Phishing
Was ist Phishing und wie können sich Unternehmen vor Phishing Mails schützen?
Was ist Phishing?
Phishing ist ein auf elektronischen Weg durchgeführter Betrugsversuch, bei dem der Empfänger eine gefälschte E-Mail zugesendet bekommt, die er häufig jedoch zunächst nicht als solche erkennt. Diese Angriffsmethode, in Form einer professionell wirkenden E-Mail, ist häufig so konzipiert, dass der Empfänger u.U. dazu gebracht wird, sensible Daten preis zu geben. Gemeint sind hier beispielsweise personenbezogene Daten.
Beim Phishing bedienen sich die Angreifer namhaft klingender Unternehmen oder Institutionen, die beispielsweise im Finanz- oder Handelsbereich ansässig sind. Der Begriff stammt aus dem englischsprachigen Raum und vergleicht den Angriff mit einem Angelausflug („fishing“). Als Köder dient hierbei eine eigens für den Angriff konzipierte E-Mail, die der Cyberkriminelle gleich an mehrere potenzielle Opfer, wie z. B. Mitarbeiter eines Unternehmens, weiterleitet.
Woran erkennen Sie einen Phishing-Angriff?
Für Laien ist ein Phishing-Angriff nur sehr schwer zu erkennen. Cyberkriminelle agieren bei dieser Form des Angriffs zumeist sehr präzise. Einmal die “Angel ausgeworfen”, benötigt der Angreifer nur noch ein wenig Zeit, bis das erste Opfer am Köder angebissen hat. Jedoch gibt es auch hier eindeutige Merkmale, die darauf hindeuten, dass es sich um einen Phishing-Angriff handelt:
Grammatikalische und orthografische Mängel
Nicht selten klingen die Inhalte einer Phishing-Mail seltsam. Gerade Angreifer aus dem Ausland greifen beim Verfassen solcher E-Mails auf Übersetzungssoftware zurück.
Häufig schleichen sich dabei Fehler ein. Auch fremde Zeichen sowie die fehlerhafte Setzung von Satzeichen, deutet darauf hin, dass es sich bei der E-Mail um eine Phishing-Mail handelt.
Fehlende individuelle Anrede
Bedenken Sie, dass Angreifer ihre Phishing-Attacken für gewöhnlich in großem Stil umsetzen. Das bedeutet, dass zum Teil tausende Empfänger eine Phishing-Mail mit dem gleichen Inhalt erhalten. Eine individuelle Anrede wird hier in der Regel vernachlässigt bzw. ist für den Anwender selbst mit einem deutlichen Mehraufwand verbunden.
Grundsätzlich sollten Sie berücksichtigen, dass Ihre Vertragspartner, seien es Banken oder sonstige Geschäftskontakte, Sie in einer E-Mail immer mit einer persönlichen Anrede ansprechen würden. Allgemeine Floskeln, wie beispielsweise „Sehr geehrte/r Kunde/Kundin“ sind unüblich und zeugen von einer mangelnden Seriosität.
Abfrage persönlicher Daten
Gerade bei Phishing-Mails, die angeblich von Unternehmen aus dem Finanzsektor stammen, ist Vorsicht geboten. Hier wird in der Regel versucht, Zugangscodes in Form von Transaktionsnummern (TANs) oder persönlicher Identifikationsnummern (PINs) in Erfahrung zu bringen.
Grundlegend gilt, dass beispielsweise diese Art der Kontaktaufnahme nicht dem üblichen Vorgehen eines seriösen Bankinstituts entspricht. Im Gegenteil: Eine Bank würde niemals persönliche Informationen über den elektronischen Weg erfragen. Die Interaktion erfolgt hier zumeist schriftlich in Briefform.
Eine Bank unterliegt gewissen Schutzmechanismen. Das heißt beispielsweise, dass Sie mit Ihrer Bank in der Regel nur dann in Kontakt treten, wenn Sie eine Transaktion vornehmen. Hierbei sind ausschließlich Sie es, der das Gespräch beginnt und nicht die Bank. Zusätzlich wird Ihnen für einen solchen Fall schriftlich eine persönliche Identifikationsnummer für das Gespräch am Telefon zugewiesen.
Trügerische Anhänge
Gerade gegenüber Unternehmen haben sich Phishing-Angriffe in der Vergangenheit als besonders lohnenswert herausgestellt. Hierbei setzen die Angreifer zunehmend auf E-Mail-Anhänge. Die Opfer – häufig einzelne Mitarbeiter – schöpfen nur selten Verdacht. In Unternehmen ist es schließlich üblich, dass täglich E-Mails eingehen, die über Anhänge in verschiedensten Formaten verfügen, wie beispielsweise *.xls, *.doc, *.pdf.
Bei den Anhängen handelt es sich z.B. um angebliche Rechnungen, Kontoauszüge oder Geschäftsbriefe. Sofern der Absender Ihnen unbekannt erscheint oder der Schreibstil in der E-Mail von bisherigem E-Mail-Verkehr abweicht, kann dies darauf hindeuten, dass es sich um eine Phishing-Mail handelt. Hinter dem Anhang selbst verbirgt sich zumeist eine getarnte Malware, beispielsweise in Form von Trojanern, die entsprechende Dateneingaben protokollieren und letztlich vom Angreifer eingesehen werden kann.
Insgesamt sind die Angreifer äußerst einfallsreich, wenn es darum geht, die Opfer dazu zu bewegen, die beigefügten Inhalte zu öffnen. Bei der angehängten Datei handelt es sich oftmals um eine angebliche „Letzte Mahnung“, um bei den Empfängern bewusst ein hohes Level an Stress zu erzeugen. Betroffene sollten sich davon nicht beirren lassen und die E-Mail in Ruhe auf Phishing-Merkmale überprüfen.
Zeitdruck
Angst ist eines der intensivsten Gefühle des Menschen. Das wissen auch Cyberkriminelle. Regelmäßig wird in Phishing-Mails versucht, das ausgewählte Opfer unter Druck zu setzen.
Hierzu werden die Empfänger einer Phishing-Mail dazu bewegt, innerhalb eines äußerst kurzen Zeitraums entsprechende Handlungsempfehlungen zu befolgen, unter dem Vorwand finanzielle Nachteile abzuwenden.
So wird z.B. in einer Fake-Mail von der Bank darauf hingewiesen, dass bei Unterlassung einer bestimmten Handlung, der Zugang zum Online-Konto gesperrt wird. Dem ist natürlich nicht so.
Zweifelhafte Links und Formularfelder
Eine weitere Möglichkeit per Phishing Daten abzugreifen ist das gezielte Versenden von E-Mails, die Links zu Fake-Webseiten enthalten.
Diese vom Angreifer erstellten Webseiten sehen zumeist wie das Original aus und zielen darauf ab, über Formulareingabefelder Zugangsdaten in Form von Benutzernamen, Passwörtern oder PINs abzugreifen. Verlinkungen zu Webseiten mit Formularfeldern sollten daher stets kritisch hinterfragt werden. Stattdessen empfiehlt es sich, die bekannte Webseite über die Browsersuche direkt aufzurufen.
Kontaktdaten
Eine besondere Skepsis scheint angebracht, wenn Sie eine E-Mail von einem unbekannten Absender erhalten. Auch E-Mails von Personen, die sich als Ihre Geschäftspartner ausgeben, zu denen Sie beispielsweise als Unternehmen aber überhaupt keinerlei Beziehungen aufrechterhalten, sollten Sie grundsätzlich kritisch betrachten.
Fehlerhafte Mail-Header
Die Perfektion einer Phishing-Mail erkennt man darin, dass Sie auf den ersten Blick unscheinbar erscheint. Hierbei müssen Sie bedenken, dass Angreifer in der Lage sind, Original-E-Mail-Adressen nachzubilden. Gleiches gilt für grafische Elemente sowie das Gesamtlayout einer E-Mail.
Um eine eindeutige Antwort darauf zu erhalten, ob es sich um eine Phishing-Mail handelt, kann der sogenannte Mail-Header einmal genauer unter die Lupe genommen werden. Für den Laien ist dieser Vorgang aber häufig mit technischen Hürden verbunden.
Fremdsprachige E-Mails
Der Klassiker unter den Phishing-Mails ist die E-Mail in fremder Sprache. Hierbei sollten Sie bedenken, dass Sie allein aufgrund dessen, dass Sie beispielsweise Ihre Bankkonten in Deutschland führen, keine E-Mail in einer anderen Sprache durch das jeweilige Institut zugesendet bekommen.
Eine fremdsprachige E-Mail könnte nur dann seriös sein, wenn Sie tatsächlich geschäftliche Beziehungen im Ausland pflegen.
Wie Endnutzer sich vor Phishing schützen können
Keine Links oder Anhänge ungeprüft öffnen
Der einfachste Schutz vor Phishing ist immer noch erstaunlich wirksam: nicht automatisch klicken. Öffnen Sie Links nicht direkt aus verdächtigen Mails, sondern rufen Sie Dienste über bekannte Lesezeichen, Apps oder manuell eingegebene Adressen auf. Das klingt fast banal. Ist es auch – und genau deshalb wird es im Alltag so oft übersprungen.
Anhänge sollten nur geöffnet werden, wenn Absender, Anlass und Dateityp plausibel sind. Im Zweifel gilt: erst gegenprüfen, dann öffnen. Eine kurze Rückfrage über einen zweiten Kanal spart im Zweifel sehr viel mehr Aufwand.
Starke Passwörter, Passwortmanager, MFA und Passkeys
Wenn ein Passwort doch einmal abgefischt wird, soll der Schaden nicht gleich das ganze Konto öffnen. Nutzen Sie daher für jeden Dienst ein eigenes, starkes Passwort – idealerweise erstellt und gespeichert in einem Passwortmanager. Wiederverwendete Kennwörter sind bei Phishing praktisch eine Einladung zum Seitwärtsschritt des Angreifers.
MFA ist heute Pflicht, aber nicht jede MFA ist gleich stark. SMS-Codes und Einmalcodes sind besser als gar kein zweiter Faktor, können aber in bestimmten Szenarien mit abgegriffen werden. Phishing-resistente Verfahren wie Passkeys sind deutlich robuster, weil sie an den echten Dienst gebunden sind und sich nicht einfach auf einer gefälschten Login-Seite abgeben lassen.
Browser, Betriebssystem, Apps und Sicherheitssoftware aktuell halten
Viele Phishing-Angriffe enden nicht beim Datendiebstahl, sondern bei der Ausführung von Malware. Deshalb ist Patchen kein Nebenthema, sondern Teil von gutem Phishing-Schutz. Ein aktueller Browser, ein gepflegtes Betriebssystem und moderne Sicherheitssoftware schließen Lücken, bevor sie in der Kette ausgenutzt werden.
Anti-Phishing-Software: sinnvoll oder nicht?
Ja – aber als Schicht, nicht als Wunderwaffe. Gute Anti-Phishing-Mechanismen prüfen Absender, Reputation, URLs, Anhänge, Markenimitationen und Verhaltensmuster. Im Privatbereich übernehmen das oft schon E-Mail-Anbieter, Browser und Security-Suiten. Im Unternehmen kommen Secure Email Gateways, Sandboxing, Safe-Links-Mechanismen und Endpoint-Schutz dazu.
Wichtig ist die Erwartungshaltung: Anti-Phishing-Software reduziert Risiko, sie eliminiert es nicht. Wer sich allein auf ein Tool verlässt und Prozesse oder Awareness vernachlässigt, baut eine starke Tür ein – lässt aber das Fenster offen.
Kostenloser Phishing-Schutz: Was sofort geht
Kostenloser Schutz vor Phishing ist möglich, zumindest als solide Basis:
- Aktivieren Sie MFA,
- melden Sie verdächtige Nachrichten konsequent als Spam oder Phishing,
- halten Sie Browser und Smartphone aktuell
- und prüfen Sie bei wichtigen Konten, ob Passkeys angeboten werden
- auch die eingebauten Warnmechanismen in Gmail, Outlook oder Apple Mail sollten nicht abgeschaltet werden.
Ein weiterer praktischer Sofortschritt: Prüfen Sie mit dem E-Mail-Checker des BSI, wie gut Ihr Provider beim E-Mail-Schutz aufgestellt ist. Das ersetzt keine Sicherheitsstrategie, schafft aber schnell Transparenz.
Wie Unternehmen Ihre Mitarbeiter gegen Phishing schützen können
Mitarbeiterschulungen und Phishing-Simulationen
Im Unternehmen reicht technischer E-Mail-Schutz allein nicht aus. Mitarbeiterschulungen sind nötig, weil Phishing fast immer am Menschen vorbeimuss. Gute Awareness ist allerdings mehr als eine jährliche Pflichtveranstaltung. Kurze, regelmäßige Lerneinheiten und realistische Phishing-Simulationen funktionieren im Alltag meist besser.
Entscheidend ist der Ton. Schulungen sollen Sicherheit aufbauen, nicht Mitarbeiter bloßstellen. Wer jede Fehlreaktion an den Pranger stellt, bekommt keine Sicherheitskultur, sondern stilles Wegducken.
Konfigurieren Sie SPF, DKIM und DMARC
SPF legt fest, welche Server im Namen Ihrer Domain E-Mails senden dürfen. DKIM versieht ausgehende Nachrichten mit einer kryptografischen Signatur. DMARC baut darauf auf und definiert, wie empfangende Systeme mit Nachrichten umgehen sollen, die diese Prüfungen nicht bestehen.
Zusammen helfen SPF, DKIM und DMARC dabei, Spoofing zu erschweren und gefälschte Mails im Namen Ihrer Domain besser zu erkennen. Das stoppt nicht jeden Phishing-Angriff im Internet, ist aber für den Schutz der eigenen Marke und gegen Business Email Compromise eine zentrale Basis.
Secure Email Gateway, URL-Filter, Sandboxing, DLP
Unternehmen brauchen in der Regel mehrere technische Schichten. Ein Secure Email Gateway filtert Massenangriffe, URL-Filter bewerten Links, Sandboxing untersucht verdächtige Anhänge in einer isolierten Umgebung und DLP hilft dabei, den Abfluss sensibler Daten zu begrenzen.
Gerade bei modernen Angriffen zählt die Kombination. Ein Tool sieht vielleicht die Marke im Betreff, ein anderes erkennt die frisch registrierte Domain, ein drittes stoppt den schädlichen Anhang. Zusammengenommen wird daraus echte Resilienz.
Schutz vor BEC und CEO-Fraud: Prozesse statt nur Technik
BEC und CEO-Fraud sind deshalb so gefährlich, weil sie oft auf ganz normale Geschäftsabläufe zielen: Rechnung ändern, Bankverbindung anpassen, Daten exportieren, Zahlung freigeben. Die Mail selbst ist manchmal unspektakulär. Der Schaden leider nicht.
Darum braucht es neben Technik immer Prozesskontrollen: Rückruf über bekannte Nummern, separate Freigaben, dokumentierte Änderungsprozesse für Stammdaten und klare Regeln für besonders sensible Aktionen. Das wirkt weniger glamourös als KI-Erkennung – ist im Alltag aber oft der Rettungsring.
Vier-Augen-Prinzip bei Zahlungsfreigaben
Bei Zahlungsanweisungen, Kontoänderungen und ungewöhnlichen Überweisungen sollte das Vier-Augen-Prinzip nicht verhandelbar sein. Besonders dann nicht, wenn Zeitdruck ins Spiel gebracht wird. Denn genau dort sitzt der Angreifer schon mit am Tisch.
Ein sauberer Prozess bremst nicht das Business aus. Er verhindert, dass Eile zur Einfallstür wird.
Fazit: Schutz vor Phishing ist ein Prozess, kein Schalter
Phishing-Schutz funktioniert am besten, wenn Technik und Verhalten sauber zusammenspielen. Für Privatnutzer heißt das: weniger Klick-Reflex, mehr MFA oder Passkeys, aktuelle Geräte und ein bewusst genutztes Postfach. Für Unternehmen heißt es zusätzlich: E-Mail-Authentifizierung, starke Filter, klare Freigabeprozesse und eine Sicherheitskultur, die auch unter Zeitdruck trägt.
Mit anderen Worten: Schutz vor Phishing ist kein einzelnes Produkt, das man einmal einschaltet. Es ist ein Betriebsmodell. Klingt groß – ist im Alltag aber oft eine Summe kleiner, sehr konkreter Entscheidungen.
Wer seinen E-Mail-Schutz und Phishing-Schutz im Unternehmen auf ein belastbares Niveau heben will, sollte technische Schutzschichten mit Security Awareness und klaren Prozessen kombinieren. Genau dort entfaltet eine Lösung wie Hornetsecurity ihren größten Wert. Vereinbaren Sie eine Demo und prüfen Sie, wie sich Phishing-Mails, BEC-Risiken und unsichere Freigaben in Ihrer Umgebung messbar reduzieren lassen.
Mehr über HORNETSECURITYS SERVICES
Interessiert an verwandten Themen?
Hat Ihnen unser Beitrag zum Thema Phishing gefallen? Dann könnten Sie auch andere Artikel in unserer Wissensdatenbank interessieren! Wir helfen Ihnen dabei, mehr über Cybersicherheitsthemen wie Emotet, Trojaner, IT-Sicherheit, Cryptolocker-Ransomware, Phishing, Cyber Kill Chain und Computerwürmer zu erfahren.