Phishing - Social Engineering

Überblick

Phishing ist eine Social-Engineering-Technik, bei der Angreifer gefälschte oder manipulierte elektronische Kommunikation nutzen,
um Empfänger zur Preisgabe vertraulicher Informationen oder zur Ausführung schädlicher Handlungen zu bewegen.
Häufiges Ziel ist die Erlangung von Zugangsdaten, Zahlungsinformationen oder vertraulichen Unternehmensdaten.

Laut aktuellen Studien wird in über 90 % erfolgreicher Angriffe auf Unternehmen
zunächst eine Phishing- oder andere Social-Engineering-Methode eingesetzt, um die technische Verteidigung zu umgehen.

Typische Varianten

Bulk-Phishing
Massenversand unpersonalisierter E-Mails an eine große Empfängerzahl.
Erkennbar an generischen Betreffzeilen, zahlreichen Fehlern oder Absendern von Free-Mail-Diensten.

Spear-Phishing
Gezielter Angriff auf eine bestimmte Person, oft mit personalisiertem Inhalt und Bezug auf interne Projekte.
Absenderadressen ähneln echten internen Adressen, weisen aber minimale Abweichungen auf.

Whaling / CEO-Fraud
Angriffe auf Führungskräfte oder Finanzverantwortliche, um hohe Geldbeträge umzuleiten.
Charakteristisch sind extrem kurze Fristen, Vertraulichkeitsbitten und leicht verfälschte Absenderadressen.

Business-Email-Compromise (BEC)
Manipulation oder Fälschung legitimer Geschäftskorrespondenz zur Änderung von Zahlungsinformationen.
Häufig mit minimal veränderten Domains und Dringlichkeitsanforderungen.

Clone Phishing
Eine zuvor legitime E-Mail wird kopiert, der Inhalt (Link oder Anhang) wird durch Schadcode ersetzt.
Oft erkennbar an Betreffzeilen mit „Re:“ oder „Fwd:“ und neuen, passwortgeschützten Anhängen.

Beispielhafter Ablauf

Ein Mitarbeiter in der Verwaltungsabteilung erhält einen Anruf:

Guten Tag, hier spricht Herr König von der Wirtschaftsprüfung Müller & Partner.
Wir sind heute kurzfristig im Haus, um den Jahresabschluss zu finalisieren.
Frau Lehmann aus der Buchhaltung kennt mich – ist aber aktuell nicht erreichbar.
Um die Frist einzuhalten, benötige ich sofort Exportzugriff auf das ERP-System, Mandant 123.
Erfolgt dies nicht innerhalb der nächsten Stunde, verzögert sich Ihr Abschluss, und die Finanzaufsicht verhängt Strafen.

Analyse:

  • Externe Prüfer beantragen Zugriff ausschließlich vorab über bekannte Ansprechpartner.
  • Zeitdruck und Drohungen ohne formellen Prüfauftrag deuten auf Social Engineering hin.
  • Fehlende Authentifizierung (keine Prüfer-ID, keine E-Mail aus offizieller Domain).

Risiken und Auswirkungen

Phishing kann folgende Auswirkungen haben:

  • Kompromittierung von Benutzerkonten und IT-Systemen
  • Diebstahl sensibler Daten und Unternehmensgeheimnisse
  • Manipulation oder Umleitung von Finanztransaktionen
  • Unterbrechung kritischer Geschäftsprozesse
  • Hohe finanzielle und reputationsbezogene Schäden

Präventionsmaßnahmen

Zur Minimierung des Phishing-Risikos empfiehlt sich eine Kombination aus technischen, organisatorischen und personellen Maßnahmen:

  1. E-Mail-Sicherheitslösungen – Filter, Sandbox-Analysen und DMARC-/SPF-/DKIM-Implementierung
  2. Sensibilisierungstrainings – Regelmäßige Schulungen zu Phishing-Erkennung und Meldewegen
  3. Technische Härtung – Multi-Faktor-Authentifizierung und eingeschränkte Makro-Ausführung
  4. Klare Prozesse – Verbindliche Vorgaben für Zahlungs- und Passwortänderungen
  5. Sicherheitsüberwachung – Analyse verdächtiger E-Mails und Angriffsmuster
  6. Simulationen – Regelmäßige, kontrollierte Phishing-Tests zur Überprüfung der Wachsamkeit

Erkennungssignale

  • Abweichungen zwischen Anzeigenamen des Absenders und der Reply-To- oder Return-Path-Domain
  • Dringende Sprache mit sofortigen Handlungsaufforderungen zu Rechnungen, Gehaltsabrechnungen oder Kontowiederherstellung
  • Links, die URL-Shortener oder nicht zum Markenauftritt passende Domains verwenden
  • Anhänge mit unüblichen Dateitypen (z. B. .iso, .img oder Makro-Dokumente) für den jeweiligen Geschäftsprozess

Response-Playbook

  1. Originalnachricht inklusive Header und Anhängen sichern, ohne die Dateien zu öffnen.
  2. Absender-Domains und URLs in der E-Mail-Sicherheit blockieren und ähnliche Nachrichten in allen Postfächern löschen.
  3. Betroffene Zugangsdaten zurücksetzen oder aktive Sessions widerrufen, falls auf Links geklickt wurde.
  4. Endgeräte scannen, die Anhänge geöffnet haben, und auf laterale Bewegung prüfen.
  5. Eine kurze interne Mitteilung veröffentlichen, die Köder, Indikatoren und empfohlene Benutzeraktionen zusammenfasst.

Programm-Metriken

  • Meldequote: Anteil der simulierten oder echten Phishing-Mails, die von Nutzenden gemeldet werden
  • Time to Purge: Zeit vom ersten Hinweis bis zur vollständigen Entfernung bösartiger Mails im Tenant
  • False-Negative-Rate: Bestätigte Phishing-Mails, die Secure Email Gateway oder Erkennungsregeln passiert haben
  • Credential Exposure: Anzahl der Konten, die nach Interaktion mit Phishing-Inhalten zurückgesetzt werden mussten

Standards und Best Practices

Folgende Rahmenwerke und Standards enthalten relevante Vorgaben zur Abwehr von Phishing:

  • ISO/IEC 27001 – Annex A.12 & A.13: Communications Security
  • NIST SP 800-53 – Awareness and Training (AT), System and Communications Protection (SC)
  • BSI IT-Grundschutz – Bausteine ORP.4 „Sensibilisierung und Schulung“ und CON.1 „E-Mail-Nutzung“

Fazit

Phishing ist eine der häufigsten und effektivsten Social-Engineering-Methoden,
da sie technische Sicherheitsmaßnahmen umgeht und menschliche Faktoren ausnutzt.
Nur durch eine abgestimmte Kombination aus technischer E-Mail-Sicherheit,
klaren organisatorischen Prozessen und kontinuierlicher Sensibilisierung
lässt sich dieses Risiko nachhaltig reduzieren.