91% aller Cyberangriffe beginnen mit einer E-Mail
Eine E-Mail von der Hausbank. Ein Link zur Sendungsverfolgung. Eine dringende Nachricht vom Geschäftsführer. Alles sieht echt aus, ist es aber nicht.
Phishing ist die häufigste Angriffsmethode auf Unternehmen. Und die Mails werden immer besser. KI-generierte Phishing-Mails sind grammatikalisch perfekt, persönlich adressiert und kaum noch von echten Nachrichten zu unterscheiden.
So erkennst du Phishing-Mails
Die 7 Warnsignale
- Ungewöhnlicher Absender: Die Adresse sieht fast richtig aus, aber nicht ganz (z.B.
info@sparkasse-online.de.com) - Dringlichkeit: „Sofort handeln”, „Ihr Konto wird gesperrt”, „Letzte Warnung”
- Unerwartete Anhänge: Rechnungen, die du nicht erwartest, ZIP-Dateien, Office-Dokumente mit Makros
- Verdächtige Links: Fahre mit der Maus über den Link (nicht klicken!), zeigt die URL woanders hin?
- Unpersönliche Anrede: „Sehr geehrter Kunde” statt deines Namens
- Fehlerhafte Details: Falsche Kundennummer, falscher Ansprechpartner, unpassendes Logo
- Ungewöhnliche Aufforderung: Passwort bestätigen, Bankdaten eingeben, Software installieren
Besonders gefährlich: CEO Fraud
Eine Sonderform des Phishings ist der CEO Fraud (auch Business E-Mail Compromise). Dabei gibt sich der Angreifer als Geschäftsführer aus und fordert eine dringende Überweisung an.
Typisches Muster:
- Mail kommt angeblich vom Chef, oft von einer leicht abweichenden Adresse
- Betreff: „Vertraulich” oder „Dringend”
- Bitte um schnelle Überweisung auf ein unbekanntes Konto
- Hinweis, niemand anderen zu informieren
Gegenmittel: Rückfrage per Telefon. Immer. Ohne Ausnahme.
Was tun, wenn du geklickt hast?
Es ist passiert: du hast auf den Link geklickt oder den Anhang geöffnet. Keine Panik, aber schnell handeln:
Sofortmaßnahmen
- Gerät vom Netzwerk trennen: WLAN aus, LAN-Kabel ziehen
- IT-Abteilung oder IT-Dienstleister informieren: sofort, nicht erst morgen
- Passwörter ändern: alle Passwörter, die auf dem Gerät gespeichert sind
- Nicht selbst herumdoktern: keine Virenscans starten, das kann Spuren verwischen
In den nächsten Stunden
- Betroffene Accounts prüfen: Gab es ungewöhnliche Logins oder Aktivitäten?
- Vorfall dokumentieren: Was wurde geklickt, wann, auf welchem Gerät?
- Kolleg:innen warnen: Wenn die Mail an mehrere ging, sofort alle informieren
Technische Schutzmaßnahmen
Schulung allein reicht nicht. Du brauchst auch technische Barrieren:
E-Mail-Sicherheit
- SPF, DKIM, DMARC konfigurieren: verhindert, dass Angreifer deine Domain fälschen
- Spam-Filter mit aktuellen Signaturen
- Anhang-Sandboxing: verdächtige Dateien in einer sicheren Umgebung öffnen
- Link-Prüfung: URLs in E-Mails automatisch scannen
Endpoint Protection
- Aktueller Virenschutz auf allen Geräten
- Automatische Updates für Betriebssystem und Software
- Application Whitelisting für kritische Systeme
Zugangssicherheit
- Multi-Faktor-Authentifizierung (MFA): selbst wenn das Passwort gestohlen wird, kommt der Angreifer nicht rein
- Conditional Access Policies in Microsoft 365
- Regelmäßige Zugriffsüberprüfungen
Mitarbeiter schulen, aber richtig
Die beste Technik hilft nichts, wenn dein Team nicht weiß, worauf es achten muss. Effektive Phishing-Schulungen sind:
- Regelmäßig: einmalige Schulung reicht nicht, mindestens vierteljährlich
- Praxisnah: mit echten (simulierten) Phishing-Mails, nicht nur Theorie
- Ohne Schuldzuweisung: wer auf eine Simulation reinfällt, bekommt Hilfe, keinen Ärger
- Messbar: Klickraten tracken und Fortschritt sichtbar machen
Fazit: Phishing ist keine Frage des Ob, sondern des Wann
Jedes Unternehmen wird früher oder später Ziel eines Phishing-Angriffs. Die Frage ist, ob dein Team und deine Technik darauf vorbereitet sind.
Kombination aus Technik und Schulung. Beides zusammen. Nicht entweder oder.
Lass uns deine E-Mail-Sicherheit prüfen und dein Team schulen, bevor es ein Angreifer tut.