Phishing-Angriffe gehören zu den häufigsten Cyberbedrohungen und nehmen in ihrer Raffinesse stetig zu. Laut einer aktuellen Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden allein im Jahr 2024 in Deutschland über 37,5 Millionen Phishing-Versuche registriert – ein Anstieg von 16 Prozent gegenüber dem Vorjahr. Angesichts dieser Zahlen ist es essenziell, effektive Strategien zur Erkennung und Abwehr solcher Angriffe zu kennen, insbesondere für Unternehmen, die oft gezielt ins Visier genommen werden.
Aktuelle Bedrohungslage: Warum Phishing für Unternehmen besonders gefährlich ist
Die Methoden von Cyberkriminellen entwickeln sich stetig weiter. Während klassische Phishing-Mails früher oft durch schlechte Grammatik und offensichtlich falsche Absenderadressen auffielen, sind moderne Angriffe inzwischen hochgradig professionell. Besonders besorgniserregend sind gezielte Phishing-Angriffe (Spear-Phishing), bei denen Täter vorher Informationen über ihr Opfer sammeln, um eine täuschend echte Nachricht zu erstellen. Unternehmen sind besonders betroffen, da Angriffe gezielt auf Mitarbeitende in sensiblen Abteilungen wie Finanzbuchhaltung oder IT abzielen.
Ein besonders raffinierter Angriff wurde 2024 in Deutschland aufgedeckt: Betrüger verschickten gefälschte Briefe im Namen von Banken mit QR-Codes, die angeblich zur Kontoverifizierung genutzt werden sollten. In Wahrheit führten die Codes auf täuschend echt nachgebaute Phishing-Websites, auf denen die Opfer ihre Zugangsdaten eingaben.
Quelle: BSI-Lagebericht 2024
Typische Merkmale von Phishing-Mails
Um sich vor Phishing zu schützen, ist es wichtig, die gängigen Anzeichen solcher betrügerischen E-Mails zu kennen:
1. Ungewöhnliche Absenderadressen
Phishing-Mails stammen oft von Adressen, die nur leicht von offiziellen Adressen abweichen:
Echt: support@paypal.com
Gefälscht: support@paypa1.com oder support@paypal-verifikation.com
Tipp: Bewegen Sie den Mauszeiger über die Absenderadresse, ohne zu klicken. So sehen Sie die echte Domain.
2. Dringende Handlungsaufforderungen
Cyberkriminelle setzen ihre Opfer unter Druck, um sie zu unüberlegtem Handeln zu bewegen. Typische Beispiele:
„Ihr Konto wird gesperrt, wenn Sie nicht innerhalb von 24 Stunden reagieren!“
„Letzte Mahnung – offene Zahlung sofort ausführen!“
Tipp: Banken oder seriöse Unternehmen setzen selten Fristen von wenigen Stunden.
3. Grammatik- und Rechtschreibfehler
Viele Phishing-Mails enthalten auffällige Fehler oder eine unnatürliche Sprache.
4. Gefälschte Links und Anhänge
Links in Phishing-Mails führen oft zu betrügerischen Websites.
Beispiel: Echt: www.paypal.com | Fake: www.paypal-verifikation.com
Tipp: Fahren Sie mit der Maus über den Link (ohne zu klicken), um die wahre URL anzuzeigen.
5. Fehlende persönliche Ansprache
Eine generische Begrüßung wie „Sehr geehrter Kunde“ ist ein Hinweis auf eine betrügerische Nachricht.
Aktuelle Beispiele für Phishing-Angriffe auf Unternehmen
1. CEO-Fraud – Betrug im Namen der Geschäftsführung
Cyberkriminelle geben sich als Führungskräfte aus und fordern Mitarbeitende zur dringenden Überweisung hoher Geldbeträge auf.
2. Gezielte Angriffe auf Finanzabteilungen
Gefälschte Rechnungen oder Zahlungsanweisungen werden an Buchhaltungsabteilungen gesendet, um Geldtransfers in die Wege zu leiten.
3. IT-Support-Phishing
E-Mails, die vorgeben, von der internen IT-Abteilung zu stammen, fordern Mitarbeitende zur Eingabe ihrer Anmeldedaten auf gefälschten Unternehmenswebseiten auf.
Quelle: Heise Security
Schutzmaßnahmen gegen Phishing für Unternehmen
1. Technische Schutzmaßnahmen
✔ E-Mail-Filter & Firewalls: Automatische Erkennung und Blockierung verdächtiger Mails.
✔ Multi-Faktor-Authentifizierung (MFA): Eine zusätzliche Sicherheitsabfrage erschwert unbefugte Zugriffe.
✔ E-Mail-Sicherheitsprotokolle (DMARC, SPF, DKIM): Diese helfen, gefälschte Absender zu identifizieren.
2. Schulungen & Awareness in Unternehmen
Regelmäßige Phishing-Tests für Mitarbeitende.
Klare Meldewege für verdächtige E-Mails.
Notfallpläne für IT-Sicherheitsvorfälle.
3. Was tun, wenn Ihr Unternehmen eine Phishing-Mail erhält?
Nicht auf Links oder Anhänge klicken.
Den Absender nicht kontaktieren.
Die Mail an eine offizielle Meldestelle weiterleiten:
Deutschland: phishing@bsi.bund.de
Österreich: cert@cert.at
Schweiz: antiphishing@melani.admin.ch
Fazit: Phishing-Mails erkennen und vorbeugen
Phishing-Angriffe stellen eine der größten Cyberbedrohungen für Unternehmen dar. Mit dem richtigen Wissen und technischen Schutzmaßnahmen lassen sich solche Angriffe jedoch vermeiden. Unternehmen sollten regelmäßig ihre Sicherheitsmaßnahmen überprüfen, um sich effektiv zu schützen.
Was tun, wenn Ihr Unternehmen auf eine Phishing-Mail hereingefallen ist?
Trennen Sie das betroffene Gerät sofort vom Netzwerk.
Ändern Sie alle relevanten Passwörter und überprüfen Sie Zugriffsrechte.
Kontaktieren Sie die IT-Sicherheitsabteilung oder einen IT-Sicherheitsexperten.
Bank und relevante Partner informieren.
Interne Sicherheitsrichtlinien überprüfen und optimieren.
Mitarbeitende gezielt nachschulen, um Wiederholungsfälle zu vermeiden.
Leiten Sie die Mail an eine offizielle Meldestelle weiter:
Deutschland: phishing@bsi.bund.de
Österreich: cert@cert.at
Schweiz: antiphishing@melani.admin.ch
