Zum Inhalt springen
Haufe Akademie

Phishing einfach erklärt: erkennen, reagieren, verhindern

0
Recht und Datenschutz Aktualisiert am von Online-Redaktion 6 Minuten

„Dein Konto wurde gesperrt – Jetzt Passwort ändern!!“ oder „Du hast gewonnen – Klicke hier für dein Geld!“ Eine E-Mail, eine vermeintliche Paketbenachrichtigung auf dem Smartphone, ein kurzer Anruf mit einer dringenden Bitte. Oft reicht ein unachtsamer Moment, um ungewollt zum Opfer einer Phishing-Attacke zu werden.

Phishing ist eine Form der Cyberkriminalität, bei der Angreifende betrügerische Nachrichten, Anrufe oder Webseiten einsetzen, um sensible Daten abzugreifen oder Schadsoftware zu verbreiten. Wie diese Angriffe funktionieren, welche Formen es gibt, woran man Phishing erkennt und was man dagegen tun kann, zeigt der folgende Artikel.

Was ist Phishing?

Phishing ist eine Form der Cyberkriminalität und des Social Engineerings. Angreifende nutzen dabei täuschend echte E-Mails, Telefonanrufe oder Websites, um Menschen zur Herausgabe sensibler Daten zu manipulieren oder Geräte mit Malware zu infizieren.

Zu diesem Zweck geben sie sich als vertrauenswürdige Personen oder bekannte Organisationen aus. Oft nutzen sie dann (emotionalen) Druck oder eine scheinbare Dringlichkeit und bringen ihre Opfer dazu, auf trügerische Links zu klicken, schädliche Anhänge zu öffnen oder sensible Daten weiterzugeben.

Wie funktioniert Phishing?

Am Anfang eines Phishing-Angriffs steht meist eine Nachricht, die möglichst echt wirken soll. Sie imitiert bekannte Unternehmen, Behörden, Kolleg:innen oder sogar Personen aus dem Kreis der Familie. Diese Nachricht kann per Mail, SMS oder auch als Telefonanruf übermittelt werden. Im nächsten Schritt nutzen die Angreifenden psychologische Trigger (z. B. Druck oder Dringlichkeit). Der Angerufene soll am besten sofort reagieren, reflexartig und ohne zu hinterfragen.

Häufig führt der Weg dann über manipulierte Links auf gefälschte Websites, die wie echte Login-Seiten aussehen sollen. Werden sensible Daten eingegeben, landen diese bei den Angreifenden. Auch präparierte Anhänge können Teil der Strategie sein. Mit einem Klick können diese dann ausgeführt und ganze Systeme kompromittiert werden.

Unsere Empfehlung

Cybersecurity für Unternehmen

Cybercrime & Phishing sind reale Risiken für Unternehmen. In diesem Webinar erfährst du, wie Cyber-Attacken ablaufen, wie du sie frühzeitig erkennst und mit Datenschutz, Cyber-Resilienz und praxisnahen Schutzmaßnahmen wirksam vorbeugst. Kompakt, aktuell und praxisnah.


Webinar: Cybersecurity für Unternehmen

Warum ist Phishing so erfolgreich?

Erfolgreich ist Phishing vor allem deshalb, weil Angreifende nicht die Technik, sondern den Menschen angreifen. Das ist das Grundprinzip von Social Engineering. So umgehen sie Firewalls und Sicherheitsmechanismen und nutzen die „Schwachstelle Mensch“, häufig an psychologisch vulnerabler Stelle. Natürlich gelingen diese Angriffe häufig nicht. Dies wird jedoch durch die schiere Menge der Angriffe kompensiert. Denn schon ein einziger erfolgreicher Phishing-Versuch kann sich für die Angreifenden enorm lohnen und weitreichende Folgen für Unternehmen oder auch Privatpersonen haben – von Identitätsdiebstahl bis hin zu schweren Datenverletzungen.

Die häufigsten Arten von Phishing

E-Mail-Phishing

E-Mail-Phishing ist die älteste und – wenn man so will klassische – Variante des Phishings. Dabei verschicken Angreifende meist Massen-E-Mails, scheinbar von Banken, Paketzustelldiensten, Online-Shops oder Behörden, mit trügerischen Links oder schädlichen Anhängen. Das Versenden ist häufig wahllos. Die schiere Menge macht den Unterschied. Der Hintergedanke: „Irgendjemand wird schon auf den Link klicken oder den Anhang herunterladen“.

Spear Phishing

Beim Spear Phishing handelt es sich um eine zielgenaue Version des breit angelegten Phishings über Massen-E-Mails oder Anrufe. Hierbei richten sich die Angreifenden direkt auf eine bestimmte Person aus, recherchieren diese und passen ihren Ansatz individuell an sie an. Das Ziel bleibt: sensible Daten erhalten, Malware einschleusen. Im Unternehmenskontext werden häufig Personen für das Spear Phishing ausgewählt, die weitreichende Befugnisse und Zugriffsrechte besitzen. Dies multipliziert den Schaden bei einer erfolgreichen Attacke. Angriffe dieser Art sind zwar seltener, aber auch erfolgreicher als die üblichen.

Smishing & Vishing

Smishing und Vishing sind Unterarten des Phishings, welche sich durch das eingesetzte Medium unterscheiden. Beide setzen sehr stark auf Social Engineering und versuchen klassische Schutzmechanismen über die „Schwachstelle Mensch“ zu umgehen.

  • Smishing (SMS-Phishing): Beim Smishing ist der Kanal die SMS oder die Nachricht über andere Messenger-Dienste (WhatsApp, Telegram). Die potenziellen Opfer erhalten eine scheinbar harmlose Nachricht, vielleicht eine Paketbenachrichtigung oder eine „dringende“ Information ihrer Bank. In der Nachricht verbergen sich die altbekannten Betrugs-Links.
  • Vishing (Voice Phishing): Das Vishing wiederum funktioniert über Sprachanrufe bzw. Sprachnachrichten. Eine Stimme am anderen Ende der Leitung gibt sich für eine Autoritätsperson aus, z. B. einen Polizisten oder das Finanzamt und erzeugt gezielt Druck (z. B. mit drohenden rechtlichen Konsequenzen). Das Ziel sind wieder sensible Daten oder auch Passwörter und das Auslösen von Überweisungen.

Clone Phishing

Das Ziel des Clone Phishings ist, das E-Mail-Design und die Struktur bekannter und vertrauenswürdiger Seiten nachzuahmen, um die betrügerischen Elemente in der Vertrautheit häufig erhaltener Nachrichten zu verbergen.

Business Email Compromise (BEC)/CEO Fraud

Business Email Compromise (BEC) bezeichnet gezielte Angriffe auf geschäftliche E-Mail-Kommunikation. Das Ziel ist, sich als Autoritätsperson eines Unternehmens auszugeben (etwa durch Täuschung oder gar tatsächlichen Zugang auf E-Mail-Konten), um andere Mitarbeitende zu manipulieren. CEO-Fraud ist eine spezielle Ausprägung des BEC, der sich auf die Nachahmung von Führungskräften konzentriert.

Art Erklärung Beispiel
E-Mail-Phishing Massenhaft versendete E-Mails, die scheinbar von Banken, Shops oder Behörden stammen und zum
Klicken auf schädliche Links oder Öffnen von Anhängen verleiten.		 Betreff: „Ihr Konto wurde gesperrt – jetzt handeln!“
Spear Phishing Gezielter Phishing-Angriff auf eine bestimmte Person nach vorheriger Recherche. Persönliche Mail an einen IT-Admin mit angeblicher Passwort-Anfrage.
Smishing (SMS-Phishing) Phishing über SMS oder Messenger-Dienste mit betrügerischen Links. SMS-Nachricht: „Ihr Paket konnte nicht zugestellt werden – hier Zustellung beauftragen!“
Vishing (Voice Phishing) Phishing über Telefonanrufe oder Sprachnachrichten unter Ausnutzung von Autorität und Druck. Anruf angeblich vom Finanzamt mit Zahlungsforderung.
Clone Phishing Nachahmung bekannter E-Mails, bei denen Links oder Anhänge manipuliert wurden. Kopie einer echten Rechnung mit ausgetauschtem Anhang.
Business Email Compromise (BEC) / CEO Fraud Gezielte Angriffe auf geschäftliche E-Mails, bei denen sich Täter als Autoritätspersonen ausgeben. E-Mail „vom CEO“ mit Aufforderung zu einer Sofortüberweisung.

 

Phishing erkennen: die 10 wichtigsten Warnsignale

Die folgende Checkliste der zehn wichtigsten Warnsignale unterstützt dich bei der Identifikation von möglichen Phishing-Angriffen. Selten ist eines der Merkmale bereits ausreichend, aber mit jedem zusätzlichen Merkmal wird Phishing wahrscheinlicher:

  1. Verdächtige Links: Enthält die Nachricht Links, auf die unbedingt geklickt werden soll?
  2. Unerwartete Anhänge: Enthält die Nachricht einen Anhang, den du nicht angefordert hast, oder der keinen Sinn ergibt?
  3. Aufforderung zur Preisgabe sensibler Daten: Wirst du gebeten Passwörter, persönliche Daten oder Bankdaten mitzuteilen oder einzugeben?
  4. Dringlichkeit: Wirst du in der Nachricht zu sofortigem Handeln aufgefordert, um schwere negative Konsequenzen zu vermeiden oder einen besonderen Vorteil zu erhalten?
  5. Unstimmige Absenderdomains oder URLs: Passt die Absenderadresse oder Domain nicht zum Unternehmen oder Person, die scheinbar der Absender ist?
  6. Unpersönliche Ansprache, emotionaler Appell: Startet die Nachricht mit „Sehr geehrte Damen und Herren“, oder einer ähnlich unpersönlichen Ansprache? Spielt sie zudem gezielt mit starken Emotionen – z. B. Angst, Schuld, Stress, Neugier?
  7. Ungewohnter Absender: Stammt die Nachricht von einem dir unbekannten oder im E-Mail-Programm als „extern“ gekennzeichneten Absender?
  8. Zahlungsaufforderung oder Aussicht auf Geld: Sollst du unerwartet Geld überweisen oder eine unbekannte Rechnung begleichen bzw. wird dir ein unerklärlicher Geldsegen versprochen?
  9. Rechtschreib- und Grammatikfehler: Enthält die Nachricht auffällige Fehler oder einen ungewöhnlichen Schreibstil.
    Technische Warnhinweise: Zeigt das E-Mail- oder Messaging-System einen Hinweis wie „Absender nicht verifiziert“ oder eine ähnliche Sicherheitswarnung an?

Aktuelle Phishing-Trends

KI-generierte Phishing-Mails

KI hat nicht nur weitreichend Einzug ins geschäftliche und private Umfeld gehalten, auch Phishing wird zunehmend von KI-Tools unterstützt. So kann generative KI beispielsweise passendere E-Mail-Nachrichten generieren ohne Rechtschreib- und Grammatikfehler – und das in Masse. Das hilft den Angreifern beim Skalieren ihrer Betrugsmaschen.

Deepfake-Anrufe

Eine besonders perfide Art des Phishings wird durch den Einsatz von Sprach-KI-Modellen möglich. Aus Stimmenschnipseln realer Personen kann die KI eine digitale Stimmkopie erzeugen, die anschließend für einen Anruf genutzt wird.  Meistens wird dabei eine Stimme gewählt, die dem potenziellen Opfer bekannt ist. Dann folgen die klassischen Elemente: Druck, Emotion, Dringlichkeit – nur von einer bekannten Stimme vorgetragen.

Phishing über Social Media

Häufig werden auch Social-Media-Plattformen für Phishingangriffe verwendet. Dafür verwenden die Angreifenden die integrierten Messaging-Funktionen der Plattformen. Über diese werden dann die bekannten Nachrichten versendet. Die Angreifenden geben sich als Nutzer aus, die Hilfe benötigen oder stellen einen Gewinn in Aussicht.

Was tun im Ernstfall? Schritt-für-Schritt-Anleitung

Hast du den Verdacht, bereits auf einen Phishing-Link geklickt, einen betrügerischen Anhang  geöffnet oder sensible Daten preisgegeben zu haben? Die folgenden Schritte helfen dir dabei, den Schaden einzugrenzen und erste Schritte einzuleiten:

Schritt-für-Schritt-Anleitung zum richtigen Verhalten bei Phishing-Vorfällen und IT-Sicherheitswarnungen.

  1. Aufhören: Keine weiteren Links klicken, nicht antworten, keine Dateien mehr öffnen.
  2. Vorfall melden: Bei der zugehörigen Stelle in der IT/Information Security melden.
  3. Informationen sichern: Zeitpunkt des Angriffs, Absender und Betreff. Was habe ich getan, geklickt, preisgegeben? Möglicherweise betroffene Konten oder Systeme notieren.
  4. Anweisungen der IT abwarten: Passwörter nach Vorgabe ändern, MFA prüfen oder aktivieren, Gerät ggf. vom Netz trennen.
  5. Gerät prüfen lassen: Keine eigenständigen „Reparaturen“, Malware-Check durch die entsprechenden Stellen im Unternehmen durchführen lassen.
  6. Wachsam bleiben: Auf Folgeangriffe achten, neue Auffälligkeiten ebenfalls melden.

Unsere Seminarempfehlung

Grundlagen zum Datenschutz

Datenschutz sicher verstehen und richtig umsetzen. In diesem Online-Seminar erhältst du eine klare, praxisnahe Einführung in die DSGVO: von Rechtsgrundlagen über Betroffenenrechte bis zu Datensicherheit. Du gewinnst Orientierung, vermeidest Haftungsrisiken und schaffst Vertrauen im Unternehmensalltag.


Seminar: Grundlagen zum Datenschutz

Prävention

Phishing-Prävention fußt auf einen Zusammenspiel verschiedener Elemente. Neben einem generellen Bewusstsein für Methoden helfen klare organisatorische Regeln und technische Sicherheitslösungen.

Sowohl im Privat– als auch im Geschäftskontext ist ein informiertes Urteilsvermögen des Einzelnen die Basis. Unerwartete Nachrichten sollten hinterfragt, fragwürdige Links nicht geklickt und ungewollte Anhänge ignoriert werden. Unterstützende technische Maßnahmen sind:

  • Multi-Faktor-Authentifizierung (MFA), besonders für wichtige Accounts,
  • regelmäßige Updates von Betriebssystemen, Browser und Apps oder
  • bestimmte Antiviren- und Antimalwaresoftware.

In Unternehmen helfen großflächige Grundlagenschulungen zum Thema Phishing und Social Engineering. Auch können einzelne Angriffe simuliert werden, um Schwachstellen sichtbar zu machen. Technisch können beispielsweise

  • E-Mail-Security- und Spam-Filter bekannte Phishing-Muster erkennen,
  • Anti-Phishing-Lösungen mit Anomalie-Erkennung ungewöhnliche Absender und Inhalte identifizieren,
  • Web- und URL-Filter Zugriffe auf bekannte bösartige Webseiten blockieren und
  • MFA zentral vor Account-Übernahmen schützen.

Phishing-Prävention ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Technik kann viele Angriffe abfangen, aber niemals alle. Gleichzeitig reicht Schulung allein nicht aus, weil Menschen unter Stress Fehler machen. Erst die Kombination aus bewussten Nutzer:innen, klaren Regeln und intelligenten Sicherheitstools schafft eine belastbare Verteidigung.

Fazit

Phishing ist eine der wirksamsten und zugleich gefährlichsten Cyberbedrohungen unserer Zeit, auch weil es (zum Teil) gezielt menschliche Schwächen angreift. Die Angriffe entwickeln sich dabei stetig weiter. Schon lange sind es nicht mehr allein klassische Massenmails. Inzwischen wird gezielt attackiert, auch mit modernen KI-Technologien. Wirksamer Schutz entsteht nur im Zusammenspiel aus klaren organisatorischen Regeln, unterstützenden technischen Maßnahmen und informierter Aufmerksamkeit.

Lust, den Beitrag zu teilen?

Über den:die Autor:in

Online-Redaktion

Weitere Beiträge

Dieser Beitrag hat Ihnen gefallen?
Unsere kostenlosen Newsletter halten Sie rund
um betriebliche Themen auf dem Laufenden.
Einfach anmelden:
www.haufe.de/akademie/newsletter

Wir freuen uns über Feedback und Anregungen unter
service@haufe-akademie.de

Copyright by Haufe Akademie GmbH & Co. KG, Lörracher Str. 9, 79115 Freiburg. Abdruck nur mit Genehmigung der Haufe Akademie.