Definition Phishing

Phishing ist eine Form des Online-Betrugs, bei der Angreifer gefälschte E-Mails, Websites oder Nachrichten einsetzen, um Opfer zur Preisgabe vertraulicher Daten – Passwörter, Kreditkartennummern, Zugangsdaten zu Bankkonten – zu verleiten. Der Begriff ist ein Kunstwort aus dem Englischen und steht für „Password Fishing" (Kennwörter angeln), wobei das „Ph" in Anlehnung an die Hacker-Szene der 1990er-Jahre das „F" ersetzt.

Das Grundprinzip ist Social Engineering: Angreifer nutzen nicht technische Sicherheitslücken, sondern menschliche Psychologie. Typische Mechanismen sind fingierte Dringlichkeit („Ihr Konto wird in 24 Stunden gesperrt"), vorgetäuschte Autorität (gefälschte Absenderadressen von Banken, Behörden, Zahlungsdienstleistern wie PayPal) und Vertrauenssimulation durch professionell gestaltete HTML-E-Mails, die optisch kaum von echten Nachrichten zu unterscheiden sind. Der Empfänger wird auf eine gefälschte Website geleitet, die der legitimen Seite täuschend ähnlichsieht, und zur Eingabe seiner Daten aufgefordert.

Phishing hat sich weit über die klassische Massen-E-Mail hinaus entwickelt. Die wichtigsten Varianten im Überblick:

• E-Mail-Phishing (klassisch): Massenversand gefälschter E-Mails an möglichst viele Empfänger ohne individuelle Anpassung. Die Nachrichten ahmen bekannte Marken (Deutsche Bank, Sparkasse, Amazon, DHL, PayPal) nach und fordern zur Anmeldung auf gefälschten Websites auf. Trotz breiter Bekanntheit nach wie vor die häufigste Phishing-Form.
• Spear-Phishing: Gezielt auf eine bestimmte Person oder Organisation zugeschnittener Angriff. Der Angreifer recherchiert vorab den Namen, die Rolle und das Umfeld des Opfers – z. B. aus LinkedIn-Profilen – und formuliert eine personalisierte, glaubwürdige Nachricht. Besonders gefährlich für Unternehmen und Führungskräfte.
• Whaling: Spear-Phishing, das sich gezielt gegen hochrangige Führungskräfte (CEOs, CFOs) richtet – oft mit dem Ziel, Überweisungen auszulösen (CEO-Fraud, auch Business E-Mail Compromise, BEC).
• Smishing: Phishing per SMS oder Messenger-Dienst (z. B. WhatsApp). Typische Szenarien: gefälschte Paketbenachrichtigungen, angebliche Banknachrichten mit Links zu Phishing-Seiten.
• Vishing: Phishing per Telefonanruf. Angreifer geben sich als Bankmitarbeiter, Microsoft-Support oder Behördenvertreter aus und manipulieren Opfer zur Preisgabe von Daten oder zur Installation von Fernzugriffssoftware.
• Pharming: Eine technisch weiterentwickelte Variante, bei der der DNS-Eintrag einer legitimen Website manipuliert wird, sodass Nutzer beim Aufruf der korrekten URL automatisch auf eine gefälschte Seite umgeleitet werden – ohne dass eine betrügerische E-Mail verschickt werden muss. Pharming ist schwerer zu erkennen als klassisches Phishing.

Phishing-E-Mails sind in den letzten Jahren deutlich professioneller geworden – sprachliche Fehler und schlechtes Design sind kein verlässlicher Filter mehr. Die zuverlässigeren Erkennungsmerkmale:

• Absenderadresse genau prüfen: Der angezeigte Absendername kann frei gewählt werden und lautet z. B. „Deutsche Bank". Die tatsächliche E-Mail-Adresse dahinter (im Quelltext oder durch Klick auf den Namen sichtbar) enthält jedoch eine fremde Domain – z. B. service@deutsche-bank-sicherheit.com statt @deutsche-bank.de. Subdomains und ähnlich aussehende Domains (z. B. paypal-sicherheit.de) sind ein typisches Muster.
• Link-URL prüfen vor dem Klick: Beim Überfahren eines Links mit der Maus (Hover) wird die tatsächliche Ziel-URL in der Statusleiste des E-Mail-Clients oder Browsers angezeigt. Stimmt sie nicht exakt mit der legitimen Domain überein, handelt es sich wahrscheinlich um Phishing. Im Zweifel: URL nie aus der E-Mail übernehmen, sondern manuell im Browser eintippen.
• Fingierte Dringlichkeit: Formulierungen wie „Ihr Konto wird in 24 Stunden gesperrt", „Sofortiger Handlungsbedarf" oder „Ihre Daten müssen umgehend bestätigt werden" sollen Panik auslösen und zum schnellen, unreflektierten Klicken verleiten.
• Aufforderung zur Dateneingabe: Legitime Banken, Zahlungsdienstleister und Behörden fordern niemals per E-Mail zur Eingabe von Passwörtern, PINs, TANs oder vollständigen Kreditkartendaten auf.
• Unerwartete Anhänge: Dateianhänge in unerwarteten E-Mails – insbesondere .exe, .zip, .docm oder .xlsm – können Schadsoftware (Trojaner, Ransomware) enthalten. Im Zweifel nicht öffnen, sondern beim vermeintlichen Absender telefonisch nachfragen.
• HTTPS als unzureichendes Sicherheitsmerkmal: Das Vorhängeschloss-Symbol im Browser zeigt nur, dass die Verbindung verschlüsselt ist – nicht, dass die Website legitim ist. Phishing-Seiten können ebenfalls HTTPS verwenden.

Effektiver Phishing-Schutz setzt auf mehreren Ebenen an – technische Schutzmaßnahmen allein reichen nicht aus, weil Phishing primär menschliches Verhalten ausnutzt:

• Zwei-Faktor-Authentifizierung (2FA): Die wichtigste Einzelmaßnahme. Selbst wenn ein Passwort durch Phishing erbeutet wird, kann ein Angreifer ohne den zweiten Faktor (Hardware-Token, Authenticator-App, SMS-TAN) nicht auf das Konto zugreifen. Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn, z. B. YubiKey) sind die phishing-resistenteste 2FA-Form, da sie an die legitime Domain gebunden sind.
• Passwort-Manager: Passwort-Manager tragen Zugangsdaten nur auf der exakt hinterlegten Domain ein. Auf einer gefälschten Phishing-Domain verweigern sie die automatische Eingabe – ein passiver Schutzmechanismus, der Phishing-Angriffe ins Leere laufen lässt.
• Anti-Phishing-Filter in E-Mail-Clients und Browsern: Moderne E-Mail-Dienste (Gmail, Microsoft 365) und Browser (Chrome, Firefox, Edge) verfügen über aktiv aktualisierte Blocklisten bekannter Phishing-URLs und Spam-E-Mail-Muster.
• E-Mail-Authentifizierungsstandards (SPF, DKIM, DMARC): Unternehmen, die eigene Domains betreiben, sollten SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance) konfigurieren. Diese Standards erschweren es Angreifern, E-Mails im Namen der eigenen Domain zu versenden.
• Mitarbeiterschulungen und Phishing-Simulationen: Da Spear-Phishing gezielt einzelne Mitarbeiter angreift, sind regelmäßige Awareness-Trainings und simulierte Phishing-Angriffe (z. B. über Plattformen wie KnowBe4 oder Proofpoint Security Awareness) ein zentraler Unternehmensschutz. Studien zeigen, dass trainierte Mitarbeiter Phishing-Mails deutlich zuverlässiger erkennen als ungeschulte.
• Incident-Response-Prozess: Unternehmen sollten klare Meldewege für Phishing-Verdachtsfälle definieren. Je schneller ein Vorfall gemeldet wird, desto früher können kompromittierte Zugangsdaten gesperrt und weitere Schäden begrenzt werden.

Phishing schadet nicht nur den Opfern, sondern auch den Marken, deren Namen und Design für den Betrug missbraucht werden. Dieses Muster wird als Brand Abuse bezeichnet und ist für Unternehmen im Onlinemarketing ein eigenständiges Risikothema:

• Markenimage und Vertrauen: Wenn Kunden Phishing-Mails erhalten, die im Namen einer Marke versandt wurden, sinkt das Vertrauen in diese Marke – auch wenn das Unternehmen selbst nichts damit zu tun hat. Besonders betroffen sind Finanzdienstleister, E-Commerce-Plattformen und Paketdienstleister, deren Markennamen besonders häufig missbraucht werden.
• Gefälschte Anzeigen (Ad Fraud / Phishing Ads): Angreifer schalten bezahlte Suchanzeigen auf Markenbegriffe (z. B. „PayPal Login", „Sparkasse Online-Banking"), die auf gefälschte Login-Seiten führen. Nutzer, die auf diese Anzeigen klicken, werden um ihre Zugangsdaten gebracht – der Markenschaden trifft das legitime Unternehmen.
• Gefälschte Social-Media-Accounts: Betrüger erstellen Fake-Profile, die legitime Markenaccounts imitieren, um Follower zu täuschen, Gewinnspiele zu fälschen oder Kundensupport-Anfragen abzufangen und dabei Zugangsdaten zu stehlen.
• Domain-Squatting und Typosquatting: Angreifer registrieren Domains, die der Marken-Domain ähneln (z. B. amazone.de, paypa1.com), und betreiben dort täuschend echte Phishing-Seiten. Brand-Monitoring-Dienste überwachen neu registrierte Domains systematisch und lösen bei Treffern Abmahn- oder Takedown-Prozesse aus.
• Gegenmaßnahmen für Unternehmen: Brand-Monitoring-Tools (z. B. Brandwatch, Mention, oder spezialisierte Dienste wie BrandShield), DMARC-Konfiguration zur Verhinderung von E-Mail-Spoofing, proaktives Registrieren ähnlicher Domains und schnelles Takedown-Management bei gefälschten Seiten und Anzeigen sind die wichtigsten Schutzmaßnahmen.

Künstliche Intelligenz hat Phishing in den letzten zwei Jahren grundlegend verändert – sowohl auf Angreifer- als auch auf Verteidigungsseite:

• KI-generierte Phishing-Texte: Große Sprachmodelle (LLMs) ermöglichen es Angreifern, hochwertige, fehlerfreie und kontextuell präzise Phishing-Nachrichten in beliebigen Sprachen zu verfassen – ohne die für frühere Phishing-Mails typischen grammatikalischen Fehler. Sprachqualität ist damit kein verlässlicher Erkennungsfilter mehr.
• Hyper-personalisiertes Spear-Phishing: KI-Systeme können öffentlich verfügbare Daten aus LinkedIn, XING, Unternehmenswebsites und Social Media automatisiert analysieren und daraus maßgeschneiderte Angriffsnachrichten generieren – in einem Maßstab, der früher nur für hochprioritäre Einzelziele möglich war.
• Deepfake-basiertes Vishing: KI-gestützte Stimmklonierung (Voice Cloning) macht es möglich, die Stimme von Führungskräften oder Vorgesetzten täuschend echt nachzuahmen. Erste dokumentierte Fälle von betrügerischen Überweisungen, die durch gefälschte CEO-Anrufe ausgelöst wurden, stammen bereits aus 2019; die Qualität und Verfügbarkeit dieser Technologie ist seitdem drastisch gesunken (im Sinne der Angreifer: leichter zugänglich geworden).
• KI als Verteidigungswerkzeug: Auf der Gegenseite nutzen E-Mail-Sicherheitslösungen (Microsoft Defender for Office 365, Proofpoint, Mimecast) KI-Modelle zur Erkennung von Phishing-Mustern, die klassischen regelbasierten Filtern entgehen. Verhaltensbasierte Anomalieerkennung – z. B. ungewöhnliche Absendermuster, untypische Verlinkungsstrukturen – ergänzt die klassischen Blocklisten.
• Phishing-resistente Authentifizierung als Gegenmaßnahme: Als strukturelle Antwort auf KI-verstärktes Phishing gewinnt phishing-resistente Authentifizierung (FIDO2/Passkeys) an Bedeutung. Passkeys – von Apple, Google und Microsoft seit 2022/2023 breiter ausgerollt – binden die Authentifizierung an das physische Gerät und die legitime Domain, sodass gestohlene Passwörter keinen Zugang mehr ermöglichen.