Web-Entwicklung

Spear-Phishing

Spear-Phishing bezeichnet gezieltes Phishing gegen eine ausgewählte Person oder Rolle im Betrieb: Die Nachricht ist mit echten Namen, Projekten und Zuständigkeiten personalisiert und liest sich wie reguläre Geschäftspost.

Spear-Phishing ist die personalisierte Stufe des Phishing; richtet sich die gefälschte Anweisung scheinbar von der Geschäftsführung an die Buchhaltung, spricht man von CEO-Fraud.

In einfachen Worten

Vom breit gestreuten Phishing unterscheidet sich der Angriff durch die Vorarbeit. Vor dem Versand sammelt der Angreifer, was über den Betrieb öffentlich verfügbar ist: Team-Seite und Zuständigkeiten auf der Website, Einträge in Registern, Stellenanzeigen mit Hinweisen auf die eingesetzte Software, Beiträge in Berufsnetzwerken, Abwesenheitsnotizen mit Vertretungsregelung. KI-Werkzeuge verdichten diese Fundstücke in kurzer Zeit zu einem stimmigen Profil und formulieren daraus eine Nachricht, die exakt zur Empfängerin passt – richtiger Name, reales Projekt, plausibler Anlass. Bevorzugte Ziele sind Funktionen mit Zugriff auf Geld und Daten: Buchhaltung, Einkauf, Personalabteilung, Assistenz. Die Personalisierung erzeugt beim Empfänger den Eindruck, nur ein echter Geschäftspartner könne diese Details kennen – dabei stammen sie aus frei zugänglichen Quellen. Interne Systeme müssen für einen überzeugenden Angriff nicht kompromittiert sein.

Wozu brauche ich das?

Die Abwehr setzt an zwei Punkten an. Erstens beim eigenen Informations-Fußabdruck: Ein Betrieb muss sichtbar sein, sollte aber wissen, welche Angaben öffentlich stehen – denn genau dort bedient sich die Personalisierung. Abwesenheitsnotizen nach außen etwa brauchen weder Rückkehrdatum noch Vertretungskette. Zweitens bei festen Abläufen für kritische Aktionen: Weil die Nachricht selbst unauffällig bleibt, greift die Prüfung am Vorgang – Rückbestätigung über einen bekannten Kanal und ein Vier-Augen-Prinzip für Freigaben ab definierter Schwelle.

Beispiel aus der Praxis

Die Personalabteilung eines Logistikbetriebs schreibt eine Lagerlogistik-Stelle aus. Wenige Tage später erhält sie eine Bewerbung, die sich präzise auf die Anzeige bezieht und die Unterlagen über einen Link zu einem Cloud-Dokument bereitstellt. Der Link führt auf eine nachgebaute Anmeldeseite, die das Postfach-Passwort abgreifen soll. Auffällig ist an der Mail nichts – erst die Regel, Anmeldemasken nie über zugesandte Links zu öffnen, stoppt den Versuch. Die Stellenanzeige hat dem Angreifer Thema, Ansprechpartner und Zeitfenster geliefert.

Wirtschaftlicher Nutzen

Spear-Phishing lohnte sich lange nur gegen große Ziele, weil die Recherche Zeit kostete. Generative Werkzeuge haben diese Rechnung verändert: Personalisierung entsteht in Masse, und damit geraten auch kleine Betriebe ins Raster – gerade dort, wo Zahlungen ohne zweite Freigabe möglich sind. Wirtschaftlich zählt deshalb die Robustheit der Abläufe. Technische Bausteine wie E-Mail-Authentifizierung und phishing-resistente Anmeldeverfahren begrenzen den Schaden; die eskalierte Form des gezielten Angriffs, der CEO-Fraud, scheitert an einer konsequent gelebten Rückbestätigungs-Regel.

Typische Fehler

  • Personalisierung als Echtheitsbeleg werten – Name, Funktion und Projektbezug stammen häufig aus öffentlichen Quellen.
  • Die eigene Außendarstellung nie daraufhin sichten, welche Ansatzpunkte sie liefert – von der Team-Seite bis zur Stellenanzeige.
  • Rollen mit Zahlungs- und Datenzugriff nicht besonders schützen, obwohl sie bevorzugt angegriffen werden.
  • Harmlos wirkende Erstnachrichten ohne Link und Anhang unterschätzen – der eigentliche Angriff folgt oft erst im Dialog.
  • Nach einem abgewehrten Versuch keine Team-Info geben, sodass dieselbe Masche beim nächsten Postfach erneut ankommt.

Worauf achten?

  • Bei unerwarteten Nachrichten mit Zahlungs- oder Datenbezug den Vorgang prüfen: Passt die Forderung zum vereinbarten Ablauf?
  • Externe Abwesenheitsnotizen auf das Nötigste beschränken; Rückkehrdatum und Vertretungskette bleiben intern.
  • Für Buchhaltung, Einkauf und Personal eine verbindliche Rückbestätigung über einen zweiten Kanal festlegen.
  • Eingehende Bewerbungs- und Rechnungs-Links besonders kritisch behandeln – sie sind häufige Träger nachgebauter Anmeldeseiten.
  • Abgewehrte Angriffe intern anonymisiert teilen – ein realer Fall aus dem eigenen Haus prägt stärker als jede Musterfolie.

Häufig gestellte Fragen

Was ist Spear-Phishing?

Gezieltes Phishing gegen eine ausgewählte Person oder Funktion. Die Nachricht ist mit echten Details personalisiert – Name, Projekt, Zuständigkeit – und dadurch deutlich schwerer als Fälschung zu erkennen als eine Massen-Mail.

Woher stammen die persönlichen Details in solchen Mails?

Überwiegend aus frei zugänglichen Quellen: der eigenen Website, Registern, Stellenanzeigen, Berufsnetzwerken und Abwesenheitsnotizen. KI-Werkzeuge fügen diese Einzelinformationen schnell zu einem stimmigen Profil zusammen.

Welche Mitarbeitenden sind besonders betroffen?

Funktionen, bei denen Geld und Daten zusammenlaufen: Buchhaltung, Einkauf, Personalabteilung und Assistenzen. Dort genügt eine einzige ausgeführte Forderung – eine Überweisung, eine Stammdaten-Änderung, ein geöffneter Anhang – für erheblichen Schaden.

Schützt Technik gegen Spear-Phishing?

Teilweise. E-Mail-Authentifizierung und Mehr-Faktor-Verfahren begrenzen den Schaden, doch die individuell geschriebene Nachricht selbst passiert Filter häufig. Den Rest leisten feste Abläufe: Rückbestätigung über einen bekannten Kanal und zweite Freigabe bei kritischen Aktionen.