Phishing.

Phishing ist der Social-Engineering-Angriff, der einen Benutzer dazu verleitet, auf einen schädlichen Link zu klicken, eine schädliche Datei zu öffnen oder Zugangsdaten preiszugeben. Varianten: Spear-Phishing (gezielt), Whaling (Führungskräfte), Smishing (SMS), Vishing (Sprache), BEC (Business Email Compromise). Schulungen sind wichtig; Phishing-resistente MFA ist noch wichtiger.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

Die Einschätzung der Cyber Academy

Phishing ist der Social-Engineering-Angriff, der einen Benutzer dazu verleitet, auf einen schädlichen Link zu klicken, eine schädliche Datei zu öffnen oder Zugangsdaten preiszugeben. Varianten: Spear-Phishing (gezielt), Whaling (Führungskräfte), Smishing (SMS), Vishing (Sprache), BEC (Business Email Compromise). Schulungen sind wichtig; Phishing-resistente MFA ist noch wichtiger.

Warum Phishing der dominierende Einstiegspunkt bleibt

Phishing besteht fort, weil es die Person angreift, nicht den Perimeter. Jede andere Kontrolle kann perfekt konfiguriert sein, und dennoch braucht der Angreifer nur einen einzigen Mitarbeiter, der auf einen Link klickt, eine Datei öffnet oder ein Passwort in eine überzeugende Fälschung eingibt. Die Nachricht trifft über einen vertrauenswürdigen Kanal ein, meist E-Mail, aber zunehmend auch SMS und Sprache, und übernimmt das Aussehen und den Tonfall einer Marke, eines Kollegen oder eines internen Systems, von dem das Opfer ohnehin etwas erwartet.

Da die Nutzlast oft hinter einer frisch registrierten Domain oder einer legitim wirkenden Cloud-Anmeldeseite liegt, kommen signaturbasierte Filter und Reputationslisten häufig zu spät. Auch die Ökonomie begünstigt den Angreifer: Eine einzige Vorlage lässt sich nahezu kostenlos an Tausende Empfänger streuen, und ein einziger Erfolg kann Zugangsdaten liefern, die alles Übrige aufschließen.

Worauf Praktiker achten, ist die Verschiebung von Masse zu Präzision. Massen-Phishing ist ein weites Netz, aber die kostspieligen Vorfälle beginnen meist mit einer maßgeschneiderten Nachricht, die ihre Hausaufgaben zu Ziel, Organigramm und Zeitpunkt erkennbar gemacht hat.

Die in der Praxis relevanten Varianten

Phishing ist eine Familie, nicht eine einzelne Technik. Die Logik des Social Engineering bleibt konstant, während Kanal und Ziel sich ändern.

  • Spear Phishing: eine gezielte Nachricht, die für eine bestimmte Person oder ein bestimmtes Team gestaltet ist und echte Namen, Projekte und Kontext nutzt, um den Argwohn zu senken.
  • Whaling: Spear Phishing, das auf Führungskräfte und andere hochwertige Freigebende abzielt, bei denen ein einziges kompromittiertes Konto übermäßige Autorität trägt.
  • Smishing: per SMS zugestelltes Phishing, oft eine gefälschte Liefer-, Bank- oder MFA-Zurücksetzungs-Aufforderung, die den kleineren Bildschirm und die Gewohnheit ausnutzt, Textnachrichten zu vertrauen.
  • Vishing: Phishing per Sprachanruf, bei dem ein Angreifer das Opfer in Echtzeit unter Druck setzt, zunehmend unterstützt durch gefälschte Rufnummern und synthetische Audioinhalte.
  • Business email compromise: ein Pretexting-Untertyp, der Zahlungs- und Datenprozesse direkt ins Visier nimmt, in der Regel ganz ohne bösartigen Link oder Anhang.

Was das Risiko tatsächlich senkt

Sensibilisierungsschulungen sind notwendig, aber nicht ausreichend. Menschen werden immer in einem gewissen Anteil der Fälle klicken, daher besteht das Ziel darin, den Wert eines Klicks zu beseitigen, anstatt von den Nutzern Perfektion zu verlangen. Die entscheidende technische Kontrolle ist phishing-resistente Multi-Faktor-Authentifizierung, also Faktoren, die an die legitime Domain gebunden sind, etwa FIDO2-Sicherheitsschlüssel oder Passkeys, die eine gefälschte Anmeldeseite nicht wiedergeben kann. Dahinter liegen in Schichten die Kontrollen, die abfangen, was durchrutscht.

  • Phishing-resistente MFA auf jedem Konto, das zählt, sodass ein abgegriffenes Passwort allein nicht zur Anmeldung ausreicht.
  • E-Mail-Authentifizierung mit SPF, DKIM und DMARC, um die Kosten des Domain-Spoofings zu erhöhen, kombiniert mit einem sicheren E-Mail-Gateway und Link-Rewriting oder Sandboxing.
  • Kontinuierliche, szenariobasierte Sensibilisierungsschulung plus simuliertes Phishing, gemessen, um sich im Laufe der Zeit zu verbessern, statt Einzelne zu bestrafen.
  • Eine reibungslose Meldeschaltfläche und ein schneller Reaktionsprozess, denn die Menschen, die melden, sind das Frühwarnsystem für jene, die geklickt haben.

Wo Phishing in Normen und Regulierung verortet ist

Phishing liegt voll im Anwendungsbereich eines Informationssicherheits-Managementsystems. In einem ISMS nach ISO/IEC 27001 kombiniert die einschlägige Behandlung Sensibilisierungsschulung, Zugriffskontrolle und die technischen E-Mail- und Authentifizierungskontrollen, allesamt durch Risikobeurteilung ausgewählt statt reflexhaft angeheftet. Europäische Leitlinien der ENISA und nationaler Behörden wie der ANSSI ordnen Phishing durchgängig unter die wichtigsten Techniken des Erstzugriffs ein und veröffentlichen praktische Gegenmaßnahmen.

Wenn ein erfolgreiches Phishing personenbezogene Daten offenlegt, etwa über ein kompromittiertes Postfach, kann es auch Pflichten zur Meldung einer Verletzung des Schutzes personenbezogener Daten nach der GDPR auslösen, was bedeutet, dass die Rechtsabteilung und die Datenschutzfunktion neben IT und Sicherheit in den Reaktionsplan gehören.

Für Praktiker lautet die Lehre, dass die Phishing-Abwehr geschichtet und geteilt ist. Kein einzelnes Werkzeug und keine Sensibilisierungskampagne schließt sie allein. Die belastbare Haltung kombiniert Menschen, Prozesse und Authentifizierungsdesign, sodass ein Klick, der irgendwann erfolgen wird, nicht zu einer Verletzung wird.

Frequently asked questions

01Was ist der Unterschied zwischen Phishing und Spear Phishing?

Phishing ist die breite Kategorie von Social-Engineering-Nachrichten, die weit gestreut werden, um Klicks oder Zugangsdaten abzugreifen. Spear Phishing ist eine gezielte Variante, die für eine bestimmte Person oder ein bestimmtes Team gestaltet ist und echte Namen, Projekte und Kontext nutzt, um den Argwohn zu senken und die Erfolgsquote zu erhöhen.

02Stoppt Multi-Faktor-Authentifizierung Phishing?

Gewöhnliche MFA hilft, kann aber gephisht oder in Echtzeit weitergeleitet werden. Phishing-resistente MFA, etwa FIDO2-Sicherheitsschlüssel oder an die legitime Domain gebundene Passkeys, ist das, was Credential-Phishing zuverlässig vereitelt, weil eine gefälschte Anmeldeseite den Faktor nicht wiedergeben kann.

03Reicht Sensibilisierungsschulung aus, um Phishing zu verhindern?

Nein. Schulung senkt die Klickrate, beseitigt sie aber nie, daher muss sie mit technischen Kontrollen kombiniert werden. Das Ziel ist, den Wert eines Klicks durch phishing-resistente MFA, E-Mail-Authentifizierung und schnelles Melden zu beseitigen, nicht eine perfekte menschliche Firewall zu verlangen.

04Was sind Smishing und Vishing?

Smishing ist per SMS zugestelltes Phishing, oft eine gefälschte Liefer-, Bank- oder MFA-Zurücksetzungs-Aufforderung. Vishing ist Phishing per Sprachanruf, bei dem ein Angreifer in Echtzeit Druck ausübt, zunehmend unterstützt durch gefälschte Anrufer-IDs und synthetische Audioinhalte.

05Kann ein Phishing-Vorfall eine meldepflichtige Datenschutzverletzung sein?

Ja. Wenn ein erfolgreiches Phishing personenbezogene Daten offenlegt, etwa über ein kompromittiertes Postfach, kann es Pflichten zur Meldung einer Verletzung des Schutzes personenbezogener Daten nach der GDPR auslösen. Der Reaktionsplan sollte die Rechtsabteilung und die Datenschutzfunktion neben IT und Sicherheit einbeziehen.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.