Phishing – die unterschätzte Dauergefahr

Trotz jahrelanger Awareness-Trainings, immer smarterer Erkennungssysteme und moderner Abwehrstrategien bleibt Phishing eines der größten und beständigsten Cyberrisiken. Der Grund: Angreifer verfeinern ihre Methoden ständig – und zielen nicht nur auf Technik, sondern vor allem auf den Menschen ab.

Beim Phishing, eine Art des Social-Engineering-Angriffs, geben sich Cyberkriminelle als vertrauenswürdige Personen oder Organisationen aus, um ihre Opfer dazu zu bringen, vertrauliche Informationen preiszugeben, Schadsoftware zu installieren oder ungewollt Zugriff zu gewähren. Laut dem Verizon Data Breach Investigations Report 2025 gehen fast ein Viertel aller externen Sicherheitsvorfälle auf Social-Engineering-Angriffe zurück – und bei über der Hälfte davon handelt es sich um Phishing.

Was Phishing so gefährlich macht, ist seine menschliche Komponente: Die Angriffe kommen per E-Mail, SMS, Anruf oder sogar über QR-Codes – und sie wirken oft täuschend echt. Logos, Tonfall und Absender sehen vertrauenswürdig aus, während subtile Dringlichkeit oder Angst genutzt werden, um Menschen zu schnellen Reaktionen zu verleiten.

Kay Ernst von Zero Networks erklärt, wie Phishing-Angriffe funktionieren – und warum Mikrosegmentierung ein wirksames Mittel ist, um die Auswirkungen solcher Attacken zu begrenzen.

Wie funktioniert Phishing?

Phishing-Angriffe laufen in der Regel in vier Phasen ab:

• Der Köder: Angreifer versenden eine Nachricht, die von einem seriösen Absender zu stammen scheint.
• Der Köder: Die Nachricht enthält ein bösartiges Element, wie einen Link oder einen Anhang.
• Die Interaktion: Die Opfer klicken, laden etwas herunter, antworten oder interagieren auf andere Weise mit dem bösartigen Element.
• Der Angriff: Die Angreifer sammeln Anmeldedaten, installieren Malware oder verschaffen sich Zugang zu sensiblen Systemen.   Insbesondere dient Phishing oft als erster Angriffsvektor für größere Kampagnen, wie beispielsweise Ransomware-Angriffe.

Phishing-Techniken: Arten von Angriffen

Cyberangreifer nutzen eine Vielzahl von Taktiken, um ihre Opfer zu ködern. Zu den gängigsten Strategien gehören:  

Spear-Phishing

Spear-Phishing-Angriffe sind hochgradig zielgerichtete Kampagnen, die auf eine bestimmte Organisation oder Person zugeschnitten sind. Angreifer recherchieren möglicherweise über LinkedIn oder andere öffentliche Aufzeichnungen nach Opfern, um sicherzustellen, dass die Nachrichten einen legitimen Kontext enthalten

Klon-Phishing

Bei Klon-Phishing-Angriffen kopieren Angreifer eine legitime Nachricht, beispielsweise eine Rechnung oder eine Kalendereinladung, und ersetzen die Links oder Anhänge durch bösartige. Da diese „Köder“ fast identisch mit ihren legitimen Vorbildern sind, sind Klon-Phishing-Betrügereien besonders schwer zu erkennen.

Whaling

Whaling-Angriffe richten sich gegen Führungskräfte, Vorstandsmitglieder oder andere hochkarätige Ziele und zielen oft darauf ab, die Opfer zur Überweisung großer Geldsummen zu verleiten. Diese Köder sind in der Regel so gestaltet, dass sie wie dringende rechtliche oder finanzielle Angelegenheiten aussehen, die sofortiges Handeln erfordern.

Massen-E-Mail-Phishing

Massen-E-Mail-Phishing ist die häufigste Art von Phishing-Angriffen und basiert auf massenhaft versendeten Nachrichten, die gleichzeitig an Tausende von Adressen verschickt werden. Diese Betrugsmaschen setzen eher auf Quantität und Wahrscheinlichkeit als auf strategisch ausgearbeitete Köder.

Business Email Compromise

Business Email Compromise (BEC) ist eine Form des Spear-Phishing, bei der Angreifer sich als Kollege ausgeben, um Opfer dazu zu manipulieren, Geld oder andere wertvolle Daten zu senden. Laut FBI haben BEC-Betrügereien den Opfern seit 2013 über 55 Milliarden Dollar gekostet.

Smishing

Smishing, auch bekannt als SMS-Phishing, nutzt Textnachrichten, um Opfer zum Handeln zu verleiten. Angreifer geben sich möglicherweise als Banken, Paketdienstleister, Regierungsbehörden oder andere vertrauenswürdige Absender aus.

Vishing

Vishing, oder Voice Phishing, wird über das Telefon durchgeführt. Angreifer nutzen häufig gefälschte Anrufer-IDs, sodass die Betrugsanrufe scheinbar von lokalen Telefonnummern oder legitimen Organisationen stammen.

Phishing-Trends: KI, QR-Codes und hybride Angriffe

Angreifer verfeinern ständig ihre Phishing-Techniken, um Abwehrmaßnahmen zu umgehen, Benutzer zu überwältigen und neue Technologien auszunutzen. Heute setzen Angreifer zunehmend KI-gesteuerte Kampagnen, bösartige QR-Codes und Multi-Channel-Angriffe ein:

• KI-Phishing: Betrüger benötigen etwa 16 Stunden, um manuell eine überzeugende Phishing-E-Mail zu erstellen. Mit Hilfe von KI können Angreifer innerhalb von Minuten hochgradig zielgerichtete Nachrichten entwerfen. Da immer mehr Angreifer KI in ihr Toolkit aufnehmen, fügen sie ihren Phishing-Kampagnen zunehmend ausgefeilte Deepfake-Nachrichten hinzu. Laut Robert Tripp, Special Agent in Charge beim FBI, „entwickeln sich mit der Technologie auch die Taktiken der Cyberkriminellen weiter. Angreifer nutzen KI, um äußerst überzeugende Sprach- oder Videonachrichten und E-Mails zu erstellen, um Betrugsmaschen gegen Privatpersonen und Unternehmen gleichermaßen zu ermöglichen.“
• QR-Code-Phishing (Quishing): QR-basiertes Phishing hat explosionsartig zugenommen, da sowohl Unternehmen als auch Verbraucher QR-Codes für den täglichen Gebrauch nutzen. Im ersten Quartal 2025 versendeten Cyberangreifer E-Mails mit mehr als 1,7 Millionen bösartigen QR-Codes . Angreifer können bösartige QR-Codes in E-Mails, PDF-Dateien oder sogar physische Köder einbetten, die die Opfer auf Seiten zum Abgreifen von Anmeldedaten oder zum Herunterladen von Malware weiterleiten. Da QR-Codes die endgültige URL verschleiern, umgehen sie die meisten Filtertools.
• Hybride Angriffe: Angreifer orchestrieren zunehmend Phishing-Kampagnen, die E-Mails, SMS, Telefonanrufe und sogar soziale Medien umfassen, um mehrschichtige Betrugsmaschen aufzubauen. Diese hybriden, mehrstufigen Ansätze sind mit Punktabwehrmaßnahmen schwerer zu erkennen, was die Notwendigkeit mehrschichtiger Sicherheitsstrategien unterstreicht.

Wie man Phishing-Betrug erkennt

Auch wenn Phishing immer raffinierter wird, weisen Kampagnen in der Regel mindestens ein Warnsignal auf. Einige der häufigsten Anzeichen für Phishing sind:

• Dringlichkeit, Angst und andere Druckmittel: Nachrichten, die zu sofortigem Handeln drängen, um Konsequenzen zu vermeiden, sollen eine schnelle Antwort erzwingen.
• Verdächtige Links: Nicht übereinstimmende Domains, verkürzte URLs und bösartige Websites, die durch Subdomains getarnt sind, sind gängige Tricks, um betrügerische Links zu verbergen.
• Unerwartete Anhänge: Unaufgeforderte Dateien und Anhänge sollten Alarmglocken läuten lassen.
• Unpassender Kontext: Anfragen, die nicht zum normalen Arbeitsablauf passen, wie z. B. die Aufforderung, Geld oder sensible Informationen preiszugeben, sind ein häufiges Kennzeichen von Phishing-Betrug.
• Gefälschte Adressen: Durch subtile Rechtschreibfehler können Absender auf den ersten Blick legitim erscheinen.   Die Schulung von Mitarbeitern im Erkennen dieser Indikatoren bleibt ein Eckpfeiler der Phishing-Abwehr, ist jedoch nur ein Teil des Puzzles. Um Phishing-Risiken wirksam zu mindern, sollten Unternehmen einen mehrschichtigen Ansatz priorisieren, der vor menschlichen Fehlern schützt.

Phishing-Angriffe verhindern: Best Practices zum Blockieren „erfolgreicher“ Betrugsversuche

Phishing-Angriffe zielen eher auf Schwachstellen beim Menschen als auf technische Schwachstellen ab, was ihre Abwehr besonders schwierig macht – insbesondere wenn die Aufgaben einiger Mitarbeiter weitgehend darin bestehen, Nachrichten von unbekannten Absendern zu öffnen.

Anstatt zu versuchen, alle Phishing-Nachrichten zu blockieren, konzentrieren sich die wirksamsten Abwehrmaßnahmen darauf, erfolgreiche Phishing-Angriffe zu verhindern. Diese Strategien schützen ein Unternehmen vor Phishing-Betrug, selbst wenn ein Mitarbeiter versehentlich auf einen bösartigen Link oder Anhang klickt.

Robuste MFA überall durchsetzen

Selbst wenn eine Phishing-Kampagne erfolgreich Anmeldedaten stiehlt, sind diese für einen Angreifer nutzlos, wenn alle privilegierten Zugriffe und sensiblen Systeme durch Multi-Faktor-Authentifizierung geschützt sind. Wichtig ist, dass nicht alle MFA-Ansätze gleich sind – einfache MFA-Strategien wie Textnachrichten oder Push-Benachrichtigungen können mit verschiedenen Formen von Phishing umgangen werden

Implementierung einer umfassenden Mikrosegmentierung

Phishing ist oft der erste Schritt zu einer umfassenderen Sicherheitsverletzung – sobald sie sich Zugang verschafft haben, bewegen sich Angreifer lateral, um ihre Privilegien zu erweitern, Ransomware einzusetzen oder Daten zu exfiltrieren. Mikrosegmentierung verhindert laterale Bewegungen, indem sie jedes Asset in seiner eigenen sicheren Zone isoliert. Selbst wenn ein Phishing-Versuch erfolgreich ist und einen ersten Zugang ermöglicht, wird der Wirkungsradius des Angreifers durch die Mikrosegmentierung sofort eingedämmt.

Schulung des Sicherheitsbewusstseins

Da Angreifer ihre Köder mit KI immer weiter verfeinern und Multi-Channel-Betrugsmaschen entwickeln, bleiben Mitarbeiter eine wichtige Verteidigungslinie gegen Phishing. Regelmäßige, aktualisierte Schulungen helfen den Mitarbeitern, ein Bewusstsein für das Erkennen und Melden von Bedrohungen zu entwickeln.

Phishing-Angriffe automatisch neutralisieren

Während Phishing-Betrugsmaschen wahrscheinlich weiter an Umfang und Raffinesse zunehmen werden, ist es mittlerweile möglich, Angriffe mit mehrschichtigen Sicherheitskontrollen zu neutralisieren, die verhindern, dass Phishing-Versuche zu weitreichenden Sicherheitsverletzungen führen.

Bei automatisierter Mikrosegmentierung wird Jede Ressource proaktiv isoliert, sodass Angreifer selbst dann, wenn ein Phishing-Betrug einen ersten Zugriff ermöglicht, keine seitlichen Bewegungen ausführen können. Just-in-Time-MFA auf Netzwerkebene zum Schutz privilegierter Zugriffe, älterer Anwendungen und sensibler Systeme kann verhindern, dass der Diebstahl von Anmeldedaten zu einem Missbrauch von Privilegien eskaliert. Hinzu kommt schließlich noch die adaptive Erstellung und Durchsetzung von Richtlinien. Durch die dynamische Weiterentwicklung von Regeln parallel zu Netzwerkänderungen lässt sich verhindern, dass Phishing-Angriffe unbekannte Sicherheitslücken ausnutzen.