Montagmorgen, 8:12 Uhr. Ein Mitarbeiter öffnet eine E-Mail vom „IT-Support“. Der Absender sieht korrekt aus, die Sprache ist fehlerfrei, das Logo stimmt. Er klickt auf den Link und gibt seine Zugangsdaten ein. Um 8:14 Uhr hat jemand anderes Zugriff auf Ihr System.
Das ist kein Worst Case aus einem Lehrbuch. Das passiert täglich in deutschen Unternehmen. Und die Angriffe werden immer schwerer zu erkennen.
Warum klassische Warnsignale nicht mehr reichen
Früher war Phishing einfach zu entlarven: schlechtes Deutsch, seltsame Absender, offensichtlich falsche Links. Diese Zeiten sind vorbei.
KI-generierte Phishing-Mails sind grammatikalisch einwandfrei, passen sich dem Schreibstil des vermeintlichen Absenders an und enthalten keine typischen Fehler mehr.
Ein konkretes Beispiel: Eine gefälschte E-Mail von „microsoft.com“ — nur dass in der Adresse „rnicrosoft.com“ stand. Das „m“ wurde durch ein „r“ und ein „n“ ersetzt. In den meisten Schriftarten ist das mit bloßem Auge kaum zu unterscheiden.
Die fünf häufigsten Phishing-Maschen im Unternehmensalltag
Die gefälschte Rechnung. Eine E-Mail mit PDF-Anhang, angeblich von einem bekannten Lieferanten. Der Anhang enthält Schadsoftware oder der Link führt auf eine gefälschte Login-Seite.
Die IT-Support-Falle. „Dein Passwort läuft in 24 Stunden ab. Klicke hier, um es zu erneuern.“ Die Dringlichkeit soll zum schnellen Klick verleiten.
Der CEO-Betrug (Business Email Compromise). Eine E-Mail, scheinbar vom Geschäftsführer, an die Buchhaltung: „Bitte überweisen Sie sofort 15.000 € an folgenden Lieferanten.“
Die Paketbenachrichtigung. „Dein Paket konnte nicht zugestellt werden. Klicke hier für die Sendungsverfolgung.“ Funktioniert besonders gut, weil im Unternehmensalltag ständig Lieferungen eingehen.
Quishing: Phishing per QR-Code. Ein QR-Code auf einem vermeintlichen Schreiben, in einer E-Mail oder sogar auf einem Parkautomaten-Aufkleber. QR-basierte Angriffe umgehen klassische E-Mail-Filter.
Die 5-Sekunden-Checkliste für jede verdächtige E-Mail
Bevor Sie oder Ihr Team auf irgendetwas klicken, nehmen Sie sich fünf Sekunden für diese Fragen:
Absender prüfen. Nicht den angezeigten Namen, sondern die tatsächliche E-Mail-Adresse. Mit der Maus darüberfahren, ohne zu klicken.
Dringlichkeit hinterfragen. Erzeugt die Mail Zeitdruck? „Sofort handeln“, „Dein Konto wird gesperrt“, „Letzte Mahnung“ — das sind typische Druckmittel.
Links prüfen, nicht klicken. Mit der Maus über den Link fahren und in der Statusleiste schauen, wohin er wirklich führt. Stimmt die Domain?
Anhänge mit Vorsicht behandeln. Unerwartete Anhänge — besonders ZIP, EXE oder Office-Dateien mit Makros — niemals direkt öffnen.
Im Zweifel: nachfragen. Ruf den vermeintlichen Absender an. Nicht über die Nummer in der E-Mail, sondern über die Ihnen bekannte Nummer.
Was tun, wenn doch jemand geklickt hat?
Kein Vorwurf, sondern schnelles Handeln: Sofort das Passwort des betroffenen Kontos ändern. Wenn MFA aktiv ist, die aktiven Sitzungen beenden. Den Vorfall der IT melden — je schneller, desto besser. Nicht versuchen, den Schaden selbst zu beheben oder zu vertuschen.
Eine offene Fehlerkultur ist entscheidend. Wenn Mitarbeitende Angst haben, einen Phishing-Klick zu melden, erfahren Sie erst davon, wenn der Schaden längst angerichtet ist.
Technische Schutzmaßnahmen, die helfen
Neben der Awareness Ihres Teams gibt es technische Maßnahmen, die Phishing-Angriffe abfangen, bevor sie überhaupt ankommen:
E-Mail-Filterung und Anti-Phishing-Richtlinien in Microsoft 365 Defender erkennen bekannte Phishing-Muster und verdächtige Absender automatisch.
Multi-Faktor-Authentifizierung (MFA) sorgt dafür, dass ein gestohlenes Passwort allein nicht ausreicht, um auf Konten zuzugreifen.
SPF, DKIM und DMARC sind E-Mail-Authentifizierungsstandards, die verhindern, dass Angreifer E-Mails im Namen Ihrer Domain versenden.
Fazit
Phishing ist und bleibt die Einstiegstür Nummer eins für Cyberangriffe. Die Technik allein kann Sie nicht vollständig schützen — Ihr Team muss wissen, worauf es achten soll. Regelmäßige, kurze Schulungen und eine offene Fehlerkultur sind dabei genauso wichtig wie Spamfilter und Firewalls.
Möchten Sie wissen, wie gut Ihr Team auf Phishing vorbereitet ist? Ich unterstütze Sie mit praxisnahen Sicherheitsschulungen, die verständlich sind und hängenbleiben.
Phishing-Schutz für Ihr Unternehmen? Unsere IT-Security-Services umfassen Security Awareness und Endpoint Protection. Jetzt Sicherheitscheck anfragen →