Kontakt zu unseren Cyber Experts
030 403 695 29

Was ist Phishing?

Sie wollen Ihr Unternehmen gegen Cyber-Gefahren schützen und wünschen eine kostenlose Beratung?
Kontaktieren Sie uns

Anders als andere Arten von Cyber-Angriffen zielt Phishing nicht darauf ab, Schwachstellen in Netzwerken und Systemen ausfindig zu machen, um sie zu infiltrieren. Bei Phishing geht es vielmehr darum, ahnungslose Nutzer zu überlisten und sie durch gefälschte E-Mails oder mittels Fake-Websites dazu zu verleiten, persönliche Zugangsdaten preiszugeben.

Was genau bedeutet Phishing? Wie funktioniert es? Wie gefährlich ist Phishing? Was können Unternehmen tun, um ihre Mitarbeitenden für Phishing-Angriffe zu sensibilisieren? Dieser Artikel beantwortet alle relevanten Fragen rund um das Thema Phishing.

Was versteht man unter Phishing?

Phishing ist eine Form von Social Engineering. Der Begriff setzt sich aus den Wörtern “Password” und “Fishing” zusammen und bedeutet übersetzt “Fischen nach Passwörtern”

Die Betrugsmasche zielt darauf ab, Zugänge zu digitalen Diensten wie Online-Banking oder Online-Shops abzugreifen und diese dann zu kriminellen Zwecken zu missbrauchen. Hauptsächlich geht es den Kriminellen darum, sich entweder durch Weiterverkauf der Daten oder durch Einkäufe auf Kosten des Opfers finanzielle Vorteile zu verschaffen.

Gegenstand von Phishing-Attacken sind meistens E-Mails, Textnachrichten oder Websites, die vertrauenswürdige Personen oder Unternehmen imitieren und das Opfer so dazu bringen, sensible Daten weiterzugeben. Ein typisches Beispiel im Unternehmenskontext ist der Versuch, Zugänge für den Fernzugriff auf ein Unternehmensnetz zu erbeuten.

Definition: Phishing

Phishing ist der Versuch, Passwörter, Benutzernamen oder sonstige persönliche Daten zu stehlen, um sie zu Geld zu machen. Wörtlich übersetzt bedeutet Phishing “Fischen nach Passwörtern”.

Wie funktioniert Phishing?

Phishing nutzt die Unachtsamkeit von Nutzern aus, um Zugangsdaten zu erbeuten. Die Methode basiert auf dem Ausnutzen von Kundenbeziehungen zu Organisationen, die vom Nutzer als vertrauenswürdig eingestuft werden. Durch eine legitim wirkende E-Mail oder Nachricht einer bekannten Organisation wird der Nutzer dazu manipuliert, persönliche Zugangsdaten zu übermitteln.

Das geschieht in der Regel durch das Inszenieren einer dringlichen Situation, die ein sofortiges Handeln erfordert. Meist wird der Nutzer dabei durch das Androhen einer für ihn unangenehmen Konsequenz, wie beispielsweise die Sperrung eines Accounts, unter Druck gesetzt und so zur Datenweitergabe verleitet. 

Als Medium für einen Phishing-Angriff dienen in der Regel E-Mails, die oft entweder per Link oder QR-Code auf eine gefälschte Website führen, wo die Daten eingegeben werden. Daneben werden auch Textnachrichten oder Telefonanrufe von Betrügern genutzt, um an persönliche Daten oder Informationen zu kommen.

Auch das Imitieren einer Person, der das Opfer vertraut, ist eine von Hackern häufig verwendete Taktik. Im Unternehmenskontext kann es sich hierbei zum Beispiel um den Vorgesetzten oder eine andere Autoritätsperson handeln. 

In diesem Fall wird die Autorität des vermeintlichen Absenders dazu missbraucht, das Opfer direkt zu einer bestimmten Handlung aufzufordern. Dabei handelt es sich oft um das Zahlen einer fiktiven Rechnung oder das Ausführen einer sonstigen Überweisung vom Unternehmenskonto.

Im Unterschied zu herkömmlichen Phishing-Attacken, bei denen ungezielt Mails an große, häufig im Darknet erworbene Verteilerlisten verschickt werden, gehen Kriminelle bei Phishing-Angriffen auf Unternehmen meist deutlich durchdachter und gezielter vor. Gegen bestimmte Unternehmen gerichtete Angriffe werden als Spear Phishing bezeichnet und erfordern eine deutlich aufwändigere Vorbereitung.

Cyber-Security-Fakt: 

Laut dem Bundesamt für Sicherheit in der Informationstechnik handelt es sich bei etwa jeder dritten unerwünschten E-Mail im Postfach um einen Phishing-Versuch.

Was ist Spear-Phishing?

Spear-Phishing ist eine Art von Phishing, bei der ein gezielter Angriff auf ein bestimmtes Unternehmen oder eine bestimmte Organisation erfolgt. Der Name leitet sich vom englischen Wort “Spear” (Deutsch: Speer) ab und verdeutlicht die Zielgerichtetheit des Angriffs.

Spear-Phishing-Versuche sind deutlich aufwendiger und verlangen von den Tätern eine sehr detaillierte Vorgehensweise, um die E-Mails so anzupassen, dass sie für die geplanten Empfänger echt genug aussehen, um ihr Ziel zu erreichen.

Eine weit verbreitete Unterart von Spear-Phishing ist Fake President. Diese Betrugsmasche nutzt die Identität und Autorität von Vorgesetzten und hochrangigen Managern, um Mitarbeitende mit gefälschten E-Mails beispielsweise zur Überweisung von Geld zu manipulieren.

Gezielte Phishing-Angriffe auf Unternehmen werden meist von organisierten Banden von Cyber-Kriminellen verübt, die den Angriff als Türöffner nutzen, um darauf aufbauend weitere Angriffe zu starten, die das Ausspionieren von Firmengeheimnissen oder einen groß angelegten Finanzbetrug zum Ziel haben.

Gefahren für Unternehmen durch Phishing

Auch wenn Phishing zunächst keine so große Bedrohung für Unternehmen darstellt wie Ransomware, ist die Angriffsmethode nach wie vor für Cyber-Kriminelle sehr erfolgversprechend, da sie den Mensch als größte Schwachstelle im System identifiziert und ausnutzt.

Die Gefahr besteht darin, dass ein Phishing-Angriff meist nur den Anfang eines ausgeklügelten Cyber-Angriffs darstellt. Cyber-Angriffe kombinieren meist verschiedene Angriffsarten, wobei Phishing von Angreifern häufig als vorausgehender Angriff verwendet wird, um Zugangsdaten von IT-Systemen zu stehlen, um dann im nächsten Schritt mithilfe dieser Zugangsdaten Malware auf dem System zu installieren.

Ein erfolgreicher Phishing-Versuch erhöht das Risiko von Folgeangriffen erheblich. Da Phishing darauf abzielt, menschliches Versagen auszunutzen, und eine kleine Unachtsamkeit ausreicht, um erhebliche Schäden zu verursachen, sollten Unternehmen auch Phishing-Versuche als potenzielle Bedrohung ernst nehmen. Vor allem im Hinblick auf Spear-Phishing, das sich gezielt gegen Unternehmen richtet.

Cyber-Security-Fakt: 

Einer Erhebung des Branchenverbands Bitkom zufolge wurden 31% der Unternehmen in Deutschland im Jahr 2023 Opfer eines Phishing-Angriffs.

Phishing: Beispiele aus der Praxis

Phishing und vor allem Spear-Phishing können weitreichende finanzielle Konsequenzen für Unternehmen haben. Schauen wir uns dazu zwei konkrete Schadensbeispiele aus echten Unternehmen an.

  • Durch eine Phishing-Attacke erlangten Cyber-Kriminelle Zugriff auf das Online-Banking eines Betriebs für Installation und Heizungsbau. Zuvor hatten sie den Buchhalter des Betriebs über eine E-Mail der vermeintlichen Hausbank dazu aufgefordert, die Kontodaten auf Aktualität zu überprüfen. Über einen Link in der E-Mail wurde er auf eine gefälschte Website weitergeleitet, wo er wie gewohnt die Zugangsdaten eingab. Die Betrüger nutzten die Daten und überwiesen eine Summe von 13.000 Euro auf ein ausländisches Konto.
  • Im August 2024 wurde die Webseite des bekannten Schweizer Pizzalieferservice Dieci von Cyber-Kriminellen täuschend echt kopiert und mit einer lediglich durch einen Großstaben unterschiedlichen URL live gestellt. Kunden, die über die vermeintliche Dieci-Website ihre Bestellungen tätigten, zahlten zwar wie gewohnt für den Kauf, erhielten jedoch nie die Bestellung.

Cyber-Security-Fakt: 

Laut dem von IBM veröffentlichten Bericht über die Kosten einer Datenschutzverletzung ist Phishing die häufigste Ursache, dass Daten kompromittiert werden.

Phishing-Mails werden immer professioneller

Bis vor einigen Jahren waren Phishing-Mails recht schnell durch offensichtliche Marker wie eine unpersönliche Anrede, Rechtschreibfehler oder eine schlechte sprachliche Ausformulierung zu erkennen. Mittlerweile hat sich die textliche Qualität von vielen Phishing-Nachrichten allerdings erheblich verbessert, was das Erkennen von Phishing-Mails deutlich erschwert.

Immer mehr Angreifer nutzen Künstliche Intelligenz, um täuschend echte E-Mails oder Textnachrichten zu erstellen, die fast nicht von einer echten Kommunikation zu unterscheiden sind und auf die individuellen Vorlieben, Interessen oder Aktivitäten der Opfer abgestimmt sind. KI-gestützte Phishing-Angriffe stellen eine große Gefahr für Unternehmen dar, da sie mit einer deutlich größeren Wahrscheinlichkeit ihr Ziel erreichen.

Phishing-Mails erkennen: Tipps für Mitarbeitende

Aktuelle Studien zeigen, dass rund 97% der Mitarbeitenden eine professionell erstellte Phishing-Mail nicht erkennen. Unternehmen sollten daher ihre Mitarbeitenden gründlich im Erkennen von Phishing-Mails schulen. Hier sind Anzeichen, die darauf hindeuten, dass es sich bei einer E-Mail um eine Phishing-Mail handelt.
ico

Scheinbar vertrauter Absender:

Phishing nutzt Vertrauensbeziehungen aus, um die Opfer zur Weitergabe persönlicher Daten zu manipulieren. Phishing-Mails kommen daher in der Regel von scheinbar bekannten Absendern, wie zum Beispiel der eigenen Bank. Was viele Phishing-Mails verdächtig macht, ist jedoch ihr meist ungewöhnliches Anliegen.

ico

Dringlichkeit:

Phishing-Mails versuchen durch vorgetäuschte Dringlichkeit, die Nutzer zu unbedachten Handlungen zu bewegen. Wenn die verwendeten Formulierungen einen dringenden Handlungsbedarf suggerieren, ist Vorsicht geboten.

ico

Drohungen:

Eine ähnlich häufig genutzte Methode, um bei den Empfängern einer Phishing-Mail Stress und Druck auszulösen, ist das Androhen von unliebsamen Konsequenzen, wenn sie der Aufforderung nicht umgehend nachkommen.

ico

Aufforderung zur Dateneingabe:

Phishing zielt darauf ab, persönliche Daten zu erbeuten. Um diese zu bekommen, beinhalten viele Phishing-Mails direkte Aufforderungen zur Eingabe persönlicher Daten wie PIN-Nummern oder Kontodaten.

ico

Links:

Phishing-Mails enthalten häufig Links, Formulare oder sonstige interaktive Komponenten, die den Benutzer auf eine gefälschte Website weiterleiten, um so Daten abzugreifen.

Praxis-Tipp: 

Eine gute Möglichkeit, Mitarbeitende für Phishing zu sensibilisieren, sind Phishing-Simulationstests. Die Simulationstests konfrontieren Mitarbeitende unvorbereitet mit realistischen Phishing-Situationen, wie sie ihnen tatsächlich in ihrem Arbeitsalltag begegnen können.

Welche Arten von Phishing gibt es?

Genau wie bei Malware gibt es auch bei Phishing verschiedene Arten, die sich in ihrer Funktionsweise voneinander unterscheiden. Die Namen der verschiedenen Phishing-Betrugsmaschen orientieren sich jeweils an dem Kommunikationskanal, den sie für den Täuschungsversuch nutzen. Hier ist ein Überblick.
ico

Quishing:

Quishing ist ein Phishing-Versuch mithilfe eines QR-Codes. Der QR-Code wird dabei häufig in eine E-Mail integriert und ist so gestaltet, dass er den Nutzer nach dem Scannen auf eine Website weiterleitet, die entweder mit Malware infiziert ist oder zur Eingabe sensibler Daten auffordert.

ico

Smishing:

Smishing beschreibt eine Phishing-Masche, für die eine SMS als Angriffsvektor verwendet wird. Die SMS kommen häufig von angeblichen Paketdiensten oder Onlineshopping-Plattformen, die vorgeben, für die Zustellung einer Lieferung oder Ähnliches einen Datenabgleich durchführen zu müssen.

ico

Vishing:

Bei Vishing rufen die Betrüger ihre Opfer an und versuchen, sie über das Telefon dazu zu bewegen, persönliche Daten preiszugeben. Dazu geben sich die Betrüger zum Beispiel als IT-Mitarbeiter aus und fragen im Gespräch unauffällig Daten ab, die dann für kriminelle Zwecke verwendet werden.

Die häufigsten Fragen zu Phishing im Überblick

Was ist Phishing einfach erklärt?

Phishing ist eine Art von Cyber-Angriff, bei dem Angreifer versuchen, sensible Daten wie Benutzernamen, Bankdaten oder Passwörter zu erbeuten. Daher auch der Name Phishing, der sich aus den englischen Begriffen “Password” und “Fishing” zusammensetzt und wörtlich übersetzt “Fischen nach Passwörtern” bedeutet.

Gegenstand von Phishing-Versuchen sind in der Regel gefälschte E-Mails, Textnachrichten oder Websites von augenscheinlich legitimen Unternehmen und Organisationen, die dem Opfer bekannt sind. Die Vertrautheit der imitierten Absender wird von den Angreifern genutzt, um die Opfer zur Datenweitergabe zu manipulieren.

 

Was sind Phishing-Mails?

Phishing-Mails sind gefälschte E-Mails, die von Cyber-Kriminellen unter dem Vortäuschen einer fremden Identität versandt werden und in der Regel eine Aufforderung an den Empfänger enthalten, persönliche Daten zu bestätigen oder zu aktualisieren. Durch die Tarnung als bekannter Dienstleister (z. B. Bank oder Internetanbieter) oder Geschäftspartner wird der Empfänger getäuscht und zur ahnungslosen Weitergabe von Daten gebracht.

 

Wie gefährlich ist Phishing?

Phishing stellt eine ernstzunehmende Cyber-Bedrohung für Unternehmen und Privatpersonen gleichermaßen dar. Unternehmen sollten insbesondere die Gefahren, die von Spear-Phishing ausgehen, ernst nehmen und ihre Mitarbeitenden entsprechend im Umgang mit Phishing-Versuchen schulen. Wie zahlreiche Beispiele aus der Vergangenheit zeigen, kann ein gezielter Phishing-Angriff auf Unternehmen Schäden in Millionenhöhe verursachen.
Vorheriger Artikel Nächster Artikel

Dieser Artikel dient ausschließlich Informationszwecken und ist nicht als Beratung zu verstehen. Die CyberDirekt GmbH lehnt jegliche Haftung für Handlungen ab, die Sie aufgrund der in diesem Artikel enthaltenen Inhalte vornehmen oder unterlassen.

SOS