Phishing

Phishing ist eine Form von Social Engineering, bei der Angreifer versuchen, Benutzer über gefälschte E-Mails, Webseiten oder Kommunikationskanäle zur Preisgabe vertraulicher Daten zu bewegen. Ziel ist es, Informationen wie Benutzernamen, Passwörter, Kreditkartendaten oder persönliche Identifikationsdaten zu stehlen und anschließend für Identitätsdiebstahl, finanziellen Betrug oder den Zugriff auf Unternehmensnetzwerke zu nutzen.

Phishing-Kampagnen nutzen häufig täuschend echt gestaltete E-Mails oder Webseiten, die wie bekannte Dienste (z. B. Microsoft, PayPal, Amazon, interne IT-Systeme) aussehen. Durch psychologische Druckmittel wie zeitkritische Warnungen, Sicherheitsbenachrichtigungen oder angeblich verpasste Zahlungen wird der Nutzer zum Klicken auf Links oder Öffnen von Anhängen verleitet.

Typen von Phishing-Angriffen

• Spear-Phishing
  Zielgerichtete Angriffe mit personalisierten Informationen (z. B. Name, Position, Projekte), oft an Einzelpersonen oder kleine Gruppen gerichtet.

• Whaling
  Phishing, das sich speziell gegen Führungskräfte oder C-Level-Executives richtet. Ziel ist oft die Übernahme strategischer Konten.

• Clone-Phishing
  Angreifer kopieren legitime E-Mails und ersetzen den Anhang oder Link durch eine manipulierte Variante.

• Vishing (Voice Phishing)
  Täuschung über Telefonanrufe, oft in Verbindung mit Spoofing von Telefonnummern bekannter Institutionen.

• Smishing (SMS Phishing)
  Gefälschte SMS-Nachrichten mit Links zu Phishing-Webseiten oder Aufforderung zur Rückmeldung.

Schutzmaßnahmen gegen Phishing

• E-Mail-Authentifizierungsprotokolle
  SPF, DKIM und DMARC verhindern, dass Angreifer E-Mails mit gefälschten Absenderadressen versenden.

• Phishing-Simulationen und Awareness-Trainings
  Regelmäßige Schulungen erhöhen das Sicherheitsbewusstsein der Mitarbeiter.

• Sichere E-Mail-Gateways
  Filtern Phishing-Nachrichten basierend auf Heuristik, Reputation und Sandboxing.

• Multi-Factor Authentication (MFA)
  Selbst wenn Zugangsdaten gestohlen werden, verhindert MFA unautorisierten Zugriff.

• Browser- und Endpoint-Schutz
  Add-ons, Security-Agents und DNS-Filter blockieren bekannte Phishing-Domains und leiten verdächtige Inhalte in sichere Sandboxes um.

Verwandte Begriffe

• Spear-Phishing

• Whaling

• Social Engineering

• DMARC

• Multi-Factor Authentication

• Awareness Training

• Credential Stuffing

• Secure Email Gateway

• Phishing Simulation

• Identity Theft

Beispiel aus der Praxis

Ein Unternehmen erhält E-Mails, angeblich vom internen „IT-Support“, mit der Aufforderung, das Passwort aufgrund eines angeblichen Sicherheitsproblems zu ändern. Die Nachricht enthält einen Link zu einer gefälschten Login-Seite, die dem Unternehmens-SSO täuschend ähnlich sieht. Mehrere Mitarbeiter geben ihre Zugangsdaten ein, was zur Kompromittierung mehrerer interner Systeme führt. Im Nachgang wird eine Phishing-Simulation aufgesetzt, alle Logins auf MFA umgestellt und ein DMARC-Profil aktiviert.