Phishing erkennen: So schützen Sie Ihr Unternehmen

Mehr als 90 Prozent aller Cyberangriffe beginnen mit einer Phishing-Mail. Die gute Nachricht: Gut geschulte Mitarbeitende sind die effektivste Verteidigung gegen diese Angriffe.

Was ist Phishing?

Phishing ist der Versuch, durch gefälschte E-Mails, Websites oder Nachrichten an vertrauliche Informationen wie Passwörter, Kreditkartendaten oder Zugangsdaten zu gelangen. Moderne Phishing-Angriffe sind oft täuschend echt und zielgerichtet (Spear-Phishing): Der Angreifer kennt Ihren Namen, Ihren Chef und aktuelle Projekte.

Typische Merkmale einer Phishing-Mail

Dringlichkeit ("Ihr Konto wird in 24 Stunden gesperrt"). Unerwartete Anfragen nach Zugangsdaten oder Zahlungen. Abweichende Absenderadresse (z.B. support@paypa1.com statt paypal.com). Links, die beim Überfahren eine andere URL zeigen als angekündigt. Anhänge in unerwarteten Formaten.

Spear-Phishing: Die gefährlichere Variante

Beim Spear-Phishing wird die E-Mail individuell auf das Opfer zugeschnitten. Der Angreifer hat vorab Informationen gesammelt: LinkedIn-Profile, Unternehmenswebsite, öffentliche Pressemitteilungen. Die gefälschte Mail wirkt dadurch viel glaubwürdiger. CEO-Fraud ist eine besondere Form, bei der Angreifer als Geschäftsführer auftreten und Überweisungen anfordern.

Technische Schutzmaßnahmen

E-Mail-Authentifizierung (SPF, DKIM, DMARC) verhindert, dass Angreifer Ihre Domain für Phishing missbrauchen. Advanced Threat Protection filtert bekannte Phishing-URLs heraus. URL-Sandboxing analysiert verlinkte Seiten, bevor Mitarbeitende darauf klicken können.

Schulungen als wichtigste Maßnahme

Phishing-Simulationen senden gefälschte Testmails an Mitarbeitende und messen, wer darauf hereinfällt. Betroffene werden direkt im Moment des Fehlers geschult, was deutlich effektiver ist als theoretische Schulungen. Führen Sie solche Simulationen regelmäßig, mindestens vierteljährlich durch.