Alles, was Sie über Phishing wissen müssen

Von Christie Rae • 31 Juli 2025

Phishing gehört nach wie vor zu den häufigsten Cyberangriffen. Die meisten Unternehmen haben es bereits erlebt: E-Mails mit der Aufforderung, eine „dringende Aufgabe“ zu erledigen oder eine „überfällige Zahlung“ zu leisten, manchmal sogar imitiert als CEO oder leitender Angestellter. Tatsächlich hat die britische Regierung Umfrage zu Cybersicherheitsverletzungen im Jahr 2025 stellte fest, dass 12 % der Unternehmen oder Wohltätigkeitsorganisationen, die in den letzten 85 Monaten einen Einbruch oder Angriff erlebt hatten, und 86 % der Wohltätigkeitsorganisationen Opfer von Phishing-Angriffen geworden waren.

In diesem Blog tauchen wir in die undurchsichtige Welt des Phishings ein: Was es ist, wie man potenzielle Phishing-Versuche erkennt und wie sich Unternehmen davor schützen können.

Häufige Phishing-Angriffe auf Unternehmen

E-Mail-Phishing

Bei Phishing-Angriffen senden Cyberkriminelle ihren Opfern betrügerische E-Mails und geben sich dabei oft als bekannte Unternehmen oder Lieferanten aus. Das Ziel? Die Opfer sollen dazu verleitet werden, eine betrügerische Website zu besuchen, einen Anhang mit Viren oder Malware zu öffnen oder vertrauliche Informationen wie Bankdaten oder Passwörter für Firmenkonten preiszugeben.

Achten Sie beispielsweise auf:

Unerwartete Rechnungen
E-Mails von unbekannten Absendern mit Anhängen
Warnungen vor ungewöhnlichen Aktivitäten mit Links zu externen Websites.

Speer-Phishing

Spear-Phishing ist ein gezielterer Ansatz zum E-Mail-Phishing. Dabei werden leicht zugängliche Unternehmensinformationen, wie z. B. Mitarbeiternamen, verwendet, um interne Kommunikation und vertrauenswürdige Quellen vorzutäuschen. Es ist wichtig, die Identität des Absenders über eine andere Kommunikationsmethode zu überprüfen, z. B. über Teams oder einen Telefonanruf mit einer verifizierten Telefonnummer.

Achten Sie beispielsweise auf:

Unerwartete „dringende“ E-Mails, die angeblich von Ihrer Personal- oder IT-Abteilung stammen
Ungewöhnliche Anfragen, angeblich von jemandem aus Ihrem Unternehmen.

Kompromiss zwischen geschäftlichen E-Mails

Kompromittierung von geschäftlichen E-Mails (BEC) Angriffe sind eine weitere gezielte und bösartige Phishing-Methode. Manchmal werden gefälschte E-Mail-Adressen verwendet oder sogar die E-Mail-Konten von Mitarbeitern kompromittiert, um einen Angriff durchzuführen. Oftmals zielen sie auf vertrauenswürdige Personen oder Budgetverantwortliche ab und versuchen, diese zu betrügerischen Finanztransaktionen oder der Preisgabe vertraulicher Informationen zu verleiten. Kriminelle können sogar Lieferanten oder Verkäufer kompromittieren und scheinbar legitime Rechnungen versenden. BEC ist so weit verbreitet, dass das FBI behauptete, BEC-Angriffe kosten US-amerikanische und globale Organisationen fast 55.5 Milliarden US-Dollar zwischen dem 2013. Oktober und dem 2023. Dezember.

Beispiele für BEC-Versuche sind:

CEO-Betrug: „Dringende“ E-Mails, angeblich von der E-Mail-Adresse eines leitenden Angestellten, aber tatsächlich vom Bedrohungsakteur kontrolliert
Rechnungsbetrug: Gefälschte oder veränderte Rechnungen, die Zahlungen auf das Konto eines Angreifers umleiten
Betrug durch Dritte: Unerwartete Rechnungen oder Aufforderungen zur Änderung der Bankdaten Ihrer bestehenden Lieferanten, die auf eine mögliche Gefährdung hinweisen.

Klonen Sie Phishing

Angreifer, die Clone Phishing verwenden, kopieren eine echte E-Mail nahezu identisch und senden sie mit einem neuen, schädlichen Anhang oder Link erneut an das beabsichtigte Opfer. Angreifer verwenden häufig gefälschte E-Mails mit ähnlicher Schreibweise wie die E-Mail, für die sie sich ausgeben. Sie können jedoch auch ausgeklügeltes E-Mail-Spoofing einsetzen, um den Anschein zu erwecken, als stamme die E-Mail vom legitimen Absender.

Achten Sie beispielsweise auf:

Doppelte E-Mails, insbesondere solche mit neuen oder geänderten Links.

So erkennen Sie Phishing-E-Mails

Obwohl die Bekämpfung von Phishing wie eine überwältigende Aufgabe erscheinen kann, gibt es mehrere Möglichkeiten, Phishing-E-Mails zu erkennen.

Nicht übereinstimmende E-Mail-Domänen: Ist die E-Mail-Domäne dieselbe wie die des Unternehmens, das der Absender zu vertreten behauptet? Eine offizielle E-Mail von ISMS.online wäre beispielsweise: vorname.nachname@ISMS.online, support@isms.online usw.

Dringende Handlungsaufforderungen: E-Mails, die zu dringenden oder sofortigen Maßnahmen drängen, könnten potenzielle Phishing-Versuche sein. Durch das falsche Gefühl der Dringlichkeit soll der Empfänger in Panik versetzt werden. Erwägen Sie, den Absender auf offiziellem Wege zu kontaktieren, z. B. indem Sie die Telefonnummer auf der offiziellen Website eines Unternehmens suchen.

Rechtschreibung und Grammatik: Rechtschreib- und Grammatikfehler können auf einen Phishing-Versuch hinweisen, da viele Unternehmen in ihrer E-Mail-Software über Rechtschreibprüfungstools verfügen.

Links: Wenn Sie mit der Maus über einen Link fahren, können Sie die URL anzeigen, zu der der Link Sie führt. Bei Phishing-E-Mails unterscheidet sich diese oft vom angezeigten Text in der E-Mail.

Anfragen zur Übermittlung persönlicher oder finanzieller Informationen: Anmeldedaten, Zahlungsinformationen und andere sensible Daten sollten nicht per E-Mail weitergegeben werden. Wenn eine E-Mail einen Link zu einer externen Website zur Eingabe dieser Informationen enthält, vergewissern Sie sich, dass die Website legitim ist.

Schützen Sie Ihr Unternehmen mit ISO 27001 vor Phishing-Angriffen

Einführung bewährter Verfahren für die Cybersicherheit, wie sie beispielsweise im Informationssicherheitsstandard beschrieben sind ISO 27001 ermöglicht es Ihrem Unternehmen, Risiken zu reduzieren, die Sicherheit zu erhöhen und die Auswirkungen von Phishing-Angriffen zu begrenzen.

Schulung und Sensibilisierung der Mitarbeiter

Ihre Mitarbeiter sind Ihre erste Verteidigungslinie in Sachen Cybersicherheit. Durch die Implementierung eines Schulungs- und Sensibilisierungsprogramms für Cybersicherheit kann Ihr Team potenzielle Phishing-Versuche und andere Cyberangriffe erkennen und melden.

Ihr Schulungs- und Sensibilisierungsprogramm sollte auch die einzuhaltenden Prozesse beschreiben, beispielsweise den Prozess, den Mitarbeiter befolgen müssen, um mutmaßliche Phishing-Versuche zu melden. Die Schulung Ihrer Mitarbeiter im Erkennen von Anzeichen eines Phishing-Angriffs und die Sicherstellung strenger Melde- und Reaktionsverfahren in Ihrem Unternehmen sind Teil einer robusten Sicherheitslage.

Zugangskontrolle

Beschränken Sie die Rechte und Privilegien Ihrer Mitarbeiter nach dem Prinzip der geringsten Berechtigung. Beschränken Sie beispielsweise den Zugriff eines typischen Benutzers auf die Ressourcen, die er für seine Arbeit benötigt. Dies trägt dazu bei, die Auswirkungen eines Phishing-Versuchs auf Ihr Unternehmen zu verringern, falls ein Konto kompromittiert wird.

Darüber hinaus kann die Anforderung von Kontrollen wie der Multi-Faktor-Authentifizierung für Mitarbeiterkonten einen wichtigen Schutz gegen unbefugten Zugriff und kompromittierte Anmeldeinformationen bieten.

Vorfallreaktion

ISO 27001-konforme Unternehmen müssen Prozesse für die Reaktion auf Vorfälle etablieren. Dazu gehören die Beweissicherung, die forensische Analyse der Informationssicherheit, die Eskalation mit Kunden und den zuständigen Aufsichtsbehörden, die Protokollierung der Aktivitäten zur Reaktion auf Vorfälle, die interne Kommunikation, die Lösung von Vorfällen und die Analyse nach dem Vorfall. Eine effektive Reaktion auf Vorfälle trägt zu einer schnelleren Lösung bei und mildert die Auswirkungen erfolgreicher Angriffe.

Sichere Konfiguration

Der Standard verlangt von Unternehmen, Sicherheit von Anfang an in ihre Betriebsabläufe zu integrieren und nicht erst nachträglich. Dieser Ansatz reduziert potenzielle Angriffspunkte für Bedrohungsakteure, beispielsweise über unsichere E-Mail-Gateway-Lösungen.

Drittanbieter-Lieferantenmanagement

Innovative Bericht zum Stand der Informationssicherheit 2024 ergab, dass fast vier von fünf (79 %) der Befragten von einem Cyber- oder Informationssicherheitsvorfall betroffen waren, der von einem Drittanbieter oder Lieferkettenpartner verursacht wurde. Ein risikobasierter Ansatz in den Lieferantenbeziehungen kann dazu beitragen, die Auswirkungen solcher Vorfälle zu begrenzen.

Ihr Unternehmen kann sich beispielsweise dafür entscheiden, die Zusammenarbeit mit Lieferanten mit ISO 27001-Zertifizierung stark zu bevorzugen, den Zugriff der Lieferanten auf Informationen auf Grundlage von Klassifizierungsstufen zu beschränken und das Lieferantenrisiko zu überwachen, wenn die Aufnahme eines Lieferanten die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen oder Prozesse Ihres Unternehmens beeinträchtigen könnte.

Letzter Gedanke

Phishing ist eine weit verbreitete Form von Cyberangriffen. Zum Glück für Unternehmen sind viele Anzeichen leicht zu erkennen. Kontinuierliche Mitarbeiterschulung, die Implementierung bewährter Sicherheitspraktiken und ein robuster Ansatz zur Informationssicherheit können die Wahrscheinlichkeit – und die Auswirkungen – erfolgreicher Phishing-Angriffe verringern. Datenverstöße.

Angesichts der ständigen Weiterentwicklung der Cyberbedrohungen werden proaktive Unternehmen, die einen mehrschichtigen Ansatz zur Informationssicherheit implementieren und ihren Mitarbeitern die Möglichkeit geben, als erste und wichtigste Verteidigungslinie zu agieren, zweifellos davon profitieren.

Christie Rae

Christie ist Content-Marketing-Spezialistin bei ISMS.online. Mit über sieben Jahren Erfahrung möchte sie informative, ansprechende Inhalte schreiben und hat in einer Reihe von Branchen gearbeitet, darunter Cybersicherheit, Software as a Service, Technologie und Pharmazie.

Lesen Sie mehr von Christie Rae

Internet-Sicherheit 10 December 2025

Bericht zum Stand der Informationssicherheit: 11 wichtige Statistiken und Trends für die Finanzbranche

Der dritte jährliche State of Information Security Report von IO enthüllte die wichtigsten Herausforderungen, denen sich Sicherheitsverantwortliche im Jahr 2025 gegenübersehen, von KI-gestützten Angriffen bis hin zu ...

Christie Rae

Internet-Sicherheit 4 December 2025

IO wird von G2 Grid® zum Marktführer in den Bereichen Governance, Risiko und Compliance für den Winter 2025 ernannt

Wir freuen uns, Ihnen mitteilen zu können, dass IO in den G2 Grid®-Berichten für Winter 2025 als führendes Unternehmen ausgezeichnet wurde. In diesem Quartal erhielt IO acht Auszeichnungen im Bereich …

Christie Rae

Internet-Sicherheit 28 November 2025

Cyberresilienz stärken: So schützen Sie Ihr Unternehmen – Banner für den Black Friday

Cyberresilienz stärken: So schützen Sie Ihr Unternehmen am Black Friday

Das Jahr 2025 war von einer Reihe aufsehenerregender Cyberangriffe geprägt. Ein Datenleck bei einem Zulieferer legte den Betrieb des Einzelhandelsriesen M&S lahm, und Kunden wurden...

Christie Rae