1 | Was ist Phishing?
Phishing ist Social Engineering per E-Mail, SMS, Telefon oder Chat, mit dem Angreifer dich zu Klicks oder Dateneingaben verleiten, um Zugangsdaten, Geld oder sensible Informationen abzugreifen. Laut BSI steckt in rund jeder dritten Spam-Mail ein Phishing-Versuch; 62 % der Deutschen haben bereits bewusst eine Phishing-Mail erhalten (bsi.bund.de). Weltweit stiegen die dadurch verursachten Durchschnittskosten 2024 laut IBM/Ponemon auf 4,88 Mio. USD pro Vorfall – ein Plus von fast 10 % gegenüber 2023 (hoxhunt.com).
2 | Aktuelle Bedrohungslage
- Mehr Masse: Google blockiert täglich 15 Mrd. bösartige Mails und meldet 99,9 % Erfolgsquote – trotzdem verzeichnet das FBI +33 % Online-Betrugsfälle binnen eines Jahres (lifewire.com).
- Mehr Varianten: KnowBe4 beobachtet zwischen 09/2024 und 02/2025 einen 17,3 %-Anstieg von Phishing-Mails; die beliebtesten Köder-Marken sind DocuSign, PayPal, Microsoft, Google Drive und Salesforce (knowbe4.com).
- Mehr KI: 92 % der neuen Kampagnen sind polymorph und nutzen generative KI, um Texte permanent umzuschreiben (knowbe4.com).
3 | Taktiken auf einen Blick
| Methode | Kurz erklärt | Typisches Beispiel |
|---|---|---|
| E-Mail-Phishing | Massenversand mit gefälschten Links/Anhängen | „Ihr Microsoft-Konto läuft ab“ |
| Spear Phishing / Whaling | Zielgerichtet auf Einzelpersonen oder Führungskräfte | CEO bekommt „Angebot“ der Konkurrenz |
| BEC (Business-E-Mail-Compromise) | Konten / Threads gekapert, um Zahlungsdaten umzuleiten | Geänderte Lieferanten-IBAN |
| Smishing / Vishing | SMS bzw. Anruf mit Druck („Ihr Paket…“) | Link zur Zoll-Nachzahlung |
| Quishing (QR-Phish) | QR-Code führt auf Fake-Login | Code auf Meeting-Flyer |
| Clone-Phishing | Echte Mail kopiert, Link/Anhang ersetzt | „Aktualisierte Agenda.pdf“ |
4 | Erkennungsmerkmale – deine 30-Sekunden-Checkliste
- Absender prüfen: Tippfehler-Domains, seltsame Replay-Pfad-Adresse.
- Druck & Drohung: „Sofort handeln“, „Konto gesperrt“.
- Links hover-checken: zeigt die URL wohin, wohin sie soll?
- Dateianhänge: Unerwartete ZIPs/PDFs, Office-Makros.
- Sprache & Design: inkonsistente Logos, manipulierte Fußzeilen.
- Personalisierung: „Sehr geehrter Kunde“ bei internem Vorgang.
5 | Praxisbeispiele 2024/25
| Kampagne | Ziel | Trick | Learnings |
|---|---|---|---|
| „Change Healthcare“-E-Mail (01/2024) | US-Gesundheitsdienstleister | „Aktualisierte Zahlungs-OP-Liste“ verlinkt Malware | Vertraue keiner Office-Datei mit Makros |
| %Fake Bank Payment Notification% (03/2024) | KMU-Buchhaltung | ZIP-Archiv lädt Agent Tesla-Stealer | ZIP von Banken? Immer telefonisch rückfragen |
| „Jira Ticket“-Alarm (05/2025) | Entwickler | Gefaktes Cloud-Login klaut SSO-Token; 47 % Klickrate (caniphish.com) | SSO schützt nur mit MFA & FIDO-Key |
(Namen/Details leicht gekürzt – alle Fälle öffentlich dokumentiert.)
6 | Abwehr in der Praxis
Technisch
- SPF, DKIM, DMARC erzwingen – Reject-Policy statt Quarantine.
- E-Mail-Gateway / Sandboxing; Anhänge in der Cloud öffnen.
- MFA oder besser Hardware-Token / Passkeys überall aktivieren.
- Zero-Trust-Segmente: Kein direkter Zugriff von Mail-Servern auf Produktionsnetze.
Organisatorisch
- Vierteljährliches Awareness-Training mit realen Phish-Simulationen.
- „Vier-Augen-Prinzip“ bei Konto-/Zahlungsänderungen.
- Klare Meldewege: Phish-Button im Mail-Client > SOC-Ticket.
Individuell
- Passwort-Manager + eindeutige Passwörter.
- Private Mail getrennt von Firmen-Geräten.
- Öffentliche WLANs nur mit VPN.
7 | Wenn du hereingefallen bist – Sofortmaßnahmen
- Netz trennen: WLAN aus, LAN-Kabel ziehen.
- Passwort + MFA wechseln (alle Dienste).
- IT-Security informieren (Ticket, Hotline).
- System scannen oder neu aufsetzen lassen.
- Geschädigte Dritte warnen (z. B. Kundenliste).
- Anzeige erstatten (lokale Polizei / BKA-Zentrale).
8 | Cheat-Sheet (zum Ausdrucken)
1. Link prüfen: Mouse-Over ➜ Domain ok?
2. Absender logisch? 0 (null) vs. O, í vs. i?
3. Kein Zeitdruck akzeptieren – erst Rückruf!
4. Nie Anhänge aus unbekannten Quellen öffnen.
5. MFA nutzen, Passwörter nie doppelt!
9 | Take-aways
- Phishing ist billig für Angreifer, teuer für Unternehmen.
- Technik + Prozesse + Awareness sind gleich wichtig.
- 30-Sekunden-Check genügt oft, um 90 % der Phishs abzuwehren.