Zum Inhalt springen
Zurück zum Blog
Sicherheit
·Rouwen Behncke
11 Min.

Phishing erklärt: Warum es die größte Gefahr für dein Unternehmen ist, und was wir dagegen tun

Phishing bezeichnet betrügerische E-Mails oder Nachrichten, die euch dazu bringen sollen, Passwörter preiszugeben oder schädliche Anhänge zu öffnen. Rund 90 Prozent aller Cyberangriffe beginnen genau so. Dieser Beitrag erklärt, wie Phishing funktioniert, warum Unternehmen besonders gefährdet sind und mit welchen Maßnahmen ihr euer Team davor schützt.

Phishing erklärt: Warum es die größte Gefahr für dein Unternehmen ist, und was wir dagegen tun

Was ist Phishing?

Phishing ist eine Betrugsmasche - bei der Angreifende versuchen - über gefälschte E-Mails - Websites oder Nachrichten an vertrauliche Informationen zu gelangen - Passwörter - Bankdaten - Zugangsdaten zu Unternehmenssystemen oder persönliche Daten. Der Name leitet sich von „fishing" (Angeln) ab: Die Angreifenden werfen einen Köder aus und hoffen - dass jemand anbeißt.

Phishing-Nachrichten sehen heute täuschend echt aus. Sie imitieren bekannte Marken - Kolleginnen und Kollegen oder Geschäftspartner - oft so überzeugend - dass selbst erfahrene Mitarbeitende darauf hereinfallen.

Die verschiedenen Arten von Phishing

Massen-Phishing (Spray & Pray)

Die klassische Variante: Tausende E-Mails werden gleichzeitig versendet - z. B. als gefälschte DHL-Benachrichtigung - Microsoft-Warnung oder Banknachricht. Die Angreifenden setzen darauf - dass ein kleiner Prozentsatz der Empfänger klickt - und bei tausenden E-Mails reicht das.

Spear-Phishing (gezielter Angriff)

Hier wird es persönlich: Die Angreifenden recherchieren über LinkedIn - die Unternehmenswebsite oder soziale Medien und erstellen eine maßgeschneiderte Nachricht. Zum Beispiel: „Hallo Lisa - anbei die Rechnung von unserem Treffen letzte Woche in Hamburg." Diese Art ist besonders gefährlich - weil sie schwer zu erkennen ist.

CEO-Fraud / Business Email Compromise (BEC)

Die Angreifenden geben sich als Geschäftsführung aus und fordern per E-Mail eine dringende Überweisung an. Typisch: „Bitte überweise sofort 45.000 € an folgendes Konto - es ist dringend und vertraulich." Diese Masche verursacht weltweit die höchsten finanziellen Schäden.

Smishing und Vishing

Phishing über SMS (Smishing) oder Telefon (Vishing). Beispiel: Ein Anruf von der „IT-Abteilung" - die dringend dein Passwort braucht - oder eine SMS mit einem Link zur „Paketverfolgung".

QR-Code-Phishing (Quishing)

Eine relativ neue Methode: Gefälschte QR-Codes auf Briefen - Plakaten oder sogar in E-Mails führen zu manipulierten Websites. Besonders tückisch - weil man die URL vor dem Scannen nicht sehen kann.

Warum Phishing für Unternehmen so gefährlich ist

1. Phishing ist der Hauptangriffsvektor

Laut BSI-Lagebericht beginnen über 90 % aller erfolgreichen Cyberangriffe mit einer Phishing-E-Mail. Ransomware - Datendiebstahl - Industriespionage - fast immer steht am Anfang ein Klick auf einen falschen Link oder das Öffnen eines infizierten Anhangs.

2. Mitarbeitende sind das Ziel - nicht die Technik

Die beste Firewall nutzt nichts - wenn eine Mitarbeitende eine manipulierte E-Mail öffnet und ihre Zugangsdaten auf einer gefälschten Website eingibt. Phishing umgeht technische Schutzmaßnahmen - indem es den Menschen als Schwachstelle nutzt.

3. Die Schäden sind enorm

  • Finanzielle Verluste: CEO-Fraud verursacht durchschnittlich 120.000 € Schaden pro Vorfall
  • Datenverlust: Kundendaten - Geschäftsgeheimnisse - Personaldaten
  • Ransomware: Ein Phishing-Klick kann die gesamte IT verschlüsseln
  • Reputationsschaden: Kunden und Partner verlieren das Vertrauen
  • DSGVO-Bußgelder: Bei Datenverlust drohen empfindliche Strafen

4. KI macht Phishing immer besser

Durch generative KI (wie ChatGPT) können Angreifende heute in Sekunden fehlerfreie - überzeugende Phishing-E-Mails in jeder Sprache erstellen. Die Zeiten - in denen man Phishing an schlechter Rechtschreibung erkannte - sind vorbei.

5. Jeder kann Opfer werden

Phishing trifft nicht nur unachtsame Mitarbeitende. Auch IT-Profis - Geschäftsführende und erfahrene Fachkräfte fallen auf gut gemachte Angriffe herein - das ist keine Frage der Intelligenz - sondern der Methodik.

Reale Beispiele aus unserer Region

Die Ransomware-Vorfälle - die wir auf unseren Standortseiten dokumentiert haben - begannen fast alle mit Phishing:

  • Berliner Kammergericht (2019): Eine Emotet-Phishing-E-Mail legte das höchste Berliner Gericht lahm - Schaden: mehrere Millionen Euro
  • HAW Hamburg (2022): Vice-Society-Ransomware gelangte per Phishing in die Hochschule
  • Universität Rostock (2024): Wiederholte Phishing-Kampagnen zielten auf Forschungsdaten
  • IfW Kiel (2024): Russische Staatshacker (APT28) nutzten eine gefälschte Domain des Instituts

Wie du Phishing erkennst - 7 Warnsignale

  1. Unerwartete E-Mails mit dringendem Handlungsbedarf („Dein Konto wird gesperrt!")
  2. Unbekannte oder leicht veränderte Absenderadressen (z. B. info@balt4ris.de statt info@baltaris.de)
  3. Links - die nicht zur angegebenen Domain führen: Maus über den Link halten - bevor du klickst
  4. Anhänge in unerwarteten E-Mails: besonders .zip - .exe - .docm
  5. Aufforderung zur Eingabe von Passwörtern oder persönlichen Daten
  6. Ungewöhnliche Tonalität: dein Chef schreibt plötzlich anders als sonst
  7. Zeitdruck und Vertraulichkeit: „Sofort erledigen - niemandem davon erzählen"

Was Baltaris gegen Phishing tut

E-Mail-Sicherheit

  • Microsoft 365 Advanced Threat Protection: Echtzeit-Prüfung von Links und Anhängen in E-Mails
  • DMARC - DKIM und SPF: Wir konfigurieren deine E-Mail-Authentifizierung so - dass deine Domain nicht für Phishing missbraucht werden kann
  • Anti-Spam und Anti-Malware: Mehrstufige Filter fangen den Großteil der Phishing-E-Mails ab - bevor sie im Postfach landen

Endpoint Detection & Response (EDR)

Mit SentinelOne XDR schützen wir jeden Endpunkt in deinem Unternehmen:

  • KI-basierte Erkennung: Erkennt verdächtiges Verhalten in Echtzeit - auch bei unbekannter Malware
  • Automatische Isolation: Kompromittierte Geräte werden sofort vom Netzwerk getrennt
  • Rollback-Funktion: Verschlüsselte Dateien können automatisch wiederhergestellt werden
  • 24/7 SOC-Überwachung: Unser Security Operations Center überwacht deine Systeme rund um die Uhr

Security Awareness Training

Technik allein reicht nicht. Deshalb schulen wir dein Team:

  • Regelmäßige Phishing-Simulationen: Wir senden kontrollierte Phishing-E-Mails - um das Bewusstsein zu schärfen
  • Interaktive Schulungen: Kurze - praxisnahe Trainings - kein stundenlanger Frontalunterricht
  • Auswertung und Reporting: Du siehst - wie sich das Sicherheitsbewusstsein deines Teams entwickelt
  • Sofort-Feedback: Mitarbeitende - die auf eine Simulation hereinfallen - erhalten direkt eine Lerneinheit

Multi-Faktor-Authentifizierung (MFA)

Selbst wenn ein Passwort durch Phishing gestohlen wird - schützt MFA vor dem Zugriff:

  • Microsoft Authenticator oder Hardware-Token
  • Conditional Access: Zugriff nur von vertrauenswürdigen Geräten und Standorten
  • Passwordless Authentication: Langfristiges Ziel - ganz ohne Passwörter arbeiten

DNS-Filtering und Web-Schutz

  • Bekannte Phishing-Domains werden blockiert - bevor deine Mitarbeitenden sie erreichen
  • Echtzeit-Updates: Neue Phishing-Seiten werden innerhalb von Minuten erkannt und gesperrt
  • Auch im Homeoffice: Der Schutz gilt unabhängig vom Standort

Incident Response

Falls doch einmal ein Phishing-Angriff erfolgreich ist - reagieren wir sofort:

  • Sofortige Eindämmung: Betroffene Konten sperren - Passwörter zurücksetzen
  • Forensische Analyse: Wie weit ist der Angreifer gekommen?
  • DSGVO-Meldung: Unterstützung bei der fristgerechten Meldung an die Datenschutzbehörde
  • Lessons Learned: Analyse und Anpassung der Schutzmaßnahmen

Reale Angriffszenarien: So gehen Cyberkriminelle vor

CEO-Fraud per E-Mail: Ein Mitarbeiter der Buchhaltung erhält eine E-Mail - die aussieht wie vom Geschäftsführer. Darin wird eine dringende Überweisung von 28.000 Euro an einen neuen Lieferanten angefordert. Die E-Mail-Adresse unterscheidet sich nur durch einen Buchstaben vom Original. Ohne geschulte Mitarbeiter wird die Zahlung ausgeführt - das Geld ist unwiederbringlich verloren.

Gefälschte Microsoft-365-Anmeldung: Eine E-Mail warnt vor einer „ungewöhnlichen Anmeldeaktivität" und enthält einen Link zur Passwortänderung. Die Zielseite sieht identisch aus wie die echte Microsoft-Login-Seite - überträgt die Zugangsdaten aber an die Angreifer. Mit diesen Daten haben Kriminelle Zugriff auf E-Mails - OneDrive - SharePoint und Teams.

Lieferketten-Phishing: Angreifer kompromittieren zuerst den E-Mail-Account eines Lieferanten und versenden dann authentisch wirkende Rechnungen mit geänderter Bankverbindung an dessen Kunden. Diese Angriffe sind besonders gefährlich - weil die E-Mails von einer echten - vertrauenswürdigen Adresse stammen.

Schritt-für-Schritt: Incident Response bei Phishing

  1. Sofort melden: Verdächtige E-Mail an die IT-Abteilung oder den MSP weiterleiten - nicht löschen
  2. Nicht klicken: Keine Links öffnen - keine Anhänge herunterladen - keine Antwort senden
  3. Passwörter ändern: Falls bereits geklickt wurde - sofort alle Passwörter ändern und MFA aktivieren
  4. Gerät isolieren: Bei Verdacht auf Malware-Download das Gerät vom Netzwerk trennen
  5. Forensik einleiten: Der MSP prüft Logs - identifiziert den Angriffsvektor und stellt sicher - dass keine weiteren Systeme betroffen sind
  6. Kommunikation: Betroffene Kollegen und ggf. Geschäftspartner informieren
  7. Nachbereitung: Vorfall dokumentieren - Schulung anpassen - technische Schutzmaßnahmen verschärfen

Phishing in Zahlen

  • 91 % aller Cyberangriffe beginnen mit einer Phishing-E-Mail (Verizon DBIR 2024)
  • Durchschnittlicher Schaden pro erfolgreichem Phishing-Angriff auf KMU: 120.000 Euro
  • 3 von 10 Mitarbeitern klicken ohne Schulung auf Phishing-Links
  • Nach professionellem Training sinkt die Klickrate auf unter 5 Prozent
  • Die Zahl der Phishing-Angriffe ist 2025 gegenüber 2023 um 58 Prozent gestiegen

Was du jetzt tun kannst

  1. Frage dich: Wie würde dein Team auf eine gut gemachte Phishing-E-Mail reagieren?
  2. Teste es: Wir führen eine kostenlose Phishing-Simulation für dein Unternehmen durch
  3. Handle: Implementiere grundlegende Schutzmaßnahmen - MFA - E-Mail-Sicherheit - Schulungen

Fazit

Phishing ist keine technische Spielerei - sondern die mit Abstand größte Bedrohung für Unternehmen jeder Größe. Mit der richtigen Kombination aus Technik - Schulung und Prozessen lässt sich das Risiko aber drastisch reduzieren.

Bei Baltaris schützen wir dein Unternehmen auf allen Ebenen - von der E-Mail-Sicherheit über Endpoint Protection bis hin zu Security-Awareness-Trainings für dein Team.

Du möchtest wissen - wie anfällig dein Unternehmen für Phishing ist? Wir führen eine kostenlose Phishing-Simulation durch und zeigen dir - wo die Schwachstellen liegen. Sprich uns an - unverbindlich und vertraulich.

Fragen zu diesem Thema?

Wir beraten dich gerne, kostenlos und unverbindlich. Lass uns gemeinsam schauen, wie wir dein Unternehmen schützen können.

Baltaris - Einfach. Sicher. Eure IT.
    RB

    Rouwen Behncke

    Geschäftsführer, Baltaris GmbH

    LinkedIn-Profil