Phishing erkennen und vermeiden: Schutz vor der häufigsten Cyberbedrohung

Eine E-Mail von der "Geschäftsführung" bittet dringend um eine Überweisung. Der "IT-Support" braucht Ihr Passwort für ein wichtiges Update. Ein "Lieferant" schickt eine Rechnung als ZIP-Datei. Kommt Ihnen das bekannt vor?

Willkommen in der Welt des Phishings – der mit Abstand häufigsten Cyberbedrohung für Unternehmen. Als IT-Dienstleister aus Bochum erleben wir fast wöchentlich Fälle, in denen Unternehmen im Ruhrgebiet Opfer von Phishing-Angriffen werden. Die gute Nachricht: Mit dem richtigen Wissen können Sie sich schützen.

Die Statistiken sind alarmierend:

• 90% aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-E-Mail
• 3,4 Milliarden Phishing-Mails werden täglich weltweit verschickt
• Durchschnittlicher Schaden pro erfolgreichem Angriff auf KMU: 25.000-100.000€
• 36% der Datenverluste in Unternehmen gehen auf Phishing zurück

Das Erschreckende: Die Angriffe werden immer raffinierter. KI-generierte Texte ohne Rechtschreibfehler, täuschend echte Websites, personalisierte Ansprachen – die Zeiten von "Sehr geehrter Kunde" und offensichtlichen Tippfehlern sind vorbei.

1. Standard-Phishing (Massen-E-Mails)

Was ist das?

Massenhaft versendete E-Mails, die vorgeben, von bekannten Unternehmen zu stammen (Amazon, PayPal, Banken, Microsoft).

Typisches Beispiel:

"Ihr Amazon-Konto wurde gesperrt. Klicken Sie hier, um Ihre Identität zu bestätigen."

Erkennungsmerkmale:

• Unpersönliche Anrede ("Sehr geehrter Kunde")
• Dringlichkeit ("Handeln Sie sofort!")
• Verdächtige Absenderadresse (amazon@kundenservice-support.com)

2. Spear-Phishing (Gezielte Angriffe)

Was ist das?

Individuell auf eine Person oder ein Unternehmen zugeschnittene Angriffe. Der Angreifer hat vorher recherchiert.

Typisches Beispiel:

"Hallo Herr Müller, anbei die Präsentation für das Meeting morgen mit der Firma Schmidt. VG, Ihr Kollege Peter"

Warum gefährlich:

• Nutzt echte Namen und Kontexte
• Schwerer zu erkennen
• Höhere Erfolgsquote

3. CEO-Fraud / Business Email Compromise (BEC)

Was ist das?

Der Angreifer gibt sich als Geschäftsführer oder Vorgesetzter aus und fordert dringende Aktionen (meist Überweisungen).

Typisches Beispiel:

"Ich bin gerade im Meeting und kann nicht telefonieren. Bitte überweisen Sie sofort 15.000€ an unseren neuen Lieferanten. Rechnung folgt. Dringend!"

Die Taktik:

• Dringlichkeit erzeugen
• Autoritätsposition nutzen
• Vertraulichkeit fordern ("Bitte sprechen Sie mit niemandem darüber")

Schäden in Deutschland: Mehrere Millionen Euro jährlich, einzelne Fälle über 100.000€.

4. Vishing (Voice Phishing)

Was ist das?

Phishing per Telefon. Der Anrufer gibt sich als IT-Support, Bank oder Behörde aus.

Typisches Beispiel:

"Hier ist der Microsoft-Support. Wir haben festgestellt, dass Ihr Computer mit Viren infiziert ist. Geben Sie mir bitte Fernzugriff."

5. Smishing (SMS Phishing)

Was ist das?

Phishing per SMS, oft mit Links zu gefälschten Websites.

Typisches Beispiel:

"Ihr Paket konnte nicht zugestellt werden. Bestätigen Sie Ihre Adresse: [verdächtiger Link]"

1. Verdächtige Absenderadresse

So prüfen Sie:

Nicht nur den angezeigten Namen anschauen, sondern die tatsächliche E-Mail-Adresse:

• Angezeigt: "Amazon Kundenservice"
• Tatsächlich: amazon-support@xyz-service.ru

Typische Tricks:

• Buchstaben ersetzen: amaz0n.com (Null statt O)
• Subdomains: amazon.fake-domain.com
• Tippfehler: amazn.com, amazonn.com

2. Dringlichkeit und Drohungen

Warnsignale:

• "Ihr Konto wird in 24 Stunden gesperrt"
• "Sofortige Handlung erforderlich"
• "Letzte Warnung"
• "Ihre Zahlung ist überfällig"

Warum das funktioniert: Unter Zeitdruck denken wir weniger kritisch nach.

3. Unpersönliche oder falsche Anrede

Warnsignale:

• "Sehr geehrter Kunde"
• "Lieber Nutzer"
• "Dear valued customer"
• Falscher Name

4. Grammatik- und Rechtschreibfehler

Achtung: Moderne Phishing-Mails sind oft fehlerfrei (dank KI). Fehlerfreiheit ist also kein Garantie für Echtheit!

5. Verdächtige Links

So prüfen Sie (ohne zu klicken!):

• Mauszeiger über den Link halten (nicht klicken!)
• Die echte URL wird angezeigt
• Vergleichen mit der offiziellen Domain

Beispiel:

• Angezeigt: "Klicken Sie hier um sich anzumelden"
• Tatsächliche URL: http://sparkasse-login.suspicious-domain.com

6. Ungewöhnliche Anhänge

Gefährliche Dateitypen:

• .exe, .scr, .bat (ausführbare Dateien)
• .zip, .rar mit Passwortschutz
• .docm, .xlsm (Makro-fähige Office-Dateien)
• .js, .vbs (Skript-Dateien)

Regel: Anhänge von unbekannten Absendern nie öffnen!

7. Aufforderung zur Eingabe sensibler Daten

Warnsignal: Seriöse Unternehmen fragen nie per E-Mail nach:

• Passwörtern
• PINs oder TANs
• Kreditkartendaten
• Ausweiskopien

8. Unpassender Kontext

Warnsignale:

• Nachricht zu einem Dienst, den Sie nicht nutzen
• Rechnung von einem unbekannten "Lieferanten"
• Bestätigung einer Bestellung, die Sie nie gemacht haben

9. Ungewöhnliche Bitte von Kollegen/Vorgesetzten

Warnsignal: Plötzliche, ungewöhnliche Anfragen:

• Bitte um vertrauliche Daten
• Dringende Überweisung
• Anforderung von Zugangsdaten

Regel: Bei ungewöhnlichen Anfragen immer telefonisch rückfragen!

10. Fehlende Signatur oder falsche Firmendaten

Warnsignale:

• Keine vollständige Signatur
• Falsche Adresse, Telefonnummer
• Impressum fehlt

Schritt 1: Nicht klicken, nicht antworten

Keine Links anklicken, keine Anhänge öffnen, nicht antworten.

Schritt 2: Absender verifizieren

Bei Zweifeln: Kontaktieren Sie den vermeintlichen Absender über einen bekannten Kanal (nicht die Kontaktdaten aus der verdächtigen Mail!).

Schritt 3: IT informieren

Melden Sie die Mail an Ihre IT-Abteilung oder Ihren IT-Dienstleister. Leiten Sie die Mail als Anhang weiter (nicht inline forwarden).

Schritt 4: Mail melden

Viele E-Mail-Programme haben eine "Phishing melden"-Funktion. Nutzen Sie diese!

Schritt 5: Löschen

Nach dem Melden: Mail löschen.

E-Mail-Sicherheit

Spam- und Phishing-Filter:

• Microsoft Defender for Office 365
• Sophos Email Security
• Proofpoint

E-Mail-Authentifizierung:

• SPF (Sender Policy Framework)
• DKIM (DomainKeys Identified Mail)
• DMARC (Domain-based Message Authentication)

Endpoint Protection

Moderne EDR-Lösungen erkennen:

• Verdächtige Anhänge
• Malware nach dem Öffnen
• Verbindungen zu bekannten Phishing-Domains

Multi-Faktor-Authentifizierung (MFA)

Warum wichtig: Selbst wenn ein Passwort gestohlen wird, schützt MFA vor unbefugtem Zugriff.

Empfehlung: MFA für alle Cloud-Dienste und E-Mail aktivieren!

DNS-Filtering

Blockiert den Zugriff auf bekannte Phishing-Domains, selbst wenn ein Mitarbeiter auf einen Link klickt.

Die beste Technik hilft nicht, wenn Mitarbeiter auf Phishing hereinfallen. Regelmäßige Schulungen sind essentiell.

Effektives Phishing-Training

Komponenten eines guten Trainings:

1. 1Grundlagenschulung für alle Mitarbeiter
2. 2Regelmäßige Phishing-Simulationen (monatlich)
3. 3Sofortiges Feedback bei Fehlern
4. 4Praxisbeispiele aus dem eigenen Unternehmen
5. 5Klare Meldewege etablieren

Empfohlene Frequenz:

• Phishing-Simulation: Monatlich
• Schulung: Quartalsweise
• Auffrischung: Bei aktuellen Bedrohungen

Ergebnisse von Phishing-Simulationen

Typische Klickraten ohne Training: 20-30%

Nach 12 Monaten Training: 2-5%

Die Situation:

Ein mittelständisches Unternehmen aus Dortmund erhielt eine E-Mail, die angeblich vom Geschäftsführer stammte. Der "Chef" bat die Buchhaltung, dringend 45.000€ an einen neuen Lieferanten zu überweisen.

Die roten Flaggen:

• E-Mail kam von einer leicht abweichenden Domain
• Ungewöhnliche Bitte (normalerweise keine Überweisungsanfragen per Mail)
• Dringlichkeit betont
• Bitte um Vertraulichkeit

Was richtig gemacht wurde:

Die Mitarbeiterin war unsicher und rief den Geschäftsführer auf dem Handy an. Er wusste von nichts – Angriff abgewehrt!

Lesson Learned: Eine kurze Rückfrage kann zehntausende Euro sparen.

Technische Maßnahmen:

• [ ] Spam-/Phishing-Filter aktiv
• [ ] E-Mail-Authentifizierung (SPF, DKIM, DMARC)
• [ ] MFA für alle E-Mail-Konten
• [ ] Aktuelle Endpoint Protection

Organisatorische Maßnahmen:

• [ ] Phishing-Richtlinie vorhanden
• [ ] Meldeprozess definiert
• [ ] Regelmäßige Schulungen
• [ ] Phishing-Simulationen

Prozesse:

• [ ] Vier-Augen-Prinzip bei Überweisungen
• [ ] Telefonische Bestätigung bei ungewöhnlichen Anfragen
• [ ] Keine Passwort-Weitergabe per Mail/Telefon

Als IT-Dienstleister aus Bochum unterstützen wir Unternehmen im Ruhrgebiet beim Schutz vor Phishing:

Unsere Services:

• Phishing-Simulationen und Auswertung
• Security Awareness Schulungen
• E-Mail-Security-Lösungen
• Incident Response bei erfolgreichen Angriffen

Phishing ist die häufigste Cyberbedrohung – aber auch eine, gegen die Sie sich gut schützen können. Die Kombination aus technischen Maßnahmen und geschulten Mitarbeitern reduziert das Risiko drastisch.

Die drei wichtigsten Takeaways:

1. 1Schulen Sie Ihre Mitarbeiter: Der Mensch ist die letzte Verteidigungslinie.
2. 2Etablieren Sie eine Meldekultur: Lieber einmal zu viel gefragt als einmal zu wenig.
3. 3Nutzen Sie MFA: Selbst bei gestohlenen Passwörtern bleiben Sie geschützt.

---

Sie möchten Ihr Team gegen Phishing wappnen?

Wir bieten Phishing-Simulationen und Schulungen speziell für mittelständische Unternehmen an. Kontaktieren Sie uns für ein unverbindliches Gespräch.