Was ist Phishing?
Der Begriff stammt von „fishing“ (nach Zugangsdaten „angeln“) mit dem „ph“ aus der Hacker-Szene des „phreaking“. Gemeint sind Täuschungsversuche, bei denen Angreifer Nutzer dazu bringen, sensible Informationen preiszugeben oder Aktionen auszuführen, die ihnen Zugang gewähren. Täter sind betrügerische Einzelpersonen, organisierte Cybergruppen oder auch staatlich unterstützte Akteure.
Heute tritt Phishing in vielen Varianten auf: klassisch per E-Mail (Massen- oder gezielte Spear-Phishing-Mails, „Whaling“ gegen Führungskräfte), per SMS (Smishing) und Telefon (Vishing), über manipulierte QR-Codes (QRishing), über gefälschte Login-Seiten oder App-Freigaben (OAuth-Consent), über MFA-Bestätigungsspam (MFA-Fatigue) sowie als geschäftliche Umleitung echter Prozesse (Business E-Mail Compromise, z.B. geänderte Bankdaten in echten Threads). Ziel ist immer dasselbe: Identität kapern, Geldflüsse umlenken oder Folgeschritte wie Malware-Installation vorbereiten.
Für konkrete Umsetzungsschritte, Playbooks und Unterstützung im Vorfall verweisen wir auf unsere Seiten für Privatpersonen oder für ganze Unternehmen.
Erkennung: 5 schnelle Checks
Stimmt die Domain exakt? Kein Buchstabendreher, keine Subdomain-Tricks?
Mit Maus drüber: führt der Link auf dieselbe Domain wie behauptet? Kürzer? Unpassend lang? Datei-Download statt Website?
„Heute noch freigeben, sonst Konto gesperrt“ – Klassiker. Echtgeschäfte haben Puffer und feste Freigaben.
Unerwartete ZIP/EXE/ISO oder Office-Dateien mit Makros sind tabu. EIne PDF mit Link ist genauso verdächtig.
Bankdaten- oder Zahlungsänderungen nie per E-Mail bestätigen. Immer Rückruf über intern hinterlegte Nummern.
Die häufigsten Angriffsarten verständlich und auf einen Blick
Aufklappen, lesen, fertig. Pro Eintrag: Kurzdefinition, typische Einfallstore, Erkennungsmerkmale und Sofortmaßnahmen.
Klassische Phishing-Mails locken mit Rechnungen, Zustellbenachrichtigungen oder „Sicherheitswarnungen“. Massenkampagnen zielen breit auf viele Postfächer. Spear-Phishing ist individuell zugeschnitten (echte Namen, interne Projekte). Whaling adressiert Führungskräfte, oft mit Zahlungsanweisungen oder Vertraulichkeitsdruck. Erkennbar an unpassenden Absender-Domains, Linkzielen und ungewohnten Freigabeaufforderungen.
Kurznachrichten mit angeblichen Paket-, Konto- oder Terminproblemen, oft mit Kurzlinks. Ziel: Login-Daten abgreifen oder eine App installieren lassen. Gegenmittel: keine Links aus SMS öffnen, stattdessen die echte App/Website manuell starten; Nummern nicht zurückrufen, sondern offizielle Hotlines nutzen.
Anrufe, die sich als Bank, Support oder „IT-Sicherheit“ ausgeben. Social Engineering erzeugt Druck, um Codes, TANs oder Remote-Zugriff zu erbitten. Abhilfe: Gespräch beenden, offiziell zurückrufen (eigene Kontaktliste), niemals Codes diktieren oder Software auf Zuruf installieren.
Überklebte oder manipulierte QR-Codes leiten auf Fake-Logins oder Downloadseiten. Tipp: bei QR-Codes immer die angezeigte URL prüfen, keine Logins über fremde Codes, und in Apps das „Öffnen in Browser“ bewusst wählen, um die Adressleiste zu sehen.
Nachgebaute Portale oder legitime Einwilligungsdialoge (OAuth) bitten um Kontozugriff. Selbst ohne Passwortdiebstahl kann eine App weitreichende Rechte erhalten. Prüfen: Domain in der Adressleiste, App-Herkunft, angeforderte Berechtigungen. Verdächtige OAuth-Zugriffe im Konto/MDM/SIEM widerrufen.
Angreifer kennen das Passwort und fluten Push-Anfragen, bis jemand „versehentlich“ bestätigt. Gegenmaßnahmen: FIDO2/Passkeys oder Push mit Number Matching, Geofencing, Alerting bei vielen MFA-Prompts, kompromittierte Sessions sofort zurücksetzen.
Bei Verdacht: 60-Sekunden-Plan
Eine Trennung vom Netzwerk kann bei Vorfällen wie z.B. Ransomware, Malware auf Endgerät und Exfiltration von Daten erforderlich sein.
Phishing-Button nutzen oder an sicherheitsvorfall@qs.de weiterleiten.
(wenn möglich) mitschicken. Keine großen Romane.
sofort Passwort ändern, MFA-Sessions zurücksetzen, Meldung ergänzen.
Sicherheitsvorfälle passieren. Entscheidend ist, wie schnell und strukturiert reagiert wird. Unser Incident-Response-Team isoliert betroffene Systeme, sichert Beweise, analysiert die Ursache und führt den Wiederanlauf kontrolliert durch – nachvollziehbar dokumentiert und auditfest.
Die Meldeweg im Unternehmen
Phishing ist ein Team-Sport: die meldende Person wird gelobt, nicht belehrt. Jede Meldung wird triagiert, verdächtige Absender geblockt und betroffene Nutzer informiert. Ergebnisse kurz zurückmelden – Feedback senkt Hemmschwellen.
Technische Basics, die wirklich wirken
- MFA richtig:
FIDO2/Passkeys bevorzugen, Push nur mit Number Matching, Legacy-Auth abschalten. - Mail-Schutz:
SPF, DKIM, DMARC auf „reject“, externe Absender markieren, Anhangstypen einschränken. - Identität & Zugriffe:
Least Privilege, getrennte Admin-Konten, Conditional Access für neue Geräte/Orte. - Geldflüsse absichern:
Vier-Augen-Prinzip, Pflicht-Callback über Stammdaten, Änderungen dokumentieren. - SIEM/Monitoring:
Anmelde-Anomalien, E-Mail-Regeln, OAuth-Apps und Massenweiterleitungen erkennen.
Jetzt Angebote anfragen!
Häufige Fragen
Mehr Details und konkrete Umsetzungsschritte finden Sie auf unserer Leistungsübersichtsseite für Unternehmen.
Nein. Öffnen allein ist selten kritisch. Gefahr entsteht meist erst durch Anmeldedaten oder Datei-Ausführung. Trotzdem sofort melden, Passwörter ändern, Sessions invalidieren.
Kurz, realistisch, regelmäßig: quartalsweise Mini-Übungen und eine jährliche Pflichtschulung. Wichtiger als Häufigkeit: schneller Meldeweg.
Moderne Phishing-Mails sind sprachlich perfekt und nutzen echte Namen/Projekte. Prüfe Absender-Domain, Linkziel und den Anlass. Wenn Druck gemacht wird oder Kontodaten/Bestätigungen gefordert sind: melden statt klicken.
Identität kann gefälscht oder gekapert sein. Bei Zahlungs- oder Kontodatenänderungen gilt: Pflicht-Callback über intern hinterlegte Nummer. Keine Freigaben nur per E-Mail.
Viele Phishing-Seiten sehen 1:1 echt aus. Entscheidend ist die Domain in der Adressleiste. Subdomain-Trick: login.bank.com.attacker.io ist nicht bank.com. Immer selbst die bekannte Adresse eintippen oder mit Lesezeichen öffnen.
Sofort Passwort ändern und aktive Sitzungen beenden lassen. Meldung an IT/Security mit Uhrzeit, Link und kurzer Beschreibung. Je schneller, desto weniger Schaden.
Nur, wenn Sie die URL nach dem Scan prüfen. Überklebte/gefälschte QR-Codes sind häufig. Keine Logins über fremde QR-Codes. Lieber App/Website manuell öffnen.
Ja, aber schnell: Button im Mail-Client nutzen. Kein Roman, ein Screenshot/Weiterleitung reicht. Jede Meldung verbessert die Filter und schützt andere.
Kann kritisch sein. Manche Apps erhalten Postfach- oder Dateizugriff ohne Passwortklau (OAuth-Consent). Sofort melden, App-Zugriff widerrufen lassen, Passwörter/Sessions prüfen.
