizierung. Phishing-resistente MFA (FIDO2/Passkeys) ist der einzige verlässliche Schutz gegen AiTM.

Was kostet ein Phishing-Angriff ein Unternehmen durchschnittlich?

Laut IBM Cost of a Data Breach Report 2024 kostet ein phishing-initiiertes Datenleck durchschnittlich 4,88 Mio. USD weltweit. Für DACH-Unternehmen liegen die Werte laut Bitkom-Studie 2024 bei rund 148 Mrd. EUR Gesamtschaden durch Cyberangriffe jährlich - der größte Anteil entfällt auf social-engineering-basierte Angriffe wie Phishing. Hinzu kommen Reputationsschäden, Bußgelder nach DSGVO und Betriebsunterbrechungskosten.

Was ist eine Phishing-Simulation und wie funktioniert sie?

Eine Phishing-Simulation ist ein kontrollierter, autorisierter Angriff: Das Unternehmen beauftragt einen Sicherheitsdienstleister, realistische Phishing-E-Mails an die eigenen Mitarbeitenden zu versenden. Wer auf den Link klickt oder Daten eingibt, landet auf einer Schulungsseite statt bei echten Angreifern. Die Ergebnisse (Klickrate, Melderate, Abteilungsauswertung) zeigen konkret, wo Schulungsbedarf besteht. AWARE7 betreibt diesen Service als Managed Service - monatliche Kampagnen mit Echtzeit-Dashboard.

Wie oft sollten Phishing-Simulationen durchgeführt werden?

Einmalige Simulationen liefern einen Momentaufnahme-Wert, aber nachhaltigen Effekt erzielt man nur durch regelmäßige Wiederholung. Best Practice: monatliche Kampagnen mit wechselnden Szenarien (E-Mail, SMS, QR-Code, Teams). Studien zeigen, dass nach 12 Monaten konsequenter Simulation die durchschnittliche Klickrate um 60-72% sinkt (KnowBe4 Phishing by Industry Benchmark Report 2024). AWARE7 bietet hierfür einen vollautomatisierten Managed Service an.

Welche technischen Maßnahmen schützen am effektivsten vor Phishing?

Die wichtigsten technischen Schutzmechanismen in absteigender Priorität: (1) DMARC in p=reject-Policy mit korrekt konfiguriertem SPF und DKIM verhindert E-Mail-Spoofing der eigenen Domain. (2) Advanced E-Mail Gateway mit URL-Rewriting und Sandbox-Analyse. (3) Phishing-resistente MFA (FIDO2/Passkeys) gegen AiTM-Angriffe. (4) DNS-Filtering blockiert bekannte Phishing-Domains. (5) Endpoint Detection and Response (EDR) für post-click-Erkennung.

Was muss ich tun, wenn ich auf eine Phishing-E-Mail hereingefallen bin?

Sofortmaßnahmen: (1) Gerät vom Netzwerk trennen, wenn auf einen Anhang geklickt wurde. (2) Passwort des betroffenen Kontos sofort ändern - auf einem anderen, sicheren Gerät. (3) IT-Sicherheitsbeauftragten oder IT-Abteilung sofort informieren. (4) Betroffene externe Dienste (Bank, Dienstleister) benachrichtigen. (5) Vorfall dokumentieren - bei Datenpanne Meldepflicht nach DSGVO (Art. 33) innerhalb von 72 Stunden an die zuständige Datenschutzbehörde prüfen.

Dürfen Unternehmen Phishing-Simulationen ohne Zustimmung der Mitarbeitenden durchführen?

In Deutschland ist die Beteiligung des Betriebsrats (§87 Abs. 1 Nr. 6 BetrVG) bei Maßnahmen zur Verhaltens- und Leistungskontrolle erforderlich, wenn ein Betriebsrat vorhanden ist. Eine Betriebsvereinbarung zu Phishing-Simulationen ist gute Praxis. In der Regel sind anonymisierte Auswertungen ohne Einzelpersonenzuordnung unproblematisch. AWARE7 berät Kunden bei der rechtssicheren Gestaltung von Simulationsprogrammen.

Aus dem Blog

Alle Artikel

Security Awareness

Phishing-Simulation starten

Erfahren Sie, wie gut Ihr Team gegen Phishing gewappnet ist - mit einer realistischen, anonymisierten Baseline-Kampagne. Kein Bloßstellen, nur echtes Lernen.

Jetzt Phishing-Simulation anfragen

Kostenlos · 30 Minuten · Unverbindlich

91% aller Angriffe startenmit einer E-Mail.