91% aller Cyberangriffe beginnen mit einer E-Mail
Eine E-Mail von der Hausbank. Ein Link zur Sendungsverfolgung. Eine dringende Nachricht vom Geschäftsführer. Alles sieht echt aus — ist es aber nicht.
Phishing ist die häufigste Angriffsmethode auf Unternehmen. Und die Mails werden immer besser. KI-generierte Phishing-Mails sind grammatikalisch perfekt, persönlich adressiert und kaum noch von echten Nachrichten zu unterscheiden.
So erkennst du Phishing-Mails
Die 7 Warnsignale
- Ungewöhnlicher Absender — Die Adresse sieht fast richtig aus, aber nicht ganz (z.B.
info@sparkasse-online.de.com) - Dringlichkeit — „Sofort handeln”, „Ihr Konto wird gesperrt”, „Letzte Warnung”
- Unerwartete Anhänge — Rechnungen, die du nicht erwartest, ZIP-Dateien, Office-Dokumente mit Makros
- Verdächtige Links — Fahre mit der Maus über den Link (nicht klicken!) — zeigt die URL woanders hin?
- Unpersönliche Anrede — „Sehr geehrter Kunde” statt deines Namens
- Fehlerhafte Details — Falsche Kundennummer, falscher Ansprechpartner, unpassendes Logo
- Ungewöhnliche Aufforderung — Passwort bestätigen, Bankdaten eingeben, Software installieren
Besonders gefährlich: CEO Fraud
Eine Sonderform des Phishings ist der CEO Fraud (auch Business E-Mail Compromise). Dabei gibt sich der Angreifer als Geschäftsführer aus und fordert eine dringende Überweisung an.
Typisches Muster:
- Mail kommt angeblich vom Chef — oft von einer leicht abweichenden Adresse
- Betreff: „Vertraulich” oder „Dringend”
- Bitte um schnelle Überweisung auf ein unbekanntes Konto
- Hinweis, niemand anderen zu informieren
Gegenmittel: Rückfrage per Telefon. Immer. Ohne Ausnahme.
Was tun, wenn du geklickt hast?
Es ist passiert — du hast auf den Link geklickt oder den Anhang geöffnet. Keine Panik, aber schnell handeln:
Sofortmaßnahmen
- Gerät vom Netzwerk trennen — WLAN aus, LAN-Kabel ziehen
- IT-Abteilung oder IT-Dienstleister informieren — sofort, nicht erst morgen
- Passwörter ändern — alle Passwörter, die auf dem Gerät gespeichert sind
- Nicht selbst herumdoktern — keine Virenscans starten, das kann Spuren verwischen
In den nächsten Stunden
- Betroffene Accounts prüfen — Gab es ungewöhnliche Logins oder Aktivitäten?
- Vorfall dokumentieren — Was wurde geklickt, wann, auf welchem Gerät?
- Kolleg:innen warnen — Wenn die Mail an mehrere ging, sofort alle informieren
Technische Schutzmaßnahmen
Schulung allein reicht nicht. Du brauchst auch technische Barrieren:
E-Mail-Sicherheit
- SPF, DKIM, DMARC konfigurieren — verhindert, dass Angreifer deine Domain fälschen
- Spam-Filter mit aktuellen Signaturen
- Anhang-Sandboxing — verdächtige Dateien in einer sicheren Umgebung öffnen
- Link-Prüfung — URLs in E-Mails automatisch scannen
Endpoint Protection
- Aktueller Virenschutz auf allen Geräten
- Automatische Updates für Betriebssystem und Software
- Application Whitelisting für kritische Systeme
Zugangssicherheit
- Multi-Faktor-Authentifizierung (MFA) — selbst wenn das Passwort gestohlen wird, kommt der Angreifer nicht rein
- Conditional Access Policies in Microsoft 365
- Regelmäßige Zugriffsüberprüfungen
Mitarbeiter schulen — aber richtig
Die beste Technik hilft nichts, wenn dein Team nicht weiß, worauf es achten muss. Effektive Phishing-Schulungen sind:
- Regelmäßig — einmalige Schulung reicht nicht, mindestens vierteljährlich
- Praxisnah — mit echten (simulierten) Phishing-Mails, nicht nur Theorie
- Ohne Schuldzuweisung — wer auf eine Simulation reinfällt, bekommt Hilfe, keinen Ärger
- Messbar — Klickraten tracken und Fortschritt sichtbar machen
Fazit: Phishing ist keine Frage des Ob, sondern des Wann
Jedes Unternehmen wird früher oder später Ziel eines Phishing-Angriffs. Die Frage ist, ob dein Team und deine Technik darauf vorbereitet sind.
Kombination aus Technik und Schulung. Beides zusammen. Nicht entweder oder.
Lass uns deine E-Mail-Sicherheit prüfen und dein Team schulen — bevor es ein Angreifer tut.
