Zum Hauptinhalt springen
Cybersecurity

Phishing Angriff im Unternehmen erkennen und abwehren

Veröffentlicht: Aktualisiert:
Mitarbeiter prueft eine verdaechtige E-Mail am Laptop, Symbolbild fuer einen Phishing-Angriff im Unternehmen

Das Wichtigste in Kürze

  • Phishing erkennen Sie an Dringlichkeit, gefaelschtem Absender und Links, die vom angezeigten Text abweichen
  • Erster Schritt nach einem Klick: betroffene Passwoerter aendern und die IT informieren
  • Bei einer betruegerischen Ueberweisung sofort die Bank anrufen, die Zahlung laesst sich oft noch stoppen
  • Sind personenbezogene Daten betroffen, gilt die 72-Stunden-Meldefrist nach DSGVO
  • Eine Cyberversicherung kann Forensik, Rechtskosten und Social-Engineering-Schaeden uebernehmen

Ein Phishing-Angriff im Unternehmen beginnt fast immer mit einer E-Mail, die echt aussieht: bekannter Absender, passender Tonfall, ein dringender Wunsch. Sie erkennen den Betrug an drei Dingen: kuenstlichem Zeitdruck, einer Absenderadresse, die bei genauem Hinsehen nicht stimmt, und einem Link, dessen Ziel vom angezeigten Text abweicht. Dieser Ratgeber zeigt Ihnen die Erkennungsmerkmale anhand konkreter Beispiele, die richtigen Sofortmassnahmen nach einem Klick und die Meldepflichten, die fuer Ihr Unternehmen gelten.

Notfall: Phishing-Angriff erkannt?

  1. Passwoerter SOFORT aendern (alle betroffenen Konten)
  2. IT-Abteilung / IT-Dienstleister informieren
  3. Computer vom Netzwerk trennen (bei Verdacht auf Malware)
  4. Bei finanziellen Transaktionen: Bank kontaktieren
  5. Cyberversicherung informieren

Was ist ein Phishing-Angriff?

Phishing ist eine Form des Social Engineering, bei der Angreifer ihre Opfer dazu bringen wollen, vertrauliche Daten preiszugeben oder Geld zu ueberweisen. Der Begriff leitet sich vom englischen fishing (Angeln) ab: Die Taeter werfen einen Koeder aus und warten, wer anbeisst. Das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) zaehlt Phishing zu den verbreitetsten Methoden, mit denen Kriminelle an Passwoerter und Zugangsdaten gelangen (Quelle: BSI, Passwortdiebstahl durch Phishing).

Im Unternehmen unterscheidet sich Phishing vom privaten Umfeld vor allem durch das Ziel. Angreifer wollen nicht nur ein einzelnes Konto kapern, sondern Zugang zu Firmensystemen, Buchhaltung oder Kundendaten. Ein einziger unbedachter Klick in der Verwaltung kann ein ganzes Netzwerk oeffnen.

Phishing-Arten im Unternehmen im Vergleich

Nicht jeder Angriff laeuft gleich ab. Diese Tabelle zeigt, wie sich die gaengigen Phishing-Arten in Kanal, Ziel und Gefaehrdung unterscheiden:

MerkmalKanalZielgruppeGefahr fuer KMU
E-Mail-PhishingE-Mail (Massenversand)Alle MitarbeiterMittel
Spear PhishingE-Mail (gezielt)Einzelne PersonenHoch
CEO-Fraud / BECE-Mail (Identitaetsfaelschung)Buchhaltung, AssistenzSehr hoch
Vishing / SmishingTelefon oder SMSService, SupportMittel
Quishing (QR-Code)QR-Code in der MailAlle MitarbeiterWachsend

BEC steht fuer Business Email Compromise, also die Kompromittierung der geschaeftlichen E-Mail-Kommunikation. Spear Phishing meint einen gezielten Angriff auf eine bestimmte Person statt eines Massenversands.

So erkennen Sie Phishing

Typische Merkmale von Phishing-E-Mails

  • Dringlichkeit: "Ihr Konto wird gesperrt", "Sofort handeln", "Letzte Warnung"
  • Gefaelschte Absender: info@amaz0n.com statt info@amazon.com
  • Verdaechtige Links: URL weicht vom angezeigten Text ab (Hover zum Pruefen!)
  • Rechtschreibfehler: Oft grammatikalische Fehler oder seltsame Formulierungen
  • Unpersoenliche Anrede: "Sehr geehrter Kunde" statt Ihres Namens
  • Unerwartete Anhaenge: Rechnungen, die Sie nicht erwartet haben
  • Abfrage sensibler Daten: Seriöse Unternehmen fragen nie per E-Mail nach Passwoertern

Phishing-Beispiele aus dem Unternehmensalltag

Drei Muster begegnen Buchhaltung und Assistenz besonders haeufig:

  • Die gefaelschte Rechnung. Ein angeblicher Lieferant meldet eine geaenderte Bankverbindung und bittet, kuenftige Zahlungen auf das neue Konto zu leiten.
  • Der vermeintliche IT-Support. Eine Mail fordert zur sofortigen Passwort-Bestaetigung auf einer nachgebauten Login-Seite auf, weil das Konto angeblich gesperrt werde.
  • Die Chef-Mail mit Zahlungsbitte. Eine Nachricht im Namen der Geschaeftsfuehrung verlangt eine eilige, vertrauliche Ueberweisung. Diese Sonderform heisst CEO-Fraud.

CEO-Fraud und verwandte Social-Engineering-Angriffe behandeln wir im eigenen Ratgeber zu CEO-Fraud und Social Engineering ausfuehrlich, samt Freigabeprozessen und Schadenbeispielen. Auf dieser Seite bleibt der Fokus auf der E-Mail-Erkennung und der unmittelbaren Reaktion.

Sofortmassnahmen bei einem Phishing-Angriff

Wenn Sie auf einen Link geklickt haben

  1. Sofort alle Passwoerter aendern, die Sie auf der gefaelschten Seite eingegeben haben
  2. IT-Abteilung informieren - auch wenn es Ihnen peinlich ist
  3. Computer scannen auf Malware (Antivirenprogramm)
  4. Konten pruefen auf verdaechtige Aktivitaeten
  5. Multi-Faktor-Authentifizierung aktivieren, falls noch nicht geschehen

Wenn eine Ueberweisung erfolgt ist (CEO-Fraud)

  1. Bank sofort kontaktieren - Ueberweisung kann moeglicherweise noch gestoppt werden
  2. Polizei einschalten - Anzeige erstatten
  3. Cyberversicherung informieren - viele Policen decken Social Engineering
  4. Intern dokumentieren - Beweise sichern

Wenn Ransomware installiert wurde

Phishing-E-Mails koennen Ransomware enthalten. Wenn Dateien verschluesselt werden:

  1. Computer sofort vom Netzwerk trennen
  2. Weitere Computer nicht einschalten
  3. IT-Experten / Forensik rufen
  4. Cyberversicherung informieren

Wie Sie eine Verschluesselung eindaemmen und Daten wiederherstellen, lesen Sie im Ratgeber Ransomware-Schutz. Einen strukturierten Ablauf fuer den Ernstfall bietet der Leitfaden zum Cyber-Notfallplan.

Meldepflichten: Wann Sie einen Phishing-Vorfall melden muessen

Sind durch den Angriff personenbezogene Daten abgeflossen, etwa Kundenadressen oder Zugangsdaten, gilt die Meldefrist von 72 Stunden nach der Datenschutz-Grundverordnung (DSGVO) gegenueber der zustaendigen Aufsichtsbehoerde. Fuer Unternehmen, die unter die NIS-2-Richtlinie fallen, kommen eigene Fristen hinzu. Welche das sind und ob Ihr Betrieb betroffen ist, klaert der Ratgeber zur NIS-2-Richtlinie. Informieren Sie parallel Ihre Cyberversicherung, denn viele Policen verlangen eine unverzuegliche Meldung.

Praevention: So schuetzen Sie Ihr Unternehmen

Technische Massnahmen

  • E-Mail-Filter: Spam- und Phishing-Filter auf dem neuesten Stand halten
  • Multi-Faktor-Authentifizierung: MFA fuer alle Zugaenge, besonders E-Mail und kritische Systeme
  • DMARC/DKIM/SPF: E-Mail-Authentifizierung implementieren
  • Endpoint Protection: Moderne Antivirenloesung mit Verhaltensanalyse
  • Web-Filter: Bekannte Phishing-Seiten blockieren

Organisatorische Massnahmen

  • Security Awareness Training: Regelmaessige Schulungen fuer alle Mitarbeiter
  • Phishing-Simulationen: Kontrollierte Tests, um Schwachstellen zu erkennen
  • Freigabeprozesse: Vier-Augen-Prinzip bei Ueberweisungen ueber bestimmten Betraegen
  • Rueckruf-Verfahren: Bei ungewoehnlichen Anfragen immer telefonisch rueckfragen
  • Meldekultur: Mitarbeiter ermutigen, verdaechtige E-Mails zu melden

Tipp: Rueckruf-Regel

Fuehren Sie eine einfache Regel ein: Bei ungewoehnlichen Anfragen per E-Mail (besonders bei Zahlungen oder Datenweitergabe) immer telefonisch rueckfragen - und zwar unter der bekannten Nummer, nicht unter einer in der E-Mail genannten.

Cyberversicherung und Phishing

Eine Cyberversicherung kann die finanziellen Folgen von Phishing-Angriffen abfedern:

Was ist typischerweise gedeckt?

  • Direkte Vermoegensverluste: Durch CEO-Fraud oder Kontobetrug (oft als "Social Engineering" bezeichnet)
  • Forensik-Kosten: Untersuchung des Vorfalls
  • Wiederherstellungskosten: Bei Malware-Infektion
  • Rechtskosten: Beratung und Verteidigung
  • Krisenmanagement: PR und Kommunikation
  • Betriebsunterbrechung: Bei laengeren Ausfaellen

Wichtig beim Versicherungsschutz

  • Social Engineering sollte explizit gedeckt sein (nicht bei allen Policen Standard)
  • Sublimits beachten: Oft gibt es Obergrenzen fuer bestimmte Schadensarten
  • Wartefristen: Manche Policen haben eine Karenzzeit

Fuer wen sich eine Cyberversicherung mit Phishing-Schutz lohnt

Für wen ist Cyberversicherung mit Social-Engineering-Schutz geeignet?

Geeignet für

  • KMU, die regelmaessig Zahlungen per E-Mail-Freigabe abwickeln
  • Betriebe mit Buchhaltung oder Assistenz als haeufige Phishing-Ziele
  • Unternehmen, die personenbezogene Kunden- oder Mitarbeiterdaten verarbeiten
  • Firmen ohne eigene IT-Sicherheitsabteilung oder Forensik-Kapazitaet

Weniger geeignet für

  • Einzelpersonen ohne geschaeftliche Zahlungsprozesse
  • Betriebe, die bereits eine umfassende Police mit Social-Engineering-Deckung halten

Checkliste: Phishing-Schutz im Unternehmen

  1. Technische Basis: E-Mail-Filter, MFA, aktuelle Antivirensoftware
  2. Mitarbeiterschulung: Regelmaessige Security Awareness Trainings
  3. Prozesse: Freigabeprozesse fuer Zahlungen, Rueckruf-Regel
  4. Notfallplan: Was tun bei einem erfolgreichen Angriff?
  5. Versicherung: Cyberversicherung mit Social Engineering Deckung
  6. Testen: Regelmaessige Phishing-Simulationen
  7. Updates: Alle Systeme aktuell halten

KI-gestuetztes Phishing: Was sich 2026 aendert

Generative Kuenstliche Intelligenz (KI) hat eine altbekannte Schwachstelle vieler Phishing-Mails beseitigt: die schlechte Sprache. Texte sind heute grammatikalisch einwandfrei, im Tonfall passend und auf den Empfaenger zugeschnitten. Die frueher zuverlaessigen Warnzeichen wie Rechtschreibfehler greifen damit seltener. Das BSI weist in seinen Lageberichten auf die wachsende Qualitaet KI-gestuetzter Angriffe hin (Quelle: BSI-Lageberichte).

Neue Angriffsformen, auf die Sie achten sollten

  • KI-personalisierte Mails. Aus oeffentlich verfuegbaren Informationen ueber Ihr Unternehmen bauen Angreifer Nachrichten, die echte Projekte, Namen und Ansprechpartner nennen.
  • Phishing-as-a-Service (PhaaS). Fertige Phishing-Baukaesten werden im kriminellen Untergrund als Mietdienst angeboten, wodurch auch technisch wenig versierte Taeter Kampagnen starten koennen.
  • Quishing (QR-Code-Phishing). Ein QR-Code in der Mail fuehrt auf eine gefaelschte Login-Seite. Weil kein klassischer Link enthalten ist, rutscht die Nachricht an manchen E-Mail-Filtern vorbei.
  • Deepfake-Phishing. KI-generierte Audio- oder Videoanrufe imitieren Stimme und Gesicht von Vorgesetzten, um eine Zahlung oder Datenfreigabe zu erzwingen.

Technische Schutzmassnahmen 2026

Angesichts der KI-getriebenen Bedrohungen muessen Unternehmen ihre technischen Abwehrmassnahmen auf den neuesten Stand bringen:

  • DMARC, SPF und DKIM implementieren: Diese drei E-Mail-Authentifizierungsprotokolle verhindern, dass Angreifer Ihre Unternehmens-Domain fuer gefaelschte E-Mails missbrauchen. DMARC (Domain-based Message Authentication) ist die wichtigste Einzelmassnahme gegen E-Mail-Spoofing.
  • FIDO2 als phishing-resistente MFA: Herkoemmliche Zwei-Faktor-Authentifizierung per SMS oder App kann durch Echtzeit-Phishing-Proxys umgangen werden. FIDO2-Sicherheitsschluessel sind kryptografisch an die echte Domain gebunden und damit immun gegen Phishing.
  • KI-basierte E-Mail-Analyse: Moderne Sicherheitsloesungen nutzen maschinelles Lernen, um Anomalien im E-Mail-Verkehr in Echtzeit zu erkennen - etwa ungewoehnliche Absendermuster, verdaechtige Anhaenge oder atypische Kommunikationswege.

Fazit

Phishing scheitert dort, wo Menschen genau hinschauen

Kein E-Mail-Filter faengt jede Nachricht ab. Am Ende entscheidet eine Person, ob sie auf den Link klickt oder die Ueberweisung freigibt. Regelmaessige Schulungen und Phishing-Simulationen senken die Klickrate, und feste Freigabeprozesse fangen die Faelle ab, die durch den Filter rutschen. MFA und E-Mail-Authentifizierung per DMARC bilden die zweite Verteidigungslinie.

Falls trotzdem etwas passiert, uebernimmt eine Cyberversicherung fuer KMU die Kosten fuer Forensik, Rechtsverteidigung und Betriebsunterbrechung. Schaeden aus Social Engineering wie CEO-Fraud sind bei passenden Policen eingeschlossen. Wer ohnehin den Versicherungsschutz prueft, sollte auch die Berufshaftpflicht im Blick behalten, falls durch einen Datenabfluss Dritte geschaedigt werden.

Phishing ist ein Cyberangriff, bei dem Angreifer versuchen, durch gefaelschte E-Mails, Webseiten oder Nachrichten an vertrauliche Daten zu gelangen - typischerweise Passwoerter, Kreditkartendaten oder Zugangsdaten zu Unternehmenssystemen.

Typische Anzeichen: Dringlichkeit und Zeitdruck, unbekannter Absender oder gefaelschte Absenderadresse, Rechtschreibfehler, unpersoenliche Anrede, verdaechtige Links (Hover zum Pruefen), Aufforderung zur Eingabe von Zugangsdaten, unerwartete Anhaenge.

Sofort alle eingegebenen Passwoerter aendern, IT-Abteilung informieren, Computer auf Malware scannen, verdaechtige Aktivitaeten auf Konten pruefen, bei Bankdaten sofort die Bank informieren. Je schneller Sie handeln, desto besser.

Ja, die meisten Cyberversicherungen decken Schaeden durch Phishing, einschliesslich CEO-Fraud. Das umfasst direkten Vermoegensverlust, Kosten fuer Forensik, Rechtskosten und oft auch Social-Engineering-Betrug.

Fahren Sie mit der Maus ueber den Link, ohne zu klicken. In der Statusleiste sehen Sie das tatsaechliche Ziel. Weicht es vom angezeigten Text ab oder enthaelt es eine fremde Domain, ist Vorsicht geboten. Auf dem Smartphone hilft langes Tippen, um die Ziel-URL anzuzeigen. Geben Sie Login-Daten nie ueber einen Link aus einer Mail ein, sondern rufen Sie die Seite selbst im Browser auf.

Normales Phishing geht an viele Empfaenger gleichzeitig mit allgemeinen Koeder-Mails. Spear Phishing richtet sich gezielt an eine bestimmte Person und nutzt persoenliche Informationen wie Name, Position oder laufende Projekte, um ueberzeugender zu wirken. Spear Phishing ist deshalb schwerer zu erkennen.

Wenn durch den Angriff personenbezogene Daten kompromittiert wurden: ja, innerhalb von 72 Stunden an die Datenschutzbehoerde (DSGVO). Bei NIS-2-pflichtigen Unternehmen gilt zusaetzlich eine 24-Stunden-Fruehwarnung ans BSI. Auch die Cyberversicherung muss sofort informiert werden.

Schutz vor Phishing und Cybercrime

Eine Cyberversicherung uebernimmt die Kosten bei erfolgreichen Phishing-Angriffen und hilft im Krisenfall.

Zur Cyberversicherung