Zum Inhalt springen
You Logic AG
Über uns IT-Services IT-Outsourcing Managed Services IT-Security Telefon / VoIP DATEV-Hosting IT-Infrastruktur IT-Serviceanfrage TeamViewer Download Karriere Blog Kontakt Online Termin vereinbaren
← IT-Lexikon

Phishing – Definition, Techniken & Schutzmaßnahmen

Was ist Phishing?

Phishing ist eine Cyberangriffsmethode, bei der Kriminelle durch gefälschte E-Mails, Nachrichten oder Webseiten versuchen, vertrauliche Daten wie Passwörter, Kreditkartennummern oder Zugangsdaten zu erschleichen. Der Begriff leitet sich vom englischen „fishing" (Angeln) ab und beschreibt das gezielte „Fischen" nach sensiblen Informationen. Phishing ist die weltweit häufigste Form von Cyberkriminalität: Laut dem Verizon Data Breach Investigations Report 2023 waren 36 % aller Datenpannen auf Phishing-Angriffe zurückzuführen. Der globale Schaden durch Phishing beläuft sich laut FBI auf jährlich über 10 Milliarden US-Dollar.

Phishing ist der erfolgreichste Cyberangriff, weil er die größte Schwachstelle in der IT-Sicherheit ausnutzt: den Menschen. Technische Schutzmaßnahmen allein reichen nicht – Mitarbeiterschulung ist unverzichtbar.

Auf einen Blick – Key Facts

Kennzahl Wert Quelle
Phishing-Anteil an allen Datenpannen (2023) 36 % Verizon DBIR 2023
Globaler Schaden durch Phishing (jährlich) >10 Mrd. USD FBI IC3 Report 2023
Täglich versendete Phishing-E-Mails weltweit ~3,4 Milliarden Symantec / Proofpoint
Klickrate auf Phishing-Links (ohne Schulung) ~17 % KnowBe4 Phishing Benchmark
Klickrate nach Sicherheitsschulung ~5 % KnowBe4 Phishing Benchmark

Phishing-Arten im Überblick

Typ Beschreibung Zielpersonen
E-Mail-Phishing Massenversand gefälschter E-Mails mit Links/Anhängen Allgemeine Öffentlichkeit
Spear-Phishing Personalisierter Angriff mit recherchierten Informationen Führungskräfte, IT-Admins
Whaling Gezielter Angriff auf hochrangige Führungspersonen (CEO, CFO) C-Level, Vorstand
Smishing Phishing via SMS mit Links zu Fake-Webseiten Smartphone-Nutzer
Vishing Telefonischer Betrug, Angreifer gibt sich als Bank/Behörde aus Ältere Nutzer, Mitarbeiter
Pharming Manipulation von DNS-Einträgen – Weiterleitung auf Fake-Seite Alle Internetnutzer
Clone-Phishing Exakte Kopie legitimer E-Mails mit ausgetauschten Links Bekannte Empfänger

Wie funktioniert ein Phishing-Angriff? – Ablauf

  1. Vorbereitung: Angreifer erstellen eine täuschend echte Nachricht (Bankenlogo, offizieller Absender-Look).
  2. Köder auswerfen: Massenversand per E-Mail oder gezielte Kontaktaufnahme (Spear-Phishing).
  3. Dringlichkeit erzeugen: Opfer werden unter Druck gesetzt: „Ihr Konto wird gesperrt", „Sofortige Aktion erforderlich".
  4. Link-Klick: Das Opfer klickt und landet auf einer gefälschten Webseite.
  5. Dateneingabe: Zugangsdaten, Kreditkarteninformationen oder TANs werden eingegeben.
  6. Datendiebstahl: Eingegebene Informationen gehen direkt an die Angreifer.

Erkennungsmerkmale von Phishing-E-Mails

  • Absenderadresse: Subtile Abweichungen wie support@paypa1.com statt support@paypal.com
  • Dringlichkeit/Drohungen: „Ihr Konto wird in 24 Stunden gesperrt
  • Grammatik- und Rechtschreibfehler: Besonders bei E-Mails aus dem Ausland
  • Allgemeine Anrede: „Sehr geehrter Kunde" statt des echten Namens
  • Verdächtige Links: URL beim Hovern zeigt andere Adresse als angezeigter Text
  • Unerwartete Anhänge: Besonders .exe, .zip, .docm-Dateien

Häufig gestellte Fragen (FAQ)

Was soll ich tun, wenn ich auf einen Phishing-Link geklickt habe?
Sofort: 1) Internetverbindung trennen, 2) betroffene Passwörter ändern (besonders wenn eingegeben), 3) Zwei-Faktor-Authentifizierung prüfen, 4) Bank kontaktieren falls Finanzdaten betroffen, 5) IT-Abteilung oder BSI informieren, 6) Antivirusscan durchführen.

Wie erkenne ich eine gefälschte Webseite?
Prüfen Sie: 1) HTTPS und gültiges Zertifikat (Schloss-Symbol), aber Achtung – auch Phishing-Seiten nutzen HTTPS. 2) Die genaue URL in der Adresszeile (Tippfehler, ungewöhnliche Domains wie .net statt .de). 3) Das Erscheinungsbild – fehlerhafte Darstellung, veraltetes Logo.

Was ist Zwei-Faktor-Authentifizierung (2FA) und schützt sie vor Phishing?
2FA fügt neben dem Passwort einen zweiten Faktor hinzu (SMS-Code, App-TAN, Hardware-Token). Es schützt, wenn Angreifer das Passwort erbeuten – aber nicht vollständig bei sogenannten Echtzeit-Phishing-Angriffen, bei denen die 2FA-Codes live abgefangen werden.

Wie schützt man ein Unternehmen vor Phishing?
Ein mehrschichtiger Ansatz ist entscheidend: Technisch (E-Mail-Filter, SPF/DKIM/DMARC, DNS-Filterung, Endpoint-Schutz) und organisatorisch (regelmäßige Mitarbeiterschulungen, simulierte Phishing-Tests, klare Meldeprozesse). Laut KnowBe4 sinkt die Klickrate durch regelmäßiges Training von 17 % auf unter 5 %.

Was ist DMARC und wie hilft es gegen Phishing?
DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein E-Mail-Authentifizierungsprotokoll. Es verhindert, dass Angreifer E-Mails unter dem Namen Ihrer Unternehmens-Domain versenden können. DMARC-Implementierung reduziert E-Mail-Phishing signifikant.

Fazit

Phishing ist die häufigste und kostspieligste Form von Cyberkriminalität – und ein Problem, das mit rein technischen Maßnahmen nicht vollständig gelöst werden kann. Die Kombination aus technischen Schutzmaßnahmen (E-Mail-Filter, DMARC, 2FA), regelmäßiger Mitarbeiterschulung und klar definierten Meldeprozessen bietet den besten Schutz.

Marius Bopp – Prokurist & Technischer Leiter bei You Logic AG

Marius Bopp

Prokurist & Technischer Leiter · You Logic AG

IT-Experte mit 18 Jahren Berufserfahrung. Seit 12 Jahren bei You Logic AG verantwortlich für Cloud Computing, IT-Security und Managed Services im Rhein-Main-Gebiet.

LinkedIn

Jetzt IT-Dienstleister im Rhein-Main-Gebiet anfragen

Bringen wir Ihr Unternehmen auf die nächste Stufe!

0611 . 94 58 99 00
ProvenExpert
4.87
Sehr Gut
ProvenExpert
TeamViewer Support