Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Phishing und Social Engineering: Angriffsmethoden, Psychologie und Schutzmaßnahmen

Vollständiger Guide zu Phishing und Social Engineering: Phishing-Taxonomie (Mass Phishing, Spear Phishing, Whaling, BEC, Smishing, Vishing, QR-Code-Phishing, AiTM), technische Angriffstechniken (Domain-Spoofing, Phishing-Kits), psychologische Manipulationsprinzipien (Cialdini), Pretexting, technische Schutzmaßnahmen (DMARC, phishing-resistente MFA, E-Mail-Gateway), Phishing-Simulationen, Schulungsinhalte und Incident Response. Mit aktuellen KI-Phishing-Trends 2024.

Inhaltsverzeichnis (12 Abschnitte)

Phishing bleibt der effektivste Einstiegsvektor für Cyberangriffe: 3,4 Milliarden Phishing-E-Mails werden täglich versendet (APWG), 91% von Ransomware-Angriffen starten mit einer Phishing-Mail (BSI), und der durchschnittliche Schaden durch Business Email Compromise liegt bei 125.000 € pro Vorfall. Kein technischer Schutz ersetzt ein trainiertes Team - aber beides zusammen reduziert das Risiko erheblich.

Was ist Phishing?

Phishing ist der Versuch, durch gefälschte Kommunikation (E-Mail, SMS, Anruf, Webseite) Empfänger zur Preisgabe von Zugangsdaten, zur Installation von Schadsoftware oder zu finanziellen Transaktionen zu verleiten. Der Begriff leitet sich von “fishing” (Angeln) ab - Angreifer werfen aus und warten, wer anbeißt.

Aktuelle Zahlen (2024):

  • 3,4 Milliarden Phishing-E-Mails werden täglich versendet (APWG)
  • 36% aller Datenverletzungen beginnen mit Phishing (Verizon DBIR)
  • 91% von Ransomware-Angriffen starten mit einer Phishing-Mail (BSI)
  • Durchschnittlicher Schaden durch BEC: 125.000 € pro Vorfall

Die Phishing-Taxonomie

Mass Phishing (Spray and Pray)

Ungezielter Massenangriff auf Millionen Empfänger. Erkennungsmerkmale:

  • Generische Anrede (“Sehr geehrter Kunde”)
  • Grammatik- und Rechtschreibfehler
  • Übertriebene Dringlichkeit (“Ihr Konto wird gesperrt!”)
  • Verdächtige Absenderadressen
  • Generische Fake-Domains (paypa1.com, amazon-service.de)

Wirksamkeit: Erkennungsrate durch Spam-Filter hoch (99%+). Trotzdem gefährlich: 1% von 1.000.000 = 10.000 Opfer.

Spear Phishing

Gezielter, personalisierter Angriff auf eine spezifische Person oder Abteilung. Angreifer recherchieren vorher: LinkedIn-Profile, Unternehmens-Website, Social Media, OSINT-Quellen (Pressemitteilungen, Stellenanzeigen).

Die resultierende E-Mail enthält:

  • Korrekte Anrede mit Name und Jobtitel
  • Referenz auf tatsächliche Projekte oder Kollegen
  • Kontext aus dem Arbeitsalltag (“bezüglich Ihres Angebots vom…”)
  • Professionelle Aufmachung
Beispiel:
  "Liebe Frau Müller,
   wie in unserem Meeting am Dienstag besprochen,
   finden Sie anbei die überarbeiteten Vertragsunterlagen
   für das Projekt Nord-West.
   Mit freundlichen Grüßen, Thomas Berger, Projektleitung"
   [Anhang: Vertrag_NordWest_v3.docx]

Erkennungsquote durch Mitarbeitende: unter 5% (laut Studien zu Awareness-Trainings).

Whaling (CEO/CFO Fraud)

Spear-Phishing gegen Top-Management:

Typische Szenarien:
  → Fake-CEO-Mail an Buchhaltung: "Sofortige vertrauliche Zahlung"
  → Fake-Anwalt an CFO: "M&A-NDA erfordert Vorab-Zahlung"
  → Fake-Aufsichtsrat: "Geheimes Akquisitionsprojekt"

Schutz: 4-Augen-Prinzip bei Überweisungen, Callback-Verfahren

Business Email Compromise (BEC)

BEC ist das teuerste Phishing-Szenario. Account wirklich übernommen oder täuschend echt imitiert:

Variante 1: Account-Übernahme
  Angreifer übernimmt echten CEO-Account
  → E-Mails kommen von echter Adresse
  → DMARC-Check: PASS (echter Account!)
  → Nur durch Verhaltensanomalien erkennbar (UEBA)

Variante 2: Lookalike-Domain
  ceo@firma-ag.de → ceo@firmaag.de (Bindestrich fehlt)
  → Visuell identisch bei flüchtigem Lesen

CEO Fraud: CFO erhält E-Mail scheinbar vom CEO - “Dringende Überweisung für vertrauliche Transaktion. Bitte heute noch ausführen.”

Schadenspotenzial: Das FBI IC3 meldet jährlich über 2,7 Milliarden USD Verluste allein in den USA.

Smishing (SMS Phishing)

Phishing per SMS:

  • “Ihr Paket kann nicht zugestellt werden - bitte hier aktualisieren: [Link]”
  • “Ihre Sparkasse-ID ist abgelaufen - jetzt reaktivieren: [Link]”
  • Gefälschte Zwei-Faktor-Codes
Gefährlicher als E-Mail-Phishing weil:
  → Keine Browser-Warnungen auf Mobile
  → URL wird verkürzt angezeigt
  → Nutzer ist auf kleinem Bildschirm abgelenkt
  → HTTPS-Padlock-Täuschung (Phishing-Sites auch mit TLS)

Vishing (Voice Phishing)

Telefonbetrug durch Vortäuschung falscher Identitäten:

  • “Hier ist der IT-Support - wir haben einen Virus auf Ihrem Rechner entdeckt…”
  • “Bank-Security-Team: Wir haben verdächtige Abbuchungen - können Sie kurz Ihre PIN bestätigen?”
  • Deepfake-Voice: KI-generierte Stimme eines bekannten Vorgesetzten
Schutz:
  → Niemals Passwörter am Telefon nennen
  → Bei Anruf von "Bank/IT": auflegen, offizielle Nummer selbst wählen
  → Rückruf über offizielle Nummer des angeblichen Anrufers

Zunahme 2024: KI-Tools für Voice-Cloning kosten weniger als 10 €/Monat. Deepfake-Vishing-Angriffe nehmen massiv zu.

QR-Code-Phishing (Quishing)

Relativ neu, aber stark wachsend: QR-Codes in E-Mails oder physisch angebracht leiten auf Phishing-Seiten weiter.

Warum QR-Codes? Sie umgehen E-Mail-Security-Gateways, die nur Links in E-Mail-Text scannen. Der QR-Code selbst ist ein Bild - nicht als bösartiger Link erkennbar.

Adversary-in-the-Middle (AiTM) Phishing

Moderne Phishing-Kits (Evilginx2, Modlishka) agieren als Reverse Proxy zwischen Opfer und legitimer Website:

  1. Opfer gibt Credentials auf Fake-Login-Seite ein
  2. Tool leitet Credentials in Echtzeit an echte Website weiter
  3. Echte Website sendet MFA-Code an Opfer
  4. Opfer gibt MFA-Code ein - Tool fängt ihn ab
  5. Angreifer übernimmt Session mit gültigem Session-Cookie

Konsequenz: Standard-MFA (TOTP, SMS-TAN) schützt nicht gegen AiTM-Phishing. Nur phishing-resistente MFA (FIDO2/Passkeys) ist wirksam.

Social Engineering Psychologie

Phishing nutzt bekannte psychologische Trigger. Die 6 Prinzipien der Beeinflussung nach Cialdini:

1. AUTORITÄT:
   "Dies ist eine offizielle Mitteilung der Finanzbehörde"
   "Ihr IT-Sicherheitsteam informiert Sie..."
   → Befehle von Autoritäten werden selten hinterfragt

2. DRINGLICHKEIT:
   "Letzte Warnung - Ihr Account wird in 2 Stunden gesperrt!"
   "Nur bis heute 15:00 Uhr handeln!"
   → Zeitdruck verhindert ruhiges Nachdenken

3. ANGST:
   "Unbefugter Zugriff auf Ihren Account erkannt"
   "Ihre Bank-Transaktion wurde abgelehnt - Daten bestätigen"
   → Angst führt zu impulsivem Handeln

4. REZIPROZITÄT:
   "Wir schenken Ihnen 50€ als treuer Kunde"
   → Menschen wollen etwas zurückgeben

5. SOZIALE BEWÄHRTHEIT:
   "1.234 Nutzer haben bereits geklickt"
   → Menschen folgen dem Verhalten anderer

6. KNAPPHEIT:
   "Nur noch 3 Plätze verfügbar"
   → Knappes ist wertvoller

Weitere Social-Engineering-Vektoren

Pretexting

Angreifer erschafft eine fiktive Situation die Opfer zur Herausgabe von Informationen bewegt:

Beispiel: Angreifer ruft Rezeption an
  "Guten Tag, ich bin Florian Koch, IT-Sicherheitsprüfer von BSI.
   Wir führen heute unangekündigte Sicherheitsprüfungen durch.
   Könnten Sie mir den Namen und die Durchwahl des IT-Leiters nennen?
   Und wo befindet sich Ihr Serverraum?"

Schutz:
  → Identität nie über eingehende Anrufe bestätigen
  → Externe Anfragen: immer offiziellen Kanal prüfen
  → "Ich prüfe das und rufe zurück" ist immer korrekt

Technische Angriffstechniken

Domain-Spoofing-Methoden

Typosquatting:     amazzon.com, microsofft.com
Homograph:         аmazon.com (kyrillisches 'a' statt lateinisch 'a')
Subdomain:         microsoft.com.attackersite.de
TLD-Variante:      amazon.shop, microsoft.net
Look-alike:        rn statt m (rnicrosoft.com)
Kombination:       secure-amazon-account-verify.com

E-Mail-Header-Manipulation

Angreifer nutzen mehrere Techniken, um den Absender zu fälschen:

  • Display Name Spoofing: “Microsoft noreply@sketchy-domain.com
  • From/Reply-To-Trennung: Anzeige “CEO Max Müller” - Antwort geht an Angreifer
  • Fehlende DMARC-Enforcement: Ohne DMARC-Policy p=reject ist Domain-Spoofing trivial möglich

Genau deshalb sind DMARC, SPF und DKIM so kritisch.

Phishing-Kits und Phishing-as-a-Service

Im Darknet gibt es professionelle Phishing-Kits für wenige hundert Euro:

  • Fertige Kopien von Bank-, PayPal-, Microsoft-365-Login-Seiten
  • Automatisches Credential-Logging per Telegram-Bot
  • AiTM-Frameworks mit Dashboard
  • “Bulletproof” Hosting in Ländern ohne Strafverfolgung

Technische Schutzmaßnahmen

E-Mail-Sicherheit:
  Must-Have:
  ✓ DMARC p=reject - verhindert Domain-Spoofing
  ✓ SPF -all - nur autorisierte Server dürfen senden
  ✓ DKIM - Signatur-Validierung ausgehender E-Mails

  Empfohlen:
  ✓ E-Mail-Gateway mit URL-Rewriting (URLs werden zur Prüfzeit gecheckt)
  ✓ Sandbox für Anhänge (bevor Nutzer öffnet)
  ✓ External-Tag: [EXTERN] im Betreff für externe Mails
  ✓ Lookalike-Domain-Monitoring
  ✓ E-Mail Security Gateway (Proofpoint, Mimecast, Microsoft Defender for Office 365)
  ✓ Anti-Phishing-Filter mit URL-Reputation-Checks

DNS-basierte Schutzmaßnahmen:
  → Aufruf bekannter Phishing-Domains → blockiert
  → Cloudflare Gateway (kostenlos bis 50 User), Cisco Umbrella
  → DMARC-Aggregate-Reports auswerten: Wer versucht E-Mails in Ihrem Namen zu senden?

Browser-Schutz:
  Google Safe Browsing / Microsoft SmartScreen:
  → Aktiviert in Chrome, Edge, Firefox
  → Warnt bei bekannten Phishing-URLs

FIDO2/Passkeys:
  → Verhindert Phishing per Design:
  → Passkey ist domain-gebunden - funktioniert nicht auf Phishing-Domain
  → Auch wenn Nutzer klickt: Passkey verifiziert falsche Domain → kein Login

Authentifizierung:

  • Phishing-resistente MFA: FIDO2 Security Keys (YubiKey), Passkeys
  • Conditional Access Policies (nur von verwalteten Geräten)
  • Privileged Account Protection: Admin-Konten mit höchster MFA-Sicherheitsstufe

Organisatorische Maßnahmen

Prozesse für Geldtransfers und Stammdatenänderungen:

  • Rückruf-Pflicht bei Änderungen von Bankverbindungen über verifizierte Telefonnummern
  • Vier-Augen-Prinzip bei Überweisungen über bestimmten Betrag
  • “CEO-Fraud-Klausel”: E-Mail allein ist keine ausreichende Autorisierung für Zahlungen

Incident Response für Phishing:

  • Meldekanal für verdächtige E-Mails (Button in Outlook, dedizierte E-Mail-Adresse)
  • SLA für Bearbeitung gemeldeter Verdachtsfälle (< 4 Stunden)
  • Klare Eskalation: Wer wird bei erfolgreichem Klick informiert?

Phishing-Erkennung für Mitarbeitende

Warnsignale in E-Mails:
✗ Unerwartete Dringlichkeit ("SOFORT handeln!")
✗ Unbekannter Absender mit vertrautem Display-Name
✗ Generische oder fehlerhafte Anrede
✗ Verdächtige Domain im Absender oder Link (Hover-Check!)
✗ Anhänge von unbekannten Absendern
✗ Anfragen nach Credentials oder Überweisungen per E-Mail
✗ "Verifizieren Sie Ihr Konto" oder "Aktualisieren Sie Ihre Daten"
✗ Angebote, die zu gut sind um wahr zu sein

Der wichtigste Grundsatz:

“Wenn Sie unsicher sind - klicken Sie nicht, öffnen Sie keinen Anhang, geben Sie keine Daten ein. Rufen Sie den Absender über eine bekannte Nummer zurück.”

Phishing-Simulation und Awareness-Training

Was gute Simulationen messen

Metriken:
  Click Rate:         % der Mitarbeitenden, die auf den Link klicken
  Submit Rate:        % die Credentials eingeben
  Reporting Rate:     % die den Angriff melden
  Time to Report:     Wie schnell wird gemeldet

Ziele nach 12 Monaten Training:
  Click Rate:   < 5% (Ausgangslage oft 25-40%)
  Submit Rate:  < 2%
  Report Rate:  > 30% (ohne Training: < 5%)

Wichtig: Simulationen sind Lernwerkzeuge, keine Bestrafung!
  → Wer klickt: sofortiges Training, kein Tadel
  → Ergebnisse: aggregiert kommunizieren, keine Mitarbeiter-Blame-Culture

Industrie-Benchmarks (GoPhish / KnowBe4 Daten):

Ohne Training:     Click Rate ~30%, Credential Submission ~15%
Nach 12 Monaten:   Click Rate ~5%, Reporting Rate >70%

Schulungsinhalt (4 Module)

Modul 1: Phishing erkennen
  → Absender-Adresse genau prüfen (nicht Anzeigename!)
  → URL vor dem Klick prüfen (Hover-to-See)
  → Sprachliche Indikatoren
  → Dringlichkeit als Red Flag

Modul 2: Was tun wenn verdächtig?
  → NICHT klicken, NICHT öffnen
  → Mail als Phishing melden (Schaltfläche im Mail-Client)
  → IT-Security informieren
  → Im Zweifel: direkten Kontakt aufnehmen (Telefon, persönlich)

Modul 3: Passwörter und Credentials
  → Passwörter werden NIE am Telefon oder per E-Mail abgefragt
  → Passwort-Manager für alle Accounts
  → MFA als Backup wenn Passwort doch gephisht wird

Modul 4: Wenn es passiert ist
  → Sofort IT informieren (kein Schämen!)
  → Kein Versuch selbst zu "lösen"
  → Je früher gemeldet desto kleiner der Schaden

Simulationen sollten realistisch, aber ethisch sein: keine Ausnutzung persönlicher Krisen, klare interne Kommunikation über das Programm.

AWARE7 Phishing-Simulation: Branchenspezifische Szenarien, sofortiges Lernmodul nach Klick, Quartalsberichte für Management.

KI und Phishing: Die nächste Generation

Generative KI verändert Phishing grundlegend:

  • Keine Sprachfehler mehr: ChatGPT schreibt fehlerfreies Deutsch - der klassische Erkennungstipp “schlechtes Deutsch” gilt kaum noch
  • Personalisierung in Echtzeit: KI kann aus öffentlichen Daten automatisch maßgeschneiderte Spear-Phishing-Mails generieren
  • Voice Cloning: Deepfake-Stimmen für Vishing-Angriffe
  • Video Deepfakes: Gefälschte Video-Calls - erst 2024 erste große Vorfälle bekannt

Konsequenz: Security Awareness muss über “schau auf die Sprachqualität” hinausgehen. Prozesse und technische Kontrollen gewinnen an Bedeutung.

Incident-Response: Phishing-Mail geöffnet

Mitarbeiter hat auf Link geklickt und Credentials eingegeben:

Sofortmaßnahmen:

  1. IT-Security informieren (gilt auch um 2 Uhr nachts!)
  2. Passwort des betroffenen Accounts SOFORT ändern
  3. Alle aktiven Sessions des Accounts beenden
  4. MFA-Codes für den Account zurücksetzen
  5. Andere Accounts mit gleichem Passwort prüfen und ändern

IT-Maßnahmen:

  1. Login-History des Accounts prüfen (anomale Logins?)
  2. Welche Daten hatte Account Zugang? (Scope einschätzen)
  3. SIEM-Alert für Account-Aktivitäten der letzten 24h
  4. Kontext prüfen: Anhang geöffnet? Malware-Scan!
  5. Dokumentieren für Post-Incident-Review

Fazit

Phishing bleibt der effektivste Angriffsvektor, weil er den Menschen ins Zentrum stellt - und Menschen irren. Eine wirksame Anti-Phishing-Strategie kombiniert technische Härtung (DMARC, phishing-resistente MFA, E-Mail-Gateway) mit einem kontinuierlichen Security-Awareness-Programm. Beides allein ist unzureichend - zusammen reduzieren sie das Risiko erheblich.

Quellen & Referenzen

  1. [1] APWG Phishing Activity Trends Report 2024 - APWG
  2. [2] BSI Lagebericht zur IT-Sicherheit 2024 - BSI
  3. [3] Verizon Data Breach Investigations Report 2024 - Verizon
  4. [4] Anti-Phishing Working Group (APWG) Trends Report - APWG

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Vincent Heinen
Vincent Heinen

Abteilungsleiter Offensive Services

PGP 1DDAA57F2B972787

M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.

Responsible Disclosures: CVE-2023-0865 CVE-2025-43579 CVE-2025-53533
OSCP+ OSCP OSWP OSWA
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 08.03.2026 bearbeitet. Verantwortlich: Vincent Heinen, Abteilungsleiter Offensive Services bei AWARE7 GmbH. Lizenz: CC BY 4.0 — freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung