Cyber-Angriffe durch Phishing bedrohen Unternehmen mehr denn je. Das Bundesamt für Sicherheit in der Informationstechnik registrierte zwischen Mitte 2023 und Mitte 2024 durchschnittlich 309.000 neue Malware-Varianten täglich –ein alarmierender Anstieg von 26% zum Vorjahr (BSI, 2024). Noch dramatischer: Laut dem Digitalverband Bitkom verursachen Cyber-Angriffe in Deutschlandjährlich Schäden von 203 Milliarden Euro, was 5% des gesamten deutschen Bruttoinlandsprodukts entspricht (Bitkom, 2024).

Als Anbieter von ISMS-Software und Beratung rund um ISO 27001, TISAX und NIS2 erleben wir bei TrustSpace täglich, wie gezielte Phishing-Angriffe Unternehmen jeder Größe treffen können – vom KMU bis zum Konzern.

Die gute Nachricht: Mit den richtigen Schutzmaßnahmen können Sie Ihr Unternehmen effektiv absichern.

Was ist Phishing und warum wird es immer gefährlicher?

Phishing bezeichnet Cyber-Angriffe, bei denen Kriminelle vertrauliche Unternehmensdaten stehlen – von Passwörtern bis zu Bankdaten. Was diese Angriffe besonders tückisch macht: Sie werden immer professioneller und schwerer erkennbar. Das Verizon Data Breach Investigations Report zeigt, dass68% aller Datenschutzverletzungen ein menschliches Element enthalten, also Menschen, die auf Social Engineering hereinfallen oder Fehler machen (Verizon,2024).

Die Methoden reichen von gefälschten E-Mails scheinbar vertrauenswürdiger Absender über manipulierte Webseiten bis hin zu QR-Codes, die auf Schadprogramme weiterleiten. Besonders perfide sind Anrufe von falschen IT-Support-Mitarbeitern, die direkten Zugang zu Unternehmenssystemen fordern. In unseren Awareness-Trainings bei TrustSpace greifen wir genau solche realen Szenarien auf, um Mitarbeitende gezielt für diese Art von Social Engineering zu sensibilisieren.

Der durchschnittliche Schaden pro erfolgreichem Phishing-Angriff erreicht einen neuen Höchststand von 4,88 Millionen Dollar weltweit – ein Anstieg von 10%gegenüber dem Vorjahr (IBM Security, 2024). Die KPMG-Studie ergab, dass 53%der betroffenen deutschen Unternehmen Opfer von Phishing-Attacken wurden(KPMG, 2024).

Die vier häufigsten Phishing-Methoden im Detail

E-Mail-Phishing: Wenn der Absender lügt

Das klassische E-Mail-Phishing bleibt die beliebteste Angriffsmethode. Cyberkriminelle versenden massenhaft E-Mails, die scheinbar von Banken, Versanddienstleistern oder bekannten Plattformen stammen. Der Verizon Reportdokumentiert, dass 24% aller Datenschutzverletzungen durch gestohlene Zugangsdaten entstehen, die häufig über Phishing-E-Mails erbeutet werden(Verizon, 2024).

Typische Merkmale sind unpersönliche Anreden wie "Sehr geehrter Kunde", dringende Handlungsaufforderungen und verdächtige Links. Auch Rechtschreibund Grammatikfehler verraten oft gefälschte Nachrichten. Ein klassisches Beispiel: Eine E-Mail Ihrer "Bank" fordert Sie auf, Ihre Zugangsdaten zu bestätigen, weil Ihr Konto angeblich gesperrt wurde.

Besonders besorgniserregend: Nutzer fallen in weniger als 60 Sekunden auf Phishing-E-Mails herein (JumpCloud, 2024). Das zeigt, wie wichtig kontinuierliche Schulungen sind.

Aktuelle Phishing-Angriffe zeichnen sich durch eine zunehmend ausgefeilte Tarnung aus. Besonders häufig sind Phishing-Versuche, die Links zu gefälschten Cloud-Diensten nutzen, welche täuschend echt aussehen und beliebte Dienste wie Microsoft 365 oder SharePoint imitieren. Durch die genaue Nachbildung legitimer Webseiten steigt die Wahrscheinlichkeit, dass Mitarbeitende ihre Zugangsdaten unbedarft eingeben. Zudem werden mittlerweile vermehrt echte Accounts gehackter Geschäftspartner genutzt, wodurch diese Nachrichten besonders glaubwürdig wirken (BSI, 2024).

Spear-Phishing: Maßgeschneiderte Angriffe

Während klassisches Phishing auf Masse setzt, zielen Spear-Phishing-Attacken gezielt auf einzelne Unternehmen ab. Diese personalisierten Angriffe sind deutlicherfolgreicher als Massen-E-Mails, da sie spezifische Informationen über das Zielunternehmen enthalten.

Angreifer investieren Zeit in gründliche Recherchen über Namen von Mitarbeitern und Führungskräften, Geschäftspartner und interne Abläufe. Das Ergebnis sind E-Mails, die selbst erfahrene Mitarbeiter täuschen können – scheinbar vom Kollegen oder Geschäftspartner mit völlig plausiblen Anfragen.

Quishing: Die unterschätzte Gefahr der QR-Codes

QR-Codes haben sich besonders seit der Pandemie massiv verbreitet und werden oft als harmlos eingestuft. Genau diese Sorglosigkeit nutzen Cyberkriminelle aus. Check Point Research dokumentiert einen Anstieg der QR-Code-Phishing Angriffe um 587% im Jahr 2024 (Check Point Research, 2024).

Besonders tückisch: Auf Smartphone-Displays sind gefälschte Webseitenschwerer zu erkennen als am Desktop-Computer. Ein unscheinbarer QR-Code auf einem Flyer oder in einer E-Mail kann so zum Einfallstor für Schadprogrammewerden.

Business E-Mail Compromise: Wenn der Chef zum Komplizen wird

Bei Business E-Mail Compromise übernehmen Kriminelle E-Mail-Konten von Führungskräften und versenden gefälschte Zahlungsanweisungen. Das Verizon DBIR zeigt, dass Business E-mail Compromise mittlerweile mehr als 50% aller Social Engineering-Vorfälle ausmacht, mit einem medianen Schaden von 50.000Dollar pro Angriff (Verizon, 2024).

Die Angriffe funktionieren, weil sie das Vertrauen in hierarchische Strukturen ausnutzen. Wenn scheinbar der Geschäftsführer eine dringende Überweisung anweist, hinterfragen viele Mitarbeiter dies nicht.

Effektive Schutzmaßnahmen gegen Phishing

Technische Sicherheitslösungen richtig einsetzen

Moderne E-Mail-Sicherheitslösungen mit künstlicher Intelligenz können 94% aller Malware erkennen, die über E-Mail-Anhänge verbreitet wird (Verizon, 2024).Entscheidend ist dabei nicht nur die reine Filterfunktion, sondern auch die Integration verschiedener Sicherheitsebenen.

Die Multifaktor-Authentifizierung hat sich als besonders wirksam erwiesen. Microsoft dokumentiert, dass MFA 99,9% aller automatisierten Cyber-Angriffe verhindert (Microsoft Security, 2024). Dabei sollten Sie auf Authenticator-Apps setzen statt auf SMS, da Kriminelle zunehmend auch SMS-Codes abfangen können

.Ebenso wichtig sind regelmäßige Software-Updates. Das BSI stellt fest, dass Angriffe auf ungeschützte Systeme erheblich zugenommen haben, besonders auf Firewall- und VPN-Systeme (BSI, 2024). Automatische Updates und monatliche Überprüfungen aller Systeme sind daher unverzichtbar.

Web-Filter bieten eine weitere Schutzschicht, indem sie bekannte Phishing-Seitenautomatisch blockieren. Kombiniert mit sicheren DNS-Servern können sie auch den Zugriff auf neu entdeckte Bedrohungen verhindern.

Mit der TrustSpace-Software können Unternehmen Richtlinien gezielt ausrollen, Vorfälle schnell melden und Mitarbeitende proaktiv sensibilisieren.

Mitarbeiter als stärkste Verteidigungslinie

Das Verizon DBIR zeigt alarmierende Sicherheitslücken: Nur 20% der Nutzererkannten Phishing in Simulationen - das bedeutet, vier von fünf Mitarbeitenden fallen potenziell auf Angriffe herein. Noch bedenklicher: Lediglich 11% der Nutzer, die bereits auf bösartige E-Mails geklickt hatten, meldeten dies, sodass 89% der Sicherheitsvorfälle unentdeckt bleiben. Diese Zahlen verdeutlichen das enorme Risiko: Ohne umfassende Schulungen und eine funktioniere Meldekultur sind Unternehmen praktisch schutzlos gegen Cyberangriffe (Verizon 2024).

Effektive Schulungen gehen über einmalige Präsentationen hinaus. Unternehmen mit gut geschulten Mitarbeitern können Phishing-Meldungsraten von 60% nacheinem Jahr Training erreichen – im Vergleich zu nur 7% bei Unternehmen mit quartalsweisen Grundschulungen (Hoxhunt, 2024).

TrustSpace unterstützt Unternehmen mit gezielten Awareness-Schulungen, die Mitarbeitende umfassend über aktuelle Phishing-Methoden informieren und ihnen mit praxisnahen Beispielen helfen, Angriffe frühzeitig zu erkennen.

Klare Sicherheitsrichtlinien schaffen zusätzliche Sicherheit. Ein Vier-Augen-Prinzip bei größeren Überweisungen und die Verifikation ungewöhnlicher Anfragen per Telefon können viele Angriffe im letzten Moment stoppen.

Neue Bedrohungen durch künstliche Intelligenz

Cyberkriminelle nutzen zunehmend KI-Technologien für noch überzeugendere Angriffe. SlashNext berichtet von einem Anstieg der Phishing-Angriffe um 4.151%seit der Einführung von ChatGPT 2022 (SlashNext, 2024). Deepfake-Anrufe von angeblichen Geschäftspartnern, perfekt imitierte E-Mail-Signaturen und automatisierte Spear-Phishing-Kampagnen basierend auf Social-Media-Datenwerden immer häufiger.

Ebenfalls verstärkt eingesetzt werden sogenannte Adversary-in-the-Middle Angriffe, bei denen Angreifer echte Webseiten zwischenschalten, um auch Multifaktor-Authentifizierungen zu umgehen (BSI, 2024). Dies macht deutlich, wie wichtig es ist, bei der Eingabe vertraulicher Informationen stets vorsichtig zu sein.

Besonders problematisch: Diese KI-generierten Angriffe sind selbst für geschulte Mitarbeiter schwer zu erkennen, da sie praktisch fehlerfrei sind und perfekt auf das Zielunternehmen zugeschnitten werden.

Vorbereitung für den Ernstfall

Selbst bei besten Schutzmaßnahmen kann ein Angriff erfolgreich sein. Ein durchdachter Notfallplan minimiert dann die Schäden erheblich. Die ersten 30 Minuten nach einem erkannten Angriff sind entscheidend: Betroffene Systeme müssen sofort isoliert, Passwörter geändert und bei finanziellen Risiken die Bankinformiert werden. TrustSpace unterstützt Unternehmen bei der strukturierten Vorbereitung auf Ernstfälle – mit ISMS-Lösungen, die Notfallpläne, Verantwortlichkeiten und Meldeketten abbilden.

Das IBM Cost of Data Breach Report belegt, dass Unternehmen, die einen Vorfallinnerhalb von 200 Tagen identifizieren und eindämmen, 1,2 Millionen Dollarweniger Schäden verzeichnen als solche, die länger brauchen (IBM Security,2024). Regelmäßige Backups aller wichtigen Daten und griffbereite Kontaktdaten für IT-Notfälle gehören zur Grundausstattung.

Die Zukunft der Cybersicherheit

Das BSI warnt in seinem Lagebericht vor einer dramatischen Zunahme von DDoS-Angriffen mit hohem Volumen in der ersten Jahreshälfte 2024 (BSI, 2024).Gleichzeitig zeigt sich jedoch auch eine positive Entwicklung: Deutschland baut systematisch seine Cyber-Resilienz aus, etwa durch die Cybernation Germany Initiative und die Umsetzung der NIS-2-Richtlinie.

Phishing-Schutz ist mehr als eine lästige Pflicht – er ist eine Investition in die digitale Zukunftsfähigkeit Ihres Unternehmens. Die Kombination aus modernen Sicherheitstechnologien, kontinuierlicher Mitarbeiterschulung und klaren Prozessen bildet ein robustes Schutzschild gegen Cyberkriminelle.

Beginnen Sie noch heute: Schon die Aktivierung der Multifaktor-Authentifizierung und eine erste Mitarbeiterschulung reduzieren Ihr Risiko erheblich. Jeder Tag ohne angemessenen Schutz ist ein Tag zu viel in der heutigen Bedrohungslandschaft.

Dieser Beitrag wurde verfasst von TrustSpace – Experten für TISAX, ISO 27001 und NIS-2.