PAllgemein

Phishing

Betrugsversuch per E-Mail/Chat/Telefon zur Abgreifung von Zugangsdaten.

Phishing ist ein Betrugsversuch über E-Mail, Chat, SMS oder Telefon, bei dem Angreifer sich als vertrauenswürdige Stelle (z. B. Bank, Paketdienst, Geschäftsführung oder IT-Support) ausgeben, um Zugangsdaten, Zahlungsinformationen oder andere sensible Daten zu erbeuten. Ziel ist meist, Konten zu übernehmen, Zahlungen auszulösen oder Schadsoftware einzuschleusen.

Wie funktioniert Phishing?

Phishing folgt oft einem wiederkehrenden Muster – egal ob per Mail, Messenger ("Smishing"), Telefon ("Vishing") oder über gefälschte Webseiten:

  • 1) Kontaktaufnahme: Eine Nachricht wirkt dringend („Konto gesperrt“, „Rechnung überfällig“, „Passwort läuft ab“).
  • 2) Vertrauen aufbauen: Absendername, Logo und Tonfall imitieren echte Anbieter oder interne Personen.
  • 3) Handlungsdruck erzeugen: Zeitdruck, Drohungen oder „Sofort-Rabatte“ sollen schnelles Klicken auslösen.
  • 4) Abgriff/Infektion: Opfer gibt Daten auf einer Fake-Login-Seite ein, öffnet einen Anhang oder bestätigt eine Zahlung.
  • 5) Missbrauch: Zugriff auf E-Mail-Postfächer, Cloud-Tools, Online-Banking oder ERP – häufig mit Folgeschäden wie Rechnungsbetrug (CEO-Fraud) oder Ransomware.

Typische Phishing-Varianten in KMU

  • Credential-Phishing: Login-Daten für Microsoft 365/Google Workspace/CRM werden über Fake-Login-Seiten abgegriffen.
  • Rechnungs- & Zahlungsphishing: „Neue Bankverbindung“ oder „Eilüberweisung“ – oft an Buchhaltung gerichtet.
  • Business E-Mail Compromise (BEC): Angreifer kapern ein echtes Postfach und schreiben aus realen Konversationen heraus.
  • Telefonisches Phishing (Vishing): Fake-IT-Support lässt Mitarbeitende MFA-Codes durchgeben oder Fernzugriff erlauben.
  • KI-gestütztes Spear-Phishing: Mit Generative KI (Generative AI) werden individuellere, fehlerärmere Texte erzeugt – dadurch sinkt die „Erkennungsquote“ über Rechtschreibfehler.

Warum ist Phishing für IT-Sicherheit & Datenschutz (DSGVO) relevant?

Phishing ist häufig der Einstieg in Datenpannen. Werden personenbezogene Daten (z. B. Kundendaten, Mitarbeiterdaten, E-Mail-Inhalte) kompromittiert, kann eine meldepflichtige Datenschutzverletzung vorliegen. Nach DSGVO müssen Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) umsetzen (Art. 32) und bei hohem Risiko ggf. innerhalb von 72 Stunden an die Aufsichtsbehörde melden (Art. 33) sowie Betroffene informieren (Art. 34). Für KMU heißt das: Prävention ist nicht nur „IT-Thema“, sondern auch Compliance.

Praktische Schutzmaßnahmen für kleine Unternehmen

  • MFA/2FA konsequent aktivieren (besonders für E-Mail, Admin-Konten, Fernzugriff).
  • Security Awareness & klare Prozesse: Zahlungsfreigaben mit Vier-Augen-Prinzip, Rückruf über bekannte Nummern, keine Passwortweitergabe.
  • E-Mail-Schutz: Spam-/Phishing-Filter, Anhang-Sandboxing, sowie Domain-Schutz (SPF/DKIM/DMARC).
  • Geräte & Updates: Patch-Management, Endpoint-Schutz, eingeschränkte Benutzerrechte.
  • Notfallplan: Meldewege, Kontosperrung, Passwort-Reset, Log-Sicherung und Kontakt zum IT-Dienstleister.

Was kostet Phishing (und Schutz dagegen)?

Die direkten Kosten reichen von einzelnen Fehlüberweisungen bis zu längeren Ausfällen durch Kontoübernahmen oder Malware. Hinzu kommen Aufwände für Incident Response, Wiederherstellung, mögliche DSGVO-Meldungen und Reputationsschäden. Schutzmaßnahmen (MFA, E-Mail-Security, Schulungen) sind im Vergleich meist deutlich günstiger als ein erfolgreicher Angriff – entscheidend sind Nutzeranzahl, Tool-Landschaft und gewünschtes Sicherheitsniveau.