Phishing ist der Versuch, durch gefälschte Nachrichten (meist E-Mail) an Zugangsdaten, Geld oder sensible Informationen zu kommen. Der häufigste Einstiegsweg für Cyberangriffe auf Unternehmen.

Varianten:

  • Breitenangriff: Maßenhaft versendete Mails (“Ihr Paket wartet”, “Kontoaktualisierung nötig”)
  • Spear Phishing: Gezielte Mails an einzelne Personen, oft mit persönlichen Details aus Social Media
  • Business Email Compromise (BEC): Angreifer geben sich als Vorgesetzter, Lieferant oder Kunde aus und verlangen Überweisungen
  • CEO-Fraud: Speziell auf Buchhaltung gerichtet — “Bitte überweisen Sie dringend an folgendes Konto”

Abwehr:

  1. Technisch: SPF, DKIM, DMARC (E-Mail-Authentifizierung), Anti-Phishing-Filter, Safe Links
  2. Organisatorisch: 4-Augen-Prinzip bei Überweisungen, Rückruf bei verdächtigen Anweisungen
  3. Mensch: Awareness-Training, Phishing-Simulationen

Warum Training wirkt: Mitarbeiter, die regelmäßige Phishing-Simulationen erhalten, klicken nachweislich deutlich seltener auf echte Angriffe — typisch Reduktion von 30 % auf unter 5 %.

Siehe auch: IT-Security.