Zuletzt aktualisiert am 05.12.2025 4 Minuten Lesezeit

Phishing

Phishing ist eine Form des Social Engineering, bei der Angreifer versuchen, durch Täuschung an vertrauliche Informationen wie Passwörter, Kreditkartendaten oder Zugangsdaten zu gelangen.

Der Begriff leitet sich vom englischen "fishing" (Angeln) ab und beschreibt bildlich das "Angeln" nach sensiblen Daten. Die Schreibweise mit "Ph" ist eine Anlehnung an die Hacker-Subkultur der "Phreaker", die in den 1970er Jahren Telefonsysteme manipulierten.

Funktionsweise von Phishing

Bei einem typischen Phishing-Angriff gibt sich der Angreifer als vertrauenswürdige Instanz aus - beispielsweise als Bank, Online-Shop, Behörde oder bekanntes Unternehmen. Das Opfer erhält eine Nachricht, die zum Handeln auffordert: etwa einen Link anzuklicken, Daten einzugeben oder eine Datei zu öffnen.

Die Nachrichten erzeugen häufig künstlichen Zeitdruck oder spielen mit Ängsten:

  • "Ihr Konto wird in 24 Stunden gesperrt"
  • "Ungewöhnliche Aktivitäten festgestellt"
  • "Ihre Bestellung konnte nicht zugestellt werden"
  • "Sie haben gewonnen - fordern Sie Ihren Preis an"

Verbreitete Phishing-Methoden

E-Mail-Phishing

Die klassische und häufigste Form. Massenhaft versendete E-Mails imitieren das Erscheinungsbild bekannter Unternehmen. Sie enthalten Links zu gefälschten Websites, die den originalen Seiten täuschend ähnlich sehen.

Spear-Phishing

Gezielte Angriffe auf bestimmte Personen oder Organisationen. Die Angreifer recherchieren ihre Opfer vorab und personalisieren die Nachrichten entsprechend. Dies erhöht die Erfolgsquote erheblich.

Whaling

Eine Unterform des Spear-Phishing, die sich gezielt gegen Führungskräfte und hochrangige Entscheidungsträger richtet. Diese Angriffe sind besonders aufwendig gestaltet und zielen auf weitreichende Zugriffsrechte ab.

Smishing

Phishing per SMS ("SMS-Phishing"). Die Nachrichten enthalten typischerweise verkürzte Links und geben sich als Paketdienste, Banken oder Behörden aus.

Vishing

Phishing per Telefon ("Voice-Phishing"). Angreifer rufen ihre Opfer an und geben sich als Supportmitarbeiter, Bankangestellte oder Behördenvertreter aus.

Clone-Phishing

Der Angreifer erstellt eine Kopie einer legitimen E-Mail, die das Opfer bereits erhalten hat, und ersetzt Links oder Anhänge durch schädliche Versionen.

Erkennungsmerkmale von Phishing

Obwohl Phishing-Angriffe immer professioneller werden, gibt es typische Warnzeichen:

Absenderadresse prüfen: Die Domain weicht oft geringfügig ab (z.B. "sparkasse-online.de" statt "sparkasse.de" oder "arnazon.com" statt "amazon.com").

Unpersönliche Anrede: Formulierungen wie "Sehr geehrter Kunde" statt des Namens deuten auf Massenmails hin.

Sprachliche Fehler: Grammatik- und Rechtschreibfehler können ein Hinweis sein, wobei KI-generierte Phishing-Mails zunehmend fehlerfrei sind.

Verdächtige Links: Vor dem Klicken den Mauszeiger über den Link halten und die tatsächliche URL prüfen. Achten Sie auf HTTPS und die korrekte Domain.

Ungewöhnliche Anhänge: Dateien mit Endungen wie .exe, .zip oder auch Office-Dokumente mit Makros können Schadsoftware enthalten.

Dringlichkeit: Zeitdruck und Drohungen sollen zu übereiltem Handeln verleiten.

Schutzmaßnahmen

Technische Maßnahmen

  • E-Mail-Filter und Spam-Schutz: Moderne E-Mail-Systeme erkennen viele Phishing-Versuche automatisch
  • Zwei-Faktor-Authentifizierung (2FA): Selbst bei gestohlenen Zugangsdaten ist der Zugang ohne den zweiten Faktor nicht möglich
  • DNS-Filterung: Blockiert den Zugriff auf bekannte Phishing-Domains
  • Browser-Erweiterungen: Warnen vor verdächtigen Websites
  • DMARC, SPF und DKIM: E-Mail-Authentifizierungsstandards, die das Fälschen von Absenderadressen erschweren

Organisatorische Maßnahmen

  • Security-Awareness-Schulungen: Regelmäßige Trainings sensibilisieren Mitarbeiter für Phishing-Gefahren
  • Phishing-Simulationen: Kontrollierte Tests zeigen Schwachstellen auf und verbessern die Erkennungsrate
  • Klare Meldewege: Einfache Prozesse zum Melden verdächtiger Nachrichten
  • Incident-Response-Plan: Definierte Abläufe für den Fall eines erfolgreichen Angriffs

Persönliche Vorsichtsmaßnahmen

  • Keine sensiblen Daten über E-Mail-Links eingeben - stattdessen die Website direkt im Browser aufrufen
  • Bei Unsicherheit den vermeintlichen Absender über einen bekannten Kanal kontaktieren
  • Regelmäßige Passwortänderungen und Verwendung eines Passwort-Managers
  • Software und Betriebssystem aktuell halten

Rechtliche Aspekte

Phishing ist in Deutschland strafbar. Je nach Ausführung können verschiedene Straftatbestände greifen:

  • Computerbetrug (§ 263a StGB)
  • Ausspähen von Daten (§ 202a StGB)
  • Fälschung beweiserheblicher Daten (§ 269 StGB)
  • Datenveränderung (§ 303a StGB)

Unternehmen sind nach der DSGVO verpflichtet, angemessene Schutzmaßnahmen zu ergreifen und Datenschutzverletzungen zu melden.

Aktuelle Entwicklungen

Phishing entwickelt sich ständig weiter. Aktuelle Trends umfassen:

  • KI-gestützte Angriffe: Große Sprachmodelle ermöglichen fehlerfreie, personalisierte Phishing-Texte in beliebigen Sprachen
  • Deepfakes: Gefälschte Audio- und Videoaufnahmen für überzeugende Vishing-Angriffe
  • QR-Code-Phishing (Quishing): Schädliche Links werden als QR-Codes verbreitet
  • Browser-in-the-Browser-Angriffe: Gefälschte Login-Fenster erscheinen als legitime Pop-ups

Relevanz für IT-Berufe

Für Fachinformatiker und andere IT-Fachkräfte ist das Verständnis von Phishing aus mehreren Perspektiven wichtig:

  • Systemadministration: Konfiguration von E-Mail-Filtern, Implementierung von Authentifizierungsprotokollen
  • Anwendungsentwicklung: Sichere Gestaltung von Login-Prozessen und Benutzeroberflächen
  • IT-Support: Erkennung und Behandlung von Phishing-Vorfällen, Schulung von Anwendern
  • IT-Sicherheit: Durchführung von Awareness-Kampagnen, Analyse von Phishing-Versuchen, Incident Response

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) stellt regelmäßig aktualisierte Informationen und Handlungsempfehlungen zum Thema Phishing bereit.

Zurück zum Lexikon

Datenschutzhinweis

Keine Tracking-Cookies. Wir nutzen Fathom Analytics: cookieless, anonym und DSGVO-konform. YouTube-Videos werden über youtube-nocookie.com eingebunden.