Phishing Awareness
Phishing verstehen – Einordnung der Angriffsmethoden
Cyberangriffe gehören heute zum Alltag jeder Organisation. Phishing zählt weiterhin zu den erfolgreichsten Angriffsmethoden, da es primär menschliches Vertrauen imitiert, Druck erzeugt und reale Arbeitsabläufe nachbildet – nicht primär technische Schwachstellen ausnutzt. Ziel ist häufig nicht nur der unmittelbare Datendiebstahl, sondern der Einstieg in Identitätssysteme und Geschäftsprozesse.
Phishing ist daher weniger ein isoliertes technisches Problem als vielmehr eine organisatorische Herausforderung. Entscheidend ist, dass Mitarbeitende Angriffe erkennen, korrekt reagieren und Unsicherheiten frühzeitig melden. Grundlage dafür ist das Verständnis der unterschiedlichen Phishing-Formen, ihrer typischen Merkmale sowie geeigneter Präventionsmassnahmen.
Praxisguide
Phishing als strategische Sicherheitsherausforderung
Digitale Zusammenarbeit, Cloud-Dienste und mobile Arbeitsmodelle haben Kommunikationsprozesse erheblich beschleunigt – und gleichzeitig die Angriffsfläche für Cyberkriminelle erweitert. Phishing hat sich dabei zu einer der zentralen Bedrohungen entwickelt, da Angriffe gezielt menschliche Entscheidungsprozesse adressieren und nicht ausschliesslich technische Schwachstellen ausnutzen.
Das Anti-Phishing Working Group (APWG) berichtet im Phishing Activity Trends Report Q4 2024, dass die Zahl der weltweiten Phishing-Angriffe weiter steigt. Im zweiten Quartal wurden 877’536 Vorfälle registriert, im dritten Quartal 932’923 und im vierten Quartal schliesslich 989’123 (APWG, 2024, S. 2).
Auch aktuelle Studien unterstreichen diese Entwicklung: Der Data Breach Investigations Report 2024 von Verizon zeigt, dass 76% aller Sicherheitsverletzungen einen menschlichen Faktor enthalten (Verizon, 2024, S. 13).
Laut der Studie State of the Phish 2024 von Proofpoint berichten 75 % der Organisationen jährlich mindestens einen Phishing-Vorfall (Proofpoint, 2024, Europa und Naher Osten, S. 1).
Organisationen stehen daher vor der Herausforderung, Phishing ganzheitlich zu betrachten: Neben technischen Schutzmechanismen spielen Awareness, klare Prozesse und organisatorische Kontrollen eine zentrale Rolle. Im Fokus steht zunehmend die Absicherung von Identitäten und Entscheidungsabläufen.
Motivation und Akteure
Phishing ist primär wirtschaftlich motiviert. Zugangsdaten, Zahlungsinformationen oder interne Systeme lassen sich direkt monetarisieren oder als Ausgangspunkt für weiterführende Angriffe – etwa Ransomware oder Business E-Mail Compromise (BEC) – nutzen.
Hinter Phishing stehen häufig organisierte Cybercrime-Gruppen, die arbeitsteilig agieren und Angriffswerkzeuge auch für unerfahrene Cyberkriminelle als Dienstleistung anbieten („Phishing-as-a-Service“). Durch Automatisierung und den Einsatz künstlicher Intelligenz sinken die Einstiegshürden, während Angriffe skalierbarer und schwerer erkennbar werden.
Auswirkungen eines erfolgreichen Phishing-Angriffs
Die Folgen reichen von kompromittierten Benutzerkonten über finanzielle Schäden bis hin zu umfangreichen Sicherheitsvorfällen. Besonders kritisch ist der Zugriff auf Identitäten und interne Systeme, da diese weitere Angriffe ermöglichen.
Oft entsteht der eigentliche Schaden nicht durch den initialen Datendiebstahl, sondern durch die anschliessende Eskalation innerhalb der IT-Umgebung oder von Geschäftsprozessen – beispielsweise durch manipulierte Rechnungen oder verdeckte Kommunikation. Neben direkten Kosten entstehen häufig auch Betriebsunterbrechungen und Reputationsschäden, die regulatorische Konsequenzen nach sich ziehen können.
Phishing darf daher nicht als Einzelfall betrachtet werden, sondern als dauerhafte Bedrohung, die kontinuierliche Sensibilisierung erfordert.
KI-gestütztes Phishing – die nächste Evolutionsstufe
Mit der zunehmenden Verfügbarkeit generativer KI verändern sich Phishing-Angriffe grundlegend. Inhalte können automatisiert, personalisiert und sprachlich fehlerfrei erstellt werden. Klassische Warnsignale wie Rechtschreibfehler oder unnatürliche Formulierungen verlieren dadurch an Bedeutung.
Angreifer analysieren grosse Mengen öffentlich verfügbarer Informationen und passen Nachrichten gezielt auf einzelne Personen oder Rollen an. E-Mails wirken dadurch glaubwürdiger, beziehen sich auf reale Projekte oder imitieren interne Kommunikationsstile. Diese Entwicklung verstärkt insbesondere Spear-Phishing-Angriffe.
Auch die ENISA beschreibt in der Threat Landscape 2025, dass der vorhersehbare Einsatz von KI die Qualität und Skalierbarkeit von Social-Engineering-Angriffen erheblich steigert (ENISA, 2025, S. 15).
Besonders deutlich zeigt sich dies beim Voice-Cloning: Bereits wenige Minuten öffentlich verfügbarer Audioaufnahmen reichen aus, um Stimmen überzeugend zu synthetisieren. Proofpoint berichtet, dass 70 % der Organisationen in Europa und im Nahen Osten bereits Voice-Phishing-Versuche erlebt haben (Proofpoint, 2024, Europa und Naher Osten, S. 1).
Für Organisationen bedeutet dies: Klassische Checklisten allein genügen nicht mehr. Vertrauen verschiebt sich zunehmend – weg von einzelnen Personen, hin zu klar definierten und konsequent eingehaltenen Prozessen. Dazu zählen das Vier-Augen-Prinzip bei Zahlungen, verbindliche Verifikationswege, Rückrufprozesse und klare Stop-Regeln. Gleichzeitig braucht es eine Unternehmenskultur, in der Rückfragen ausdrücklich erwünscht sind.
KI verändert nicht die grundlegende Logik von Phishing, erhöht jedoch dessen Skalierbarkeit, Personalisierung und Glaubwürdigkeit erheblich. Awareness und konsequente Prozesssicherheit gewinnen dadurch weiter an Bedeutung.
Schutz vor KI-Phishing durch ein Managed SOC
Cyberbedrohungen werden komplexer und dynamischer. Um Angriffe frühzeitig zu erkennen und wirksam zu begrenzen, braucht es Transparenz über sicherheitsrelevante Ereignisse – rund um die Uhr.
Unser Managed Security Operations Center (SOC), betrieben gemeinsam mit Arctic Wolf, überwacht Ihre IT-Umgebung 24/7. Log-Daten werden zentral korreliert und kontinuierlich analysiert, sodass Anomalien und Bedrohungen frühzeitig identifiziert werden – bevor ein geschäftskritischer Vorfall entsteht.
Möchten Sie Ihre Sicherheitsüberwachung professionalisieren? Sprechen Sie mit unseren Experten und vereinbaren Sie ein unverbindliches Beratungsgespräch.
E-Mail-Phishing – der klassische Einstiegspunkt
E-Mail-Phishing ist nach wie vor die verbreitetste Angriffsform. Angreifer versenden Nachrichten, die legitime Absender imitieren, etwa interne Abteilungen, Lieferanten oder bekannte Online-Dienste. Ziel ist meist die Eingabe von Zugangsdaten, das Öffnen eines Anhangs oder das Ausführen eines Downloads.
Typische Hinweise sind gefälschte Absenderadressen, unpersönliche Anreden oder unerwartete Anhänge in ungewöhnlichen Formaten. Häufig erzeugen die Nachrichten Zeitdruck oder enthalten Drohungen, etwa eine angebliche Kontosperre. Auch inkonsistente Sprache, verschleierte Links oder Aufforderungen zur Umgehung bestehender Prozesse sind klare Warnsignale.
Ein häufiges Muster ist die manipulierte Lieferantenkommunikation. Angreifer kompromittieren das Konto eines Lieferanten, beobachten laufende Projekte und versenden anschließend eine scheinbar legitime Mitteilung zur Änderung der IBAN. Da Kontext und Historie stimmig erscheinen, greifen klassische Warnsignale häufig nicht. Entscheidend sind hier klare Prozesskontrollen, etwa eine verpflichtende telefonische Rückbestätigung bei Änderungen von Stammdaten.
Oft treten nur wenige dieser Merkmale gleichzeitig auf. Umso wichtiger ist das kritische Hinterfragen der Plausibilität: Wird die Nachricht tatsächlich erwartet? Ist der Ablauf logisch und passt er zu den bekannten Prozessen? Im Zweifel sollte der Absender über einen alternativen Kommunikationsweg verifiziert oder Unterstützung durch Kolleginnen und Kollegen beziehungsweise die IT eingeholt werden.
E-Mail Security von xorlab
Moderne Phishing-Angriffe umgehen klassische Spam- und Virenfilter, indem sie gezielt auf Kontext, Vertrauen und menschliche Entscheidungsprozesse setzen.
Mit unserer E-Mail-Security-Lösung auf Basis von Xorlab verfolgen wir einen mehrschichtigen, präventiven Ansatz. Die Plattform analysiert Kommunikationsmuster, Inhalte, Links und Anhänge kontextbasiert und erkennt Anomalien mittels Machine Learning. So werden gezielte und personalisierte Angriffe blockiert, bevor sie den Posteingang Ihrer Mitarbeitenden erreichen.
Möchten Sie Ihre E-Mail-Kommunikation nachhaltig absichern? In einem unverbindlichen Gespräch zeigen wir Ihnen gerne, wie xorlab Ihre E-Mail-Systeme zuverlässig schützt und Ihre Organisation vor Bedrohungen wie Phishing und Malware bewahrt.
Web-Phishing – gefälschte Webplattformen als Datensammler
Beim Web-Phishing werden Nutzer auf täuschend echte Login- oder Service-Seiten geleitet. Diese imitieren bekannte Plattformen und zielen darauf ab, die Identität, Zugangsdaten oder Zahlungsinformationen abzugreifen.
Auffällig sind häufig leicht veränderte URLs, fehlende oder ungewöhnliche HTTPS-Verschlüsselung oder Login-Seiten, die unerwartet erscheinen. Fehlende rechtliche Angaben, unprofessionelles Design oder ungewöhnlich viele abgefragte Daten sind weitere Hinweise, aber auch hier steigt die Qualität und damit Glaubwürdigkeit. Sogar Suchmaschinenanzeigen können ein Risiko darstellen, da gesponserte Ergebnisse gelegentlich auf manipulierte Seiten führen.
Als Schutzmassnahme gilt, Websites nicht über E-Mail-Links zu öffnen, sondern Adressen manuell einzugeben. Browser-Warnmeldungen sollten ernst genommen, Werbeanzeigen erkannt und gemieden werden, und bei Unsicherheiten ist eine Rücksprache mit der IT-Abteilung sinnvoll.
Smishing – wachsender zweiter Einstiegspunkt
Smishing überträgt das Phishing-Prinzip auf mobile Kommunikationskanäle. Nachrichten suggerieren etwa Zustellprobleme bei Paketen oder Sicherheitsprobleme bei Konten und enthalten meist einen Link zur weiteren Aktion.
Typisch sind unbekannte oder ausländische Rufnummern, verkürzte oder kryptische Links sowie Nachrichten ohne erkennbaren Kontext. Ungewöhnliche Grammatik, falsche Firmennamen oder Aufforderungen zur Installation einer App sind weitere Warnsignale.
Grundsätzlich sollten Links in SMS und Messenger-Dienste nicht angeklickt und Apps nicht über solche Nachrichten installiert werden. Stattdessen empfiehlt es sich, offizielle Apps oder Websites direkt aufzurufen und verdächtige Nachrichten an die IT-Abteilung zu melden.
Quishing – unterschätzt mit hoher Erfolgsquote
Mit der zunehmenden Verbreitung von QR-Codes hat sich eine weitere Angriffsform etabliert. Beim sogenannten Quishing führen manipulierte Codes auf gefälschte Webseiten oder lösen direkte Login- beziehungsweise Zahlungsaufforderungen aus.
Manipulationen sind etwa durch überklebte Originalcodes in Büros, Hotel oder Parkhäusern, ungewöhnliche Platzierungen oder fehlende Hinweise auf das Ziel erkennbar. Nach dem Scannen sollte deshalb stets die angezeigte URL geprüft werden, bevor Daten eingegeben werden. Auch Aufforderungen zur App-Installation sind kritisch zu betrachten.
Im Zweifel ist es sicherer, die offizielle Website manuell aufzurufen oder den Code gar nicht zu scannen.
Unterstützung dank Service Desk Services
Ein stabiler IT-Betrieb erfordert schnelle Reaktionszeiten und klare Zuständigkeiten – auch bei begrenzten internen Ressourcen. Unser Service Desk fungiert als zentrale, jederzeit erreichbare Anlaufstelle und entlastet Ihre IT-Teams nachhaltig.
Wir integrieren uns nahtlos in Ihre Betriebsabläufe, übernehmen die strukturierte Ticketverarbeitung und sorgen während der Geschäftszeiten wie auch im Notfall für klare Eskalationswege und definierte Reaktionszeiten.
Möchten Sie die Verfügbarkeit Ihrer IT-Services erhöhen? Gerne zeigen wir Ihnen in einem unverbindlichen Gespräch, wie unser Service Desk Ihre Organisation optimal unterstützt.
Voice-Phishing – Telefonbetrug und KI-gestützte Stimmen
Beim sogenannten Vishing erfolgt der Angriff telefonisch. Anrufer geben sich als Führungskräfte, IT-Mitarbeitende oder Behörden aus und versuchen, vertrauliche Informationen, Freigaben oder Überweisungen zu erlangen.
Charakteristisch sind Zeitdruck, emotionale Manipulation und Forderungen nach sensiblen Daten. In modernen Angriffsszenarien kommen zudem KI-generierte Stimmen zum Einsatz, die bekannte Personen mittels Voice-Cloning imitieren können. Hinweise darauf sind leicht unnatürliche Sprachmuster, Verzögerungen oder die Weigerung, einen Rückruf zu akzeptieren.
Als Grundregel gilt, sensible Informationen niemals telefonisch weiterzugeben und keine spontanen Zahlungen durchzuführen. Gespräche sollten beendet und die Identität über bekannte Kontaktwege überprüft werden. Das Vier-Augen-Prinzip sowie die Information der IT oder von Vorgesetzten sind zentrale Schutzmassnahmen.
Grundlegende Schutzprinzipien – unsere Einordnung
Unabhängig von der Angriffsform gelten einige übergreifende Prinzipien. Nachrichten sollten stets auf ihre Plausibilität geprüft werden, insbesondere wenn Zeitdruck aufgebaut wird. Sensible Daten dürfen nicht leichtfertig weitergegeben werden, und Absender sollten über offizielle Kanäle verifiziert werden.
Eine enge Zusammenarbeit mit Kolleginnen, Kollegen und IT-Teams ist entscheidend. Verdachtsfälle sollten gemeldet statt ignoriert werden, und im Zweifel ist es sinnvoll, Prozesse zu stoppen, bis Klarheit besteht.
Technisch bildet die konsequente Nutzung von Zwei-Faktor-Authentifizierung eine der wirksamsten Schutzmassnahmen, da kompromittierte Zugangsdaten allein nicht mehr ausreichen.
Awareness als kontinuierlicher Prozess
Phishing lässt sich nicht vollständig verhindern, aber wirksam kontrollieren. Erfolgreiche Organisationen verbinden Technologie, klare Abläufe und kontinuierliche Sensibilisierung der Mitarbeitenden.
Wirksam sind insbesondere simulationsbasierte Awareness-Trainings, rollenbasierte Szenarien und Meldeprozesse, die Unsicherheit reduzieren und schnelle Reaktionen zu ermöglichen. Ziel ist nicht perfekte Erkennung, sondern resiliente Reaktion.
Unsere Experten unterstützen Sie gerne
Wenn Phishing zunehmend Identität und Geschäftsprozesse angreift, reicht klassische Awareness allein nicht aus. Entscheidend ist die systematische Absicherung von Kommunikationswegen, Rollen und Freigaben.
Unser Cyber Security Incident Response Team (CSIRT) hilft Organisationen dabei, Phishing-Risiken entlang realer Geschäftsprozesse zu analysieren, Zahlungs- und Freigabeverfahren resilient zu gestalten, simulationsbasierte Phishing-Programme für unterschiedliche Rollen umzusetzen und Executive- sowie Finance-Teams gezielt auf Social-Engineering-Szenarien vorzubereiten. Das CSIRT Team identifiziert Bedrohungen, koordinieren Gegenmassnahmen und begleiten die Wiederherstellung Ihrer Systeme – ergänzt durch forensische Analysen, Dokumentation und präventive Optimierung Ihrer Sicherheitsstrategie.
Möchten Sie im Ernstfall vorbereitet sein? Sprechen Sie mit unseren Experten und stärken Sie Ihre Resilienz gegenüber Cyberangriffen.
Fazit
Phishing ist kein neues Phänomen, entwickelt sich jedoch kontinuierlich weiter – insbesondere durch neue Kommunikationskanäle und den Einsatz künstlicher Intelligenz. Social Engineering entwickelt sich zum dominierenden Angriffsmodell.
Der wirksamste Schutz entsteht aus der Kombination technischer Sicherheitsmassnahmen, klarer Prozesse und informierter Mitarbeitender. Organisationen, die Phishing als strategisches Thema verstehen und Sensibilisierung langfristig verankern, reduzieren ihr Risiko erheblich. Entscheidend ist nicht, jeden Angriff zu verhindern, sondern Angriffe früh zu erkennen und korrekt zu reagieren.