Phishing
Phishing bezeichnet den Versuch, mit gefälschten Nachrichten an Zugangsdaten, Zahlungen oder den Klick auf Schadsoftware zu gelangen. Die Nachricht gibt sich als vertrauenswürdiger Absender aus – als Bank, Lieferant, Kollege oder Dienstleister.
Phishing ist die verbreitetste Angriffsform des Social Engineering; die auf einzelne Personen zugeschnittene Variante heißt Spear-Phishing, die Sonderform mit gefälschter Chef-Anweisung CEO-Fraud.
In einfachen Worten
Ein Phishing-Angriff kombiniert drei Bausteine: einen gefälschten Absender, einen Vorwand und eine Forderung. Der Absender wirkt vertraut, weil der Anzeigename frei wählbar ist und die tatsächliche Domain oft nur bei genauem Hinsehen abweicht. Der Vorwand liefert den Anlass – eine angebliche Rechnung, eine Kontosperrung, eine Paketbenachrichtigung. Die Forderung zielt fast immer auf eine von vier Handlungen: Zugangsdaten auf einer nachgebauten Anmeldeseite eingeben, eine Zahlung ausführen, Stammdaten ändern oder einen Anhang öffnen. Generative KI hat die Qualität dieser Nachrichten deutlich angehoben: Ein Sprachmodell formuliert fehlerfrei, trifft den branchenüblichen Ton und hält bei Rückfragen einen glaubwürdigen Dialog durch. Rechtschreibung und Grammatik taugen deshalb nicht mehr als Warnsignal. Verlässlich prüfbar bleiben die Merkmale außerhalb der Sprache: die Domain hinter dem Anzeigenamen, das tatsächliche Ziel eines Links, ungewöhnlicher Zeitdruck und jede Abweichung vom eingespielten Ablauf einer Geschäftsbeziehung. Als Teilgebiet des Social Engineering nutzt der Angriff die Entscheidung eines Menschen als Einfallstor.
Wozu brauche ich das?
Für Betriebe zählt eine zweistufige Verteidigung. Die technische Schicht senkt die Menge: E-Mail-Authentifizierung erschwert gefälschte Absender, ein Filter fängt Massenware ab, und eine Zwei-Faktor-Authentifizierung nimmt einem erbeuteten Passwort den Wert. Die organisatorische Schicht fängt die Angriffe ab, die technisch unauffällig bleiben: Jede Aufforderung zu Zahlung, Datenherausgabe oder Stammdaten-Änderung wird über einen zweiten, bereits vertrauten Kanal bestätigt, und verdächtige Nachrichten haben einen benannten, formlos erreichbaren Meldeweg. Beide Schichten zusammen begrenzen die Tragweite eines einzelnen unbedachten Klicks.
Beispiel aus der Praxis
Die Buchhalterin eines Maschinenbauers erhält eine Mail, die eine offene Rechnung eines langjährigen Zulieferers anmahnt und eine geänderte Bankverbindung nennt. Absender, Projektbezug und Tonfall wirken stimmig – die Details stammen aus öffentlich einsehbaren Quellen, wie es für Spear-Phishing typisch ist. Statt zu überweisen ruft die Buchhalterin den Zulieferer unter der im System hinterlegten Nummer an; dort ist keine Kontoänderung bekannt. Der Betrugsversuch endet an einer Regel, die weder von der Sprachqualität der Mail noch von der Tagesform im Posteingang abhängt.
Wirtschaftlicher Nutzen
Phishing verursacht Schäden in mehreren Stufen: direkte Zahlungsabflüsse, gekaperte Konten, verschlüsselte Systeme nach einem geöffneten Anhang – und danach Aufarbeitung, Meldepflichten und Vertrauensverlust bei Kunden. Die Gegenmaßnahmen sind im Verhältnis dazu günstig, weil sie überwiegend aus Konfiguration und festen Abläufen bestehen. Den größten Hebel bietet die Phishing-resistente Authentifizierung: Wo ein Passkey die Anmeldung kryptografisch an die legitime Dienst-Adresse koppelt, verliert die nachgebaute Anmeldeseite ihren Zweck.
Typische Fehler
- Die Erkennung allein an der Sprachqualität festmachen – fehlerfreies Deutsch belegt seit generativer KI nichts mehr.
- Nur den Anzeigenamen des Absenders prüfen, obwohl allein die Domain dahinter aussagekräftig ist.
- Anmeldeseiten über den Link in der Nachricht öffnen, statt die Adresse selbst einzutippen oder das Lesezeichen zu nutzen.
- Eile und Geheimhaltungs-Bitten nachgeben, obwohl genau sie die klärende Rückfrage unterbinden sollen.
- Gemeldete Fehlalarme kritisieren – danach meldet niemand mehr, und echte Vorfälle bleiben länger unentdeckt.
Worauf achten?
- Die Absender-Domain und das Linkziel prüfen, bevor eine Nachricht mit Zahlungs- oder Datenbezug beantwortet wird.
- Zahlungen, Bankdaten-Änderungen und Datenherausgaben grundsätzlich über einen zweiten, vertrauten Kanal rückbestätigen.
- Einen formlosen Meldeweg für verdächtige Nachrichten benennen und jede Meldung kurz beantworten – auch Fehlalarme.
- Kritische Konten mit Zwei-Faktor-Authentifizierung oder einem Passkey absichern, damit erbeutete Passwörter allein nichts öffnen.
- Das Team mehrmals im Jahr kurz und anhand echter Beispiele sensibilisieren statt einmal jährlich ausführlich.
Häufig gestellte Fragen
Was ist Phishing?
Ein Betrugsversuch über gefälschte Nachrichten, die einen vertrauten Absender vortäuschen. Ziel ist fast immer eine von vier Handlungen: Zugangsdaten eingeben, eine Zahlung ausführen, Stammdaten ändern oder einen Anhang öffnen.
Woran erkennt man eine Phishing-Mail heute?
An Merkmalen außerhalb der Sprache: der tatsächlichen Domain hinter dem Anzeigenamen, dem echten Ziel eines Links, ungewöhnlichem Zeitdruck und Abweichungen vom eingespielten Ablauf – etwa einer plötzlich anderen Bankverbindung. Fehlerfreies Deutsch sagt über die Echtheit nichts aus.
Was tun, wenn jemand hereingefallen ist?
Betroffene Passwörter sofort ändern, die IT informieren und das Gerät bis zur Klärung vom Netz trennen. Bei ausgelöster Zahlung umgehend die Bank kontaktieren. Ob Meldepflichten bestehen, klärt der Betrieb mit seiner Rechtsberatung – wichtig ist ein offener Umgang, damit schnell reagiert wird.
Hilft ein Spam-Filter gegen Phishing?
Gegen Massenware ja. Individuell zugeschnittene Angriffe passieren Filter häufig, weil sie ohne auffällige Merkmale auskommen – sauberer Text, unauffälliger Absender, zunächst kein Link. Für diese Fälle braucht es feste Prüf- und Bestätigungsregeln im Betrieb.