Für Kriminelle und Betrüger sind persönliche Daten von Internetnutzern immer sehr begehrt. In vielen Fällen ermöglichen sie den Zugang zu Kreditkarten, Bank- oder Online-Konten. Phishing ist dabei eine der ältesten und zugleich erfolgreichsten Methoden der Cyber Security-Bedrohungslandschaft.

Phishing, also das Erlangen fremder persönlicher Daten mittels gefälschter E-Mails oder Websites, ist eine beliebte Methode dafür. Über 90 % aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-Nachricht. Im Folgenden ein Überblick über die gängigsten Methoden — und wie Sie sich wirksam schützen.

Gefälschte Benachrichtigungen von sozialen Netzwerken

Cyberkriminelle versenden gefälschte Benachrichtigungen, die scheinbar von beliebten sozialen Netzwerken stammen und sich auf neue Freunde, deren Aktivitäten oder Ähnliches beziehen. Zunächst unterscheiden sich diese Nachrichten oft nicht von regulären, legitimen Nachrichten. Sie enthalten jedoch zusätzlich einen Phishing-Link, der nicht immer leicht als solcher zu erkennen ist. Wenn Nutzer dann auf den Link klicken, werden sie aufgefordert, ihren Benutzernamen und ihr Passwort auf einer gefälschten Anmeldeseite einzugeben.

Eine sehr beliebte Variante sind Nachrichten von angeblichen sozialen Netzwerken, die beispielsweise darauf hinweisen, dass verdächtige Aktivitäten auf dem Konto des Empfängers festgestellt wurden oder dass ab sofort eine neue Funktion eingeführt wird, die die Zustimmung der Nutzer erfordert, um nicht gesperrt zu werden.

Erkennungsmerkmale: Achten Sie auf die Absender-Domain — echte Benachrichtigungen von LinkedIn kommen z. B. von @linkedin.com, nicht von @linkedin-notifications.com. Prüfen Sie außerdem, ob die verlinkten URLs tatsächlich zur Plattform führen, indem Sie mit der Maus darüber fahren (ohne zu klicken).

Banking-Phishing

Phishing, das darauf abzielt, Zugang zu den Bankkartendaten der Nutzer zu erlangen, bleibt die häufigste Art von Betrug im Internet. In diesem Fall können gefälschte Nachrichten im Namen von Banken versendet werden. Die häufigsten Betrugsmaschen beziehen sich dabei auf die angebliche Sperrung eines Kontos oder „verdächtige Kontoaktivitäten".

Unter dem Vorwand, den Zugang zum gesperrten Konto wiederherzustellen, die Identität zu bestätigen oder eine Überweisung zu stornieren, wird der Nutzer aufgefordert, seine Bankkartendaten auf einer gefälschten Online-Banking-Website einzugeben. Sobald die Kriminellen die Daten erhalten, buchen sie sofort einen bestimmten Geldbetrag vom Konto des Opfers ab.

Wichtig: Keine seriöse Bank fordert Sie per E-Mail auf, Ihre Zugangsdaten einzugeben oder TAN-Nummern zu übermitteln. Im Zweifel rufen Sie Ihre Bank direkt über die offizielle Telefonnummer an — nicht über eine Nummer aus der verdächtigen E-Mail.

Gefälschte Benachrichtigungen von bekannten Dienstleistern

Eine Angriffsart, die besonders boomt, ist das Brand-Phishing. Dabei imitieren die Angreifer große Unternehmen in E-Mails und den dafür verwendeten Domains, um die Empfänger dazu zu bringen, Zugangsdaten und andere kritische Informationen preiszugeben.

Laut Statista und Check Point Research sieht das Ranking der am häufigsten imitierten Marken wie folgt aus:

  • Google 13%
  • Amazon 13%
  • WhatsApp 9%
  • Facebook 9%
  • Microsoft 7%
  • Netflix 2%
  • Apple 2%
  • Huawei 2%

Besonders perfide: Viele dieser E-Mails nutzen echte Logos, Corporate-Designs und sogar personalisierte Anreden, die aus früheren Datenlecks stammen. Das macht die Unterscheidung von echten Nachrichten zunehmend schwieriger.

Gefälschte Benachrichtigungen von E-Mail-Diensten

Diese Art von Online-Betrug wird verwendet, um Benutzernamen und Passwörter für E-Mail-Dienste zu erlangen. Entweder werden Nutzer aufgefordert, ihr Passwort wiederherzustellen, oder den verfügbaren Speicherplatz ihrer Mailbox zu erhöhen, die angeblich voll ist.

Der Zugriff auf ein E-Mail-Konto ist für Angreifer besonders wertvoll: Er ermöglicht das Zurücksetzen von Passwörtern bei anderen Diensten (Online-Banking, Cloud-Speicher, Social Media) und öffnet damit die Tür zu einer Vielzahl weiterer Konten.

Spear-Phishing und CEO-Fraud — gezielte Angriffe

Während klassisches Phishing breit gestreut wird (Millionen identischer E-Mails), sind Spear-Phishing-Angriffe gezielt und personalisiert. Die Angreifer recherchieren ihre Opfer vorab: Name, Position, Projekte, Kollegen — oft über LinkedIn, Unternehmenswebsites und öffentliche Dokumente.

CEO-Fraud (auch Business Email Compromise, BEC) ist die profitabelste Variante: Angreifer geben sich als Geschäftsführer oder Vorstand aus und weisen Mitarbeiter per E-Mail an, dringende Überweisungen durchzuführen. Die FBI-Statistik beziffert die weltweiten Schäden durch BEC auf über 50 Milliarden US-Dollar seit 2013.

Typische Merkmale von Spear-Phishing:

  • Personalisierung: Anrede mit korrektem Namen und Position
  • Kontextbezug: Referenz auf echte Projekte, Meetings oder Kollegen
  • Zeitdruck: „Bitte sofort überweisen, ich bin im Meeting und nicht erreichbar"
  • Autoritätsmissbrauch: Absender ist scheinbar der CEO, CFO oder ein externer Anwalt

So schützen Sie sich

Hier sind bewährte Verhaltensweisen, die Sie vor Phishing-Angriffen schützen:

  1. Absenderadresse prüfen: Wenn Sie eine Nachricht von einem Unternehmen oder Dienst erhalten, überprüfen Sie zunächst, ob sie von einer vertrauenswürdigen Adresse stammt. Achten Sie genau auf die Absenderadresse und ob die URL der echten Adresse ähnelt, aber zusätzliche, ungewöhnliche Elemente enthält
  2. Links überprüfen: Fahren Sie mit der Maus über Links, bevor Sie klicken. Stellen Sie sicher, dass die URL zur erwarteten Domain führt — nicht zu einer ähnlich klingenden Fälschung
  3. Auf Dringlichkeit achten: Phishing-E-Mails sind in der Regel dringend formuliert und enthalten Drohungen. Seien Sie skeptisch bei Wörtern wie „dringend", „sofort", „Kontosperrung" oder „letzte Mahnung"
  4. Sicherheitssoftware nutzen: Verwenden Sie eine zuverlässige Sicherheitslösung mit Anti-Spam- und Anti-Phishing-Schutz
  5. Multi-Faktor-Authentifizierung aktivieren: Selbst wenn Angreifer Ihre Zugangsdaten erbeuten, verhindert MFA den Zugriff auf Ihr Konto
  6. Rückkanal nutzen: Bei verdächtigen Anweisungen vom Chef oder von Kollegen: Rufen Sie die Person über eine bekannte Nummer an — antworten Sie nicht direkt auf die verdächtige E-Mail

So schützen Sie Ihr Unternehmen

Einzelne Mitarbeiter können wachsam sein — aber Unternehmen brauchen systematischen Schutz:

  • Security Awareness Training: Regelmäßige Schulungen und simulierte Phishing-Kampagnen schärfen das Bewusstsein aller Mitarbeiter. Plattformen wie SoSafe oder KnowBe4 automatisieren diesen Prozess
  • E-Mail-Security-Gateway: Technische Filter (SPF, DKIM, DMARC) blockieren gefälschte Absender, bevor die E-Mail den Posteingang erreicht
  • Incident-Response-Plan: Klare Prozesse für den Fall, dass ein Mitarbeiter auf einen Phishing-Link klickt: Wer wird informiert? Welche Systeme werden isoliert?
  • Regelmäßige Penetration Tests: Social-Engineering-Tests als Teil des Pentests decken auf, wie anfällig Ihre Organisation wirklich ist
Fazit: Phishing ist nicht nur ein technisches Problem — es ist ein menschliches. Die Kombination aus technischen Schutzmaßnahmen und kontinuierlichem Awareness-Training bietet den besten Schutz. Mehr zum Thema auf unserer Cyber-Security-Übersichtsseite.

Über den Autor

Das e2 Security Team besteht aus erfahrenen Security-Consultants, Penetration Testern und Security Architects. Wir teilen unser Wissen über aktuelle Security-Themen, Best Practices und Real-World-Erfahrungen.

Weitere Artikel

Penetration Testing

Black Box, White Box, Gray Box - Welche Pentest-Art ist die richtige?

Vulnerability Management

Systematische Schwachstellenidentifikation mit CVSS + EPSS Scoring.

ISO 27001

Der internationale Standard für Informationssicherheits-Management.