Phishing - Social Engineering
2025-08-13

Überblick

Phishing ist eine Social-Engineering-Technik, bei der Angreifer gefälschte oder manipulierte elektronische Kommunikation nutzen,
um Empfänger zur Preisgabe vertraulicher Informationen oder zur Ausführung schädlicher Handlungen zu bewegen.
Häufiges Ziel ist die Erlangung von Zugangsdaten, Zahlungsinformationen oder vertraulichen Unternehmensdaten.

Laut aktuellen Studien wird in über 90 % erfolgreicher Angriffe auf Unternehmen
zunächst eine Phishing- oder andere Social-Engineering-Methode eingesetzt, um die technische Verteidigung zu umgehen.

Typische Varianten

Bulk-Phishing
Massenversand unpersonalisierter E-Mails an eine große Empfängerzahl.
Erkennbar an generischen Betreffzeilen, zahlreichen Fehlern oder Absendern von Free-Mail-Diensten.

Spear-Phishing
Gezielter Angriff auf eine bestimmte Person, oft mit personalisiertem Inhalt und Bezug auf interne Projekte.
Absenderadressen ähneln echten internen Adressen, weisen aber minimale Abweichungen auf.

Whaling / CEO-Fraud
Angriffe auf Führungskräfte oder Finanzverantwortliche, um hohe Geldbeträge umzuleiten.
Charakteristisch sind extrem kurze Fristen, Vertraulichkeitsbitten und leicht verfälschte Absenderadressen.

Business-Email-Compromise (BEC)
Manipulation oder Fälschung legitimer Geschäftskorrespondenz zur Änderung von Zahlungsinformationen.
Häufig mit minimal veränderten Domains und Dringlichkeitsanforderungen.

Clone Phishing
Eine zuvor legitime E-Mail wird kopiert, der Inhalt (Link oder Anhang) wird durch Schadcode ersetzt.
Oft erkennbar an Betreffzeilen mit „Re:“ oder „Fwd:“ und neuen, passwortgeschützten Anhängen.

Beispielhafter Ablauf

Ein Mitarbeiter in der Verwaltungsabteilung erhält einen Anruf:

Guten Tag, hier spricht Herr König von der Wirtschaftsprüfung Müller & Partner.
Wir sind heute kurzfristig im Haus, um den Jahresabschluss zu finalisieren.
Frau Lehmann aus der Buchhaltung kennt mich – ist aber aktuell nicht erreichbar.
Um die Frist einzuhalten, benötige ich sofort Exportzugriff auf das ERP-System, Mandant 123.
Erfolgt dies nicht innerhalb der nächsten Stunde, verzögert sich Ihr Abschluss, und die Finanzaufsicht verhängt Strafen.

Analyse:

  • Externe Prüfer beantragen Zugriff ausschließlich vorab über bekannte Ansprechpartner.
  • Zeitdruck und Drohungen ohne formellen Prüfauftrag deuten auf Social Engineering hin.
  • Fehlende Authentifizierung (keine Prüfer-ID, keine E-Mail aus offizieller Domain).

Risiken und Auswirkungen

Phishing kann folgende Auswirkungen haben:

  • Kompromittierung von Benutzerkonten und IT-Systemen
  • Diebstahl sensibler Daten und Unternehmensgeheimnisse
  • Manipulation oder Umleitung von Finanztransaktionen
  • Unterbrechung kritischer Geschäftsprozesse
  • Hohe finanzielle und reputationsbezogene Schäden

Präventionsmaßnahmen

Zur Minimierung des Phishing-Risikos empfiehlt sich eine Kombination aus technischen, organisatorischen und personellen Maßnahmen:

  1. E-Mail-Sicherheitslösungen – Filter, Sandbox-Analysen und DMARC-/SPF-/DKIM-Implementierung
  2. Sensibilisierungstrainings – Regelmäßige Schulungen zu Phishing-Erkennung und Meldewegen
  3. Technische Härtung – Multi-Faktor-Authentifizierung und eingeschränkte Makro-Ausführung
  4. Klare Prozesse – Verbindliche Vorgaben für Zahlungs- und Passwortänderungen
  5. Sicherheitsüberwachung – Analyse verdächtiger E-Mails und Angriffsmuster
  6. Simulationen – Regelmäßige, kontrollierte Phishing-Tests zur Überprüfung der Wachsamkeit

Standards und Best Practices

Folgende Rahmenwerke und Standards enthalten relevante Vorgaben zur Abwehr von Phishing:

  • ISO/IEC 27001 – Annex A.12 & A.13: Communications Security
  • NIST SP 800-53 – Awareness and Training (AT), System and Communications Protection (SC)
  • BSI IT-Grundschutz – Bausteine ORP.4 „Sensibilisierung und Schulung“ und CON.1 „E-Mail-Nutzung“

Fazit

Phishing ist eine der häufigsten und effektivsten Social-Engineering-Methoden,
da sie technische Sicherheitsmaßnahmen umgeht und menschliche Faktoren ausnutzt.
Nur durch eine abgestimmte Kombination aus technischer E-Mail-Sicherheit,
klaren organisatorischen Prozessen und kontinuierlicher Sensibilisierung
lässt sich dieses Risiko nachhaltig reduzieren.