Was ist Phishing?

Phishing bezeichnet eine Form des Cyberangriffs, bei der Angreifer durch Täuschung versuchen, vertrauliche Informationen wie Zugangsdaten, Zahlungsinformationen oder personenbezogene Daten zu erlangen. In der Regel erfolgt der Angriff über E-Mail, zunehmend jedoch auch über Messenger-Dienste, soziale Netzwerke oder Kollaborationsplattformen. Ziel ist es, das Vertrauen der Empfänger auszunutzen und sie zu einer sicherheitskritischen Handlung zu bewegen, etwa zum Klick auf einen manipulierten Link oder zur Eingabe von Anmeldedaten auf einer gefälschten Webseite.

Da digitale Geschäftsprozesse, Cloud-Anwendungen und Remote-Arbeitsmodelle heute stark identitätsbasiert funktionieren, zählt Phishing zu den größten Sicherheitsrisiken für Unternehmen. Moderne Phishing-Kampagnen sind häufig personalisiert, professionell gestaltet und technisch so aufgebaut, dass sie klassische Spam-Filter umgehen. Dadurch wird Phishing oft zum Einstiegspunkt für weiterführende Angriffe wie Identitätsmissbrauch, Datenexfiltration oder Ransomware.

Die wichtigsten Punkte im Überblick:

• Täuschungsbasierter Angriff zur Erlangung sensibler Informationen wie Passwörter oder Finanzdaten.
• Verbreitung primär über E-Mail, zunehmend auch über Chat- und Cloud-Plattformen.
• Kombination aus technischer Manipulation und gezieltem Social Engineering.
• Häufiger Ausgangspunkt für Identitätskompromittierung und weitere Angriffsschritte.
• Zentrale Bedrohung für Microsoft-365- und cloudbasierte Arbeitsumgebungen.

Phishing ist damit eine der relevantesten Bedrohungen in modernen IT- und Sicherheitsarchitekturen und erfordert sowohl technische als auch organisatorische Gegenmaßnahmen.

1.1 Was versteht man unter Phishing?

Phishing bezeichnet eine Form des Cyberangriffs, bei der Angreifer durch Täuschung versuchen, an vertrauliche Informationen zu gelangen. Dazu gehören insbesondere Zugangsdaten, Zahlungsinformationen, personenbezogene Daten oder interne Unternehmensinformationen. Der Angriff erfolgt meist über digitale Kommunikationskanäle wie E-Mail, zunehmend aber auch über Messenger-Dienste, soziale Netzwerke oder Kollaborationsplattformen.

Im Kern basiert Phishing auf einem Vertrauensmissbrauch. Die Nachricht erweckt den Eindruck, von einer legitimen Quelle zu stammen – etwa einer Bank, einem Cloud-Anbieter, einem Kollegen oder der internen IT-Abteilung. Der Empfänger wird gezielt zu einer Handlung aufgefordert, zum Beispiel:

• Klick auf einen Link
• Öffnen eines Dokuments
• Eingabe von Anmeldedaten
• Bestätigung einer angeblich dringenden Zahlung

Phishing ist damit keine rein technische Schwachstelle, sondern eine Kombination aus technischer Manipulation und psychologischer Einflussnahme.

1.2 Warum ist Phishing eine der größten Cyberbedrohungen?

Phishing ist einer der häufigsten Einstiegspunkte für erfolgreiche Cyberangriffe. Das liegt vor allem an drei Faktoren: Skalierbarkeit, Effizienz und Identitätszentrierung moderner IT-Landschaften.

Cloud-Dienste, Remote-Zugänge und SaaS-Anwendungen sind heute stark identitätsbasiert organisiert. Wird eine Benutzeridentität kompromittiert, erhält der Angreifer häufig direkten Zugriff auf geschäftskritische Systeme. Besonders in Microsoft-365-Umgebungen können kompromittierte Konten unmittelbaren Zugang zu E-Mail, Teams, SharePoint oder OneDrive ermöglichen.

Phishing dient daher oft als Initial Access, also als erster Schritt in einer mehrstufigen Angriffskette. Typische Folgeaktivitäten sind:

• Übernahme privilegierter Konten
• Laterale Bewegung im Netzwerk
• Datenexfiltration
• Vorbereitung von Ransomware-Angriffen

Die Kombination aus niedriger Einstiegshürde für Angreifer und hohem Schadenspotenzial macht Phishing zu einer dauerhaft relevanten Bedrohung.

1.3 Welche Ziele verfolgen Angreifer mit Phishing?

Phishing ist selten Selbstzweck. In den meisten Fällen verfolgen Angreifer konkrete wirtschaftliche oder strategische Ziele.

Ein häufiges Motiv ist der Diebstahl von Zugangsdaten. Mit kompromittierten Identitäten lassen sich weitere Systeme infiltrieren oder Daten unbemerkt auslesen. Ebenso verbreitet ist der Versuch, Zahlungsprozesse zu manipulieren, etwa im Rahmen von Business Email Compromise.

Weitere Ziele können sein:

• Zugriff auf vertrauliche Unternehmensdokumente
• Erpressung durch Veröffentlichung sensibler Daten
• Vorbereitung von gezielten Industriespionage-Angriffen

Phishing ist damit häufig der Türöffner für weiterführende Cyberaktivitäten.

2.1 Welche typischen Angriffsformen gibt es?

Phishing tritt in unterschiedlichen Ausprägungen auf. Während frühe Angriffe meist breit gestreut waren, sind moderne Kampagnen zunehmend personalisiert.

Zu den häufigsten Formen gehören:

• Massenphishing: standardisierte Nachrichten an große Empfängergruppen
• Spear Phishing: gezielte Angriffe auf einzelne Personen oder Abteilungen
• Whaling: Angriffe auf Führungskräfte oder besonders privilegierte Konten
• Business Email Compromise: Manipulation interner Kommunikation zur Auslösung von Zahlungen
• Smishing oder Vishing: Phishing über SMS oder Telefon

Je gezielter der Angriff, desto höher ist in der Regel die Erfolgswahrscheinlichkeit.

2.2 Wie werden gefälschte Identitäten und Domains eingesetzt?

Ein zentrales Element technischer Phishing-Angriffe ist die Manipulation von Absenderidentitäten und Domains. Angreifer registrieren häufig Domains, die legitimen Unternehmensdomains stark ähneln. Bereits minimale Änderungen – ein zusätzlicher Buchstabe oder ein vertauschtes Zeichen – können visuell kaum auffallen.

Zusätzlich werden E-Mail-Header manipuliert oder Anzeige-Namen gefälscht, sodass die Nachricht authentisch wirkt. Selbst technische Schutzmechanismen wie SPF, DKIM oder DMARC können unter bestimmten Umständen umgangen werden, wenn Empfänger nicht aufmerksam prüfen. Das Ziel ist stets dasselbe: Vertrauen erzeugen und eine sicherheitskritische Handlung auslösen.

2.3 Wie funktionieren Phishing-Webseiten und Credential-Harvesting?

Phishing-E-Mails enthalten häufig Links zu täuschend echt gestalteten Webseiten. Diese imitieren bekannte Login-Seiten von Cloud-Diensten, Banken oder internen Portalen. Der Benutzer wird aufgefordert, seine Zugangsdaten einzugeben.

Die eingegebenen Informationen werden direkt an den Angreifer übertragen. Moderne Phishing-Seiten gehen noch weiter: Sie können Multi-Faktor-Authentifizierung umgehen, indem sie Anmeldetokens in Echtzeit abfangen oder Sitzungen spiegeln. Credential-Harvesting ist daher eine hochgradig automatisierte und technisch ausgefeilte Methode zur Identitätsübernahme.

2.4 Welche Rolle spielen Social Engineering und Psychologie?

Phishing wäre ohne psychologische Manipulation deutlich weniger erfolgreich. Angreifer nutzen gezielt menschliche Verhaltensmuster aus, darunter:

• Zeitdruck
• Autorität
• Angst vor negativen Konsequenzen
• Neugier
• Finanzielle Anreize

Typische Formulierungen lauten etwa: „Dringende Zahlungsanweisung“, „Ihr Konto wird gesperrt“ oder „Vertrauliche Nachricht vom Geschäftsführer“. Die Kombination aus glaubwürdiger Gestaltung und emotionalem Druck erhöht die Wahrscheinlichkeit, dass Empfänger unüberlegt handeln.

3.1 Welche Risiken entstehen für IT und Geschäftsprozesse?

Ein erfolgreicher Phishing-Angriff kann weitreichende technische und organisatorische Folgen haben. Wird eine Identität kompromittiert, kann der Angreifer auf interne Systeme zugreifen, Daten manipulieren oder weitere Benutzer infizieren.

Typische Auswirkungen sind:

• Zugriff auf vertrauliche Cloud-Dokumente
• Manipulation interner Kommunikation
• Störung geschäftskritischer Prozesse
• Vorbereitung von Ransomware-Angriffen

Gerade in digitalisierten Unternehmen sind Geschäftsprozesse eng mit Identitäten verknüpft, wodurch das Risiko besonders hoch ist.

3.2 Welche finanziellen und rechtlichen Folgen sind möglich?

Neben technischen Schäden entstehen häufig erhebliche wirtschaftliche Verluste. Business Email Compromise kann zu falschen Überweisungen in sechs- oder siebenstelliger Höhe führen.

Darüber hinaus sind rechtliche Konsequenzen möglich, insbesondere bei Datenschutzverletzungen. Unternehmen müssen unter Umständen Meldepflichten erfüllen oder haften für entstandene Schäden. Auch Reputationsverluste sind nicht zu unterschätzen, da Sicherheitsvorfälle das Vertrauen von Kunden und Partnern nachhaltig beeinträchtigen können.

3.3 Wie entwickeln sich Phishing-Angriffe im Kontext von Cloud und Remote Work?

Die Digitalisierung von Geschäftsprozessen und die Verlagerung in Cloud-Umgebungen haben die Angriffsfläche für Phishing deutlich verändert. Während klassische IT-Infrastrukturen stärker netzwerkzentriert geschützt waren, sind moderne Arbeitsumgebungen identitätszentriert organisiert. Der Zugang zu Anwendungen erfolgt primär über Benutzerkonten und Web-Authentifizierung.

Genau hier setzen moderne Phishing-Angriffe an. Cloud-Dienste wie Microsoft 365, Google Workspace oder andere SaaS-Plattformen werden gezielt imitiert. Angreifer erstellen täuschend echte Login-Seiten, die den Originalen optisch kaum nachstehen. Besonders kritisch ist dabei, dass der Zugriff häufig von beliebigen Standorten aus möglich ist. Remote Work reduziert die klare Trennung zwischen internem und externem Zugriff.

Neue Entwicklungen im Cloud-Kontext umfassen unter anderem:

• Token-Diebstahl: Abfangen von Authentifizierungs-Tokens statt klassischer Passwörter
• MFA-Bypass-Techniken: Umgehung von Multi-Faktor-Authentifizierung durch Echtzeit-Proxy-Seiten
• OAuth-Manipulation: Missbrauch von App-Berechtigungen zur dauerhaften Zugriffserlangung
• Session Hijacking: Übernahme bestehender Web-Sitzungen

In hybriden Arbeitsmodellen greifen Benutzer von unterschiedlichen Netzwerken, privaten Geräten oder mobilen Endgeräten auf Unternehmensressourcen zu. Dadurch entstehen zusätzliche Variablen für die Risikobewertung. Phishing ist in modernen Cloud-Umgebungen daher weniger ein reiner E-Mail-Angriff, sondern ein Identitätsangriff. Der Schutz verschiebt sich vom klassischen Perimeter-Schutz hin zu:

• Identitätsüberwachung
• Risikobasierter Zugriffskontrolle
• Kontinuierlicher Authentifizierungsprüfung
• Kontextanalyse von Benutzeraktivitäten

Für IT- und Security-Verantwortliche bedeutet das: Phishing-Abwehr muss integraler Bestandteil einer Cloud- und Zero-Trust-Strategie sein. Ohne identitätsbasierte Schutzmechanismen bleibt das Risiko trotz technischer Filter bestehen.

4. Schutzmaßnahmen gegen Phishing

Ein wirksamer Schutz vor Phishing erfordert einen mehrschichtigen Ansatz. Da Phishing sowohl technische als auch menschliche Schwachstellen adressiert, müssen technische, organisatorische und kulturelle Maßnahmen ineinandergreifen. Einzelne Schutzmechanismen sind isoliert betrachtet nicht ausreichend.

4.1 Technische Schutzmechanismen

Technische Schutzmaßnahmen bilden die erste Verteidigungslinie. Moderne Anti-Phishing-Lösungen gehen dabei weit über klassischen Spam-Schutz hinaus.

Wichtige technische Komponenten sind:

Erweiterte Anti-Phishing-Filter
Diese analysieren nicht nur Absenderadressen, sondern auch Domain-Ähnlichkeiten, Kommunikationsmuster und ungewöhnliche Formulierungen. Moderne Systeme arbeiten verhaltensbasiert und berücksichtigen Benutzerkontext.

Echtzeitprüfung von URLs
Da viele Angriffe über manipulierte Links erfolgen, werden URLs beim Anklicken erneut geprüft. Selbst wenn eine Website erst nach Versand der E-Mail kompromittiert wurde, kann sie blockiert werden.

Sandbox-Analyse von Anhängen
Dateianhänge werden in isolierten Umgebungen ausgeführt, um schädliches Verhalten zu erkennen, bevor sie produktiv genutzt werden können.

Multi-Faktor-Authentifizierung (MFA)
MFA reduziert das Risiko, dass gestohlene Zugangsdaten unmittelbar genutzt werden können. Selbst wenn ein Passwort kompromittiert wurde, ist ein zusätzlicher Faktor erforderlich.

Conditional Access und Risikobewertung
Zugriffe können abhängig vom Gerätezustand, Standort oder Identitätsrisiko eingeschränkt werden. Dadurch wird die Nutzung kompromittierter Konten erschwert.

Wichtig ist: Technische Maßnahmen reduzieren das Risiko erheblich, können jedoch Social Engineering nicht vollständig verhindern.

4.2 Organisatorische und prozessuale Maßnahmen

Technologie allein genügt nicht, da Phishing gezielt menschliches Verhalten adressiert. Unternehmen benötigen daher klare organisatorische Schutzmechanismen.

Dazu gehören unter anderem:

• Vier-Augen-Prinzip bei Zahlungsanweisungen
• Verbindliche Prüfprozesse bei Bankdatenänderungen
• Klare Meldewege für verdächtige Nachrichten
• Dokumentierte Incident-Response-Prozesse

Besonders bei Business Email Compromise sind strukturierte Freigabeprozesse entscheidend. Selbst eine technisch perfekt gestaltete Phishing-Mail verliert ihre Wirkung, wenn Zahlungsanweisungen systematisch geprüft werden.

Darüber hinaus sollten Rollen und Verantwortlichkeiten klar definiert sein. Wer bewertet gemeldete E-Mails? Wer entscheidet über Eskalationen? Wer informiert betroffene Fachbereiche? Organisatorische Klarheit reduziert Reaktionszeiten und minimiert Folgeschäden.

4.3 Awareness- und Simulationstrainings

Da Phishing stark auf psychologischer Manipulation basiert, ist Sensibilisierung ein zentraler Bestandteil der Abwehrstrategie.

Regelmäßige Awareness-Programme vermitteln:

• Typische Merkmale von Phishing-Nachrichten
• Risiken von Credential-Harvesting
• Sichere Verhaltensweisen im Umgang mit Links und Anhängen

Phishing-Simulationen gehen einen Schritt weiter. Sie ermöglichen es, reale Angriffsszenarien kontrolliert nachzustellen und das Verhalten der Mitarbeitenden zu analysieren. Dadurch lassen sich:

• Besonders gefährdete Zielgruppen identifizieren
• Schulungsmaßnahmen gezielt ausrichten
• Sicherheitskultur messbar verbessern

Entscheidend ist dabei eine konstruktive Kultur. Simulationen sollten nicht zur Sanktionierung dienen, sondern zur kontinuierlichen Verbesserung.

5. Phishing im Kontext moderner Sicherheitsarchitekturen

Phishing ist heute nicht mehr isoliert zu betrachten, sondern Teil komplexer Angriffsketten. Entsprechend muss auch die Abwehr in moderne Sicherheitsarchitekturen integriert sein.

5.1 Warum reicht klassischer Spam-Schutz nicht aus?

Frühere Phishing-Angriffe waren häufig massenhaft und technisch einfach gestaltet. Klassische Spam-Filter konnten viele dieser Nachrichten blockieren.

Moderne Phishing-Kampagnen sind jedoch:

• Personalisiert
• Kontextbezogen
• Signaturunabhängig
• Dynamisch

Sie enthalten oft keine Schadsoftware, sondern lediglich glaubwürdig formulierte Inhalte. Dadurch umgehen sie klassische signaturbasierte Filter.

Effektiver Schutz erfordert daher:

• Verhaltensbasierte Analyse
• Kontextbewertung
• Identitätsrisikoanalyse

Spam-Schutz ist heute nur noch eine Basiskomponente.

5.2 Rolle von Zero Trust und Multi-Faktor-Authentifizierung

Zero-Trust-Architekturen gehen davon aus, dass kein Benutzer und kein Gerät automatisch vertrauenswürdig ist.

Im Kontext von Phishing bedeutet das:

• Jede Anmeldung wird risikobasiert bewertet.
• Ungewöhnliche Anmeldeversuche führen zu zusätzlichen Prüfungen.
• Kompromittierte Identitäten können automatisch eingeschränkt werden.

Multi-Faktor-Authentifizierung ist dabei ein zentraler Baustein. Sie verhindert, dass ein gestohlenes Passwort allein ausreicht. Darüber hinaus können riskante Anmeldungen automatisch blockiert oder nur mit eingeschränkten Rechten zugelassen werden.

5.3 Integration in XDR- und SOC-Strukturen

Moderne Sicherheitsplattformen wie XDR korrelieren Phishing-Ereignisse mit anderen Sicherheitsdaten.

Beispiel:

Ein Benutzer klickt auf einen Phishing-Link. Kurz darauf erfolgt ein ungewöhnlicher Login von einem fremden Standort. Gleichzeitig zeigt ein Endpoint verdächtige Aktivitäten.

Erst durch die Korrelation entsteht ein vollständiges Lagebild.

Security Operations Centers profitieren von dieser Integration, da:

• Warnmeldungen gruppiert werden
• Angriffsketten sichtbar werden
• Priorisierung automatisiert erfolgt

Phishing wird dadurch nicht isoliert behandelt, sondern als Teil einer ganzheitlichen Bedrohungslage bewertet.

6. Strategische Einordnung

Phishing ist keine kurzfristige Bedrohung, sondern ein strukturelles Risiko digitaler Kommunikation. Unternehmen müssen davon ausgehen, dass Phishing dauerhaft Bestandteil der Bedrohungslage bleibt. Die strategische Einordnung geht daher über rein technische Abwehrmaßnahmen hinaus.

6.1 Warum bleibt Phishing dauerhaft relevant?

Phishing ist deshalb so erfolgreich, weil es ein grundlegendes Element moderner IT-Infrastrukturen angreift: die digitale Identität.

Solange Unternehmen

• cloudbasierte Dienste nutzen,
• E-Mail als primären Kommunikationskanal einsetzen,
• digitale Freigabe- und Zahlungsprozesse verwenden,
• ortsunabhängiges Arbeiten ermöglichen,

bleibt Phishing ein attraktiver Angriffsvektor.

Zudem ist Phishing für Angreifer wirtschaftlich effizient. Der technische Aufwand ist vergleichsweise gering, während das potenzielle Schadensausmaß hoch ist. Angreifer benötigen keine komplexen Zero-Day-Exploits, sondern nutzen menschliches Vertrauen und Routineverhalten.

Die strukturelle Ursache liegt also nicht in einer einzelnen Schwachstelle, sondern im Zusammenspiel von:

• Digitaler Identität
• Menschlichem Verhalten
• Globaler Vernetzung

Phishing wird daher nicht verschwinden, sondern sich kontinuierlich weiterentwickeln.

6.2 Welche Trends prägen die Zukunft von Phishing-Angriffen?

Die Qualität und Komplexität von Phishing-Kampagnen nimmt stetig zu. Mehrere Entwicklungen prägen die aktuelle Bedrohungslage:

KI-gestützte Inhalte
Sprachmodelle ermöglichen grammatikalisch fehlerfreie, personalisierte Nachrichten. Klassische Erkennungsmerkmale wie Rechtschreibfehler verlieren an Bedeutung.

Gezielte Identitätsangriffe
Anstatt Massenkampagnen werden zunehmend gezielte Angriffe auf bestimmte Rollen oder Abteilungen durchgeführt, etwa Finanz- oder HR-Teams.

MFA-Umgehungstechniken
Angreifer nutzen Echtzeit-Proxy-Seiten oder Social-Engineering-Methoden, um Multi-Faktor-Authentifizierung zu umgehen.

Deepfake-gestützte Angriffe
Sprach- oder Videomanipulation kann dazu genutzt werden, Vertrauen zusätzlich zu verstärken.

Cloud- und Token-Fokus
Anstelle von Passwörtern werden Authentifizierungs-Tokens oder API-Berechtigungen angegriffen.

Diese Trends zeigen, dass Phishing nicht nur ein E-Mail-Problem ist, sondern zunehmend identitäts- und cloudzentriert wird.

6.3 Fazit für IT- und Security-Verantwortliche

Für IT- und Security-Verantwortliche bedeutet die strategische Einordnung von Phishing:

1. Phishing-Schutz ist kein Projekt, sondern ein kontinuierlicher Prozess.
2. Technische Filter allein sind nicht ausreichend.
3. Identitätsschutz ist der zentrale Verteidigungsmechanismus.
4. Awareness und klare Prozesse sind ebenso wichtig wie Technologie.
5. Sicherheitsarchitekturen müssen Phishing als initialen Angriffspunkt mitdenken.

Eine nachhaltige Phishing-Strategie kombiniert:

• Moderne Anti-Phishing-Technologie
• Multi-Faktor-Authentifizierung
• Zero-Trust-Prinzipien
• Strukturierte Incident-Response-Prozesse
• Kontinuierliche Sensibilisierung der Mitarbeitenden

Nur durch diesen mehrschichtigen Ansatz lässt sich das Risiko dauerhaft reduzieren. Phishing bleibt damit eine Kernherausforderung moderner IT-Sicherheitsstrategien – technisch, organisatorisch und strategisch zugleich.