Phishing im Unternehmen: Erkennen, verhindern und diese anhaltende Bedrohung bewältigen

Phishing ist die häufigste Cyberbedrohung in Unternehmen: Laut dem ANSSI-Bericht 2024 ist es in über 80 % der gemeldeten Cybersicherheitsvorfälle involviert. Es ist einfach auszuführen, erschreckend effektiv und nutzt das menschliche Glied, um die robustesten technischen Schutzmaßnahmen zu umgehen. Hier erfahren Sie, wie Sie es erkennen, verhindern und darauf reagieren können.

Was ist Phishing? Definition

Phishing ist eine Cyberangriffstechnik, die auf Social Engineering basiert, bei der ein Angreifer betrügerische Nachrichten – per E-Mail, SMS oder Instant Messaging – sendet und sich als vertrauenswürdige Entität (Bank, Lieferant, interner Dienst) ausgibt, um das Opfer dazu zu bringen, sensible Informationen preiszugeben oder eine gefährliche Handlung auszuführen.

Die häufigsten Varianten sind:

• Spear-Phishing: gezielter Angriff, personalisiert nach dem Profil des Opfers (Position, Unternehmen, berufliche Beziehungen).
• Whaling: zielt speziell auf Führungskräfte und leitende Angestellte ab.
• Smishing: Phishing per SMS.
• Vishing: Voice-Phishing per Telefon.

Kennzahl: 94 % der Malware wird per E-Mail zugestellt, und ein erfolgreicher Phishing-Angriff kostet ein Unternehmen durchschnittlich 4,91 Millionen US-Dollar, so der IBM Cost of a Data Breach Report 2024.

Warum sind Unternehmen so anfällig für Phishing?

Phishing ist nicht nur ein einfacher Täuschungsversuch: Es ist ein strategisches Einfallstor in das Informationssystem eines Unternehmens, da es technische Schutzmaßnahmen umgeht, indem es menschliches Versagen ausnutzt.

Was ein erfolgreicher Angriff Cyberkriminellen ermöglicht

Erschwerende Faktoren im Unternehmen

• Der menschliche Faktor: Ein einziger Klick reicht aus, um das gesamte Netzwerk zu gefährden.
• Mangelnde Schulung: Laut Proofpoint (2024) wissen 33 % der Mitarbeiter nicht, wie sie eine Phishing-E-Mail erkennen können.
• Zunehmende Raffinesse der Angriffe: Cyberkriminelle nutzen generative KI, um fehlerfreie, personalisierte und überzeugende Nachrichten zu erstellen.

Folgen für das Unternehmen

• Betriebsunterbrechung im Falle einer Infektion des Netzwerks (Ransomware).
• Verlust sensibler Daten, manchmal unwiederbringlich.
• Reputationsschaden, wenn der Vorfall öffentlich gemacht wird.
• Gesetzliche Sanktionen im Falle des Verlusts personenbezogener Daten (DSG, DSGVO): bis zu 4 % des weltweiten Jahresumsatzes gemäß der DSGVO.

Wie erkennt man eine Phishing-Nachricht?

Bestimmte Warnsignale helfen, eine betrügerische E-Mail oder Nachricht zu erkennen, bevor man handelt:

• Künstliches Dringlichkeitsgefühl: „Ihr Konto wird in 24 Stunden deaktiviert“, „Zahlung ausstehend“.
• Verdächtiger Absender: Die E-Mail-Adresse entspricht nicht der offiziellen Domain (z. B. support@microsoft-secure.net anstelle von @microsoft.com).
• Irreführender Link: Wenn Sie den Link bewegen, entspricht die angezeigte URL nicht der erwarteten Website.
• Ungewöhnliche Anfrage nach sensiblen Informationen: Passwort, Bankdaten, VPN-Zugang per E-Mail.
• Unerwartete Anlage: .exe-, .zip- oder Office-Datei mit aktivierten Makros.
• Ungewöhnliche Formulierung oder Fehler: Auch wenn moderne Angriffe immer besser formuliert sind.

Phishing-Angriffe verhindern: die besten Praktiken

1. Schulen und sensibilisieren Sie die Teams regelmäßig

Führen Sie Phishing-Simulationskampagnen durch, um Ihre Mitarbeiter unter realen Bedingungen zu testen und zu schulen. Laut KnowBe4 (2024) reduzieren Unternehmen, die regelmäßig Simulationen durchführen, ihre Klickrate auf bösartige Links innerhalb von 12 Monaten um 86 %.

2. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA)

MFA blockiert über 99,9 % der automatisierten Angriffe auf Konten, selbst wenn das Passwort kompromittiert wurde (Microsoft Security, 2023). Dies ist die wirksamste individuelle Schutzmaßnahme gegen Phishing.

3. Stellen Sie leistungsstarke Anti-Spam- und Anti-Phishing-Filter bereit

Lösungen wie Microsoft Defender for Office 365, Proofpoint oder Mimecast analysieren eingehende E-Mails und blockieren verdächtige Nachrichten, bevor sie den Posteingang erreichen.

4. Überwachen Sie die in Phishing-Kampagnen ausgenutzten Schwachstellen

Einige Phishing-Kampagnen nutzen bekannte Schwachstellen in Software aus (CVE). Eine aktive Überwachung auf CVEfind.com ermöglicht es, diese Schwachstellen in Echtzeit zu identifizieren und Korrekturen zu priorisieren, bevor sie ausgenutzt werden.

5. Richten Sie eine interne Meldestelle ein

Ermutigen Sie die Mitarbeiter, jede verdächtige Nachricht ohne Angst vor Verurteilung zu melden. Eine schnelle Meldung kann einen laufenden Angriff stoppen, bevor er sich ausbreitet.

Was tun im Falle eines erfolgreichen Phishing-Angriffs?

Befolgen Sie im Falle einer bestätigten oder vermuteten Kompromittierung diese Schritte in der Reihenfolge:

1. Isolieren Sie den betroffenen Rechner sofort vom Netzwerk, um die Ausbreitung zu begrenzen.
2. Ändern Sie alle kompromittierten Passwörter und widerrufen Sie die zugehörigen Sitzungen und Zugriffe.
3. Benachrichtigen Sie das IT-Team und die Geschäftsleitung sowie die potenziell gefährdeten Mitarbeiter.
4. Analysieren Sie den Angriff: Identifizieren Sie die ausgenutzten Schwachstellen, die abgerufenen Daten und das Ausmaß der Kompromittierung.
5. Melden Sie den Vorfall der zuständigen Behörde, wenn personenbezogene Daten kompromittiert wurden (gesetzliche Verpflichtung gemäß der DSGVO innerhalb von 72 Stunden; DSG in der Schweiz).
6. Beheben Sie die identifizierten Schwachstellen und aktualisieren Sie die Sicherheitswerkzeuge und -verfahren.

FAQ – Phishing im Unternehmen

Was ist der Unterschied zwischen Phishing und Spear-Phishing?

Phishing ist ein Massenangriff, der ohne Personalisierung an Tausende von Empfängern gesendet wird. Spear-Phishing ist ein gezielter Angriff, der auf eine bestimmte Person oder Organisation zugeschnitten ist und reale Informationen (Name, Position, Beziehungen) verwendet, um legitim zu erscheinen. Spear-Phishing ist deutlich gefährlicher: Es ist laut Verizon DBIR 2024 für 66 % der Datenschutzverletzungen verantwortlich.

Kann Phishing Anti-Spam-Filter umgehen?

Ja. Hochentwickelte Angriffe verwenden kompromittierte legitime Domains, Verschleierungstechniken oder Links zu vertrauenswürdigen Cloud-Diensten (Google Drive, SharePoint), um Filter zu umgehen. Deshalb bleibt die menschliche Schulung zusätzlich zu den technischen Werkzeugen unerlässlich.

Wie viel kostet ein Phishing-Angriff ein Unternehmen?

Laut IBM (2024) belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung, die durch Phishing verursacht wurde, auf 4,91 Millionen US-Dollar, einschließlich der Kosten für die Behebung, der Betriebsverluste, der behördlichen Bußgelder und der Reputationsschäden.

Welche gesetzlichen Verpflichtungen gelten im Falle eines Datenlecks infolge von Phishing?

Gemäß der DSGVO (Europäische Union) muss jede Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. In der Schweiz schreibt das DSG ähnliche Verpflichtungen vor. Die Nichteinhaltung kann für das Unternehmen Sanktionen in Höhe von bis zu 4 % des weltweiten Jahresumsatzes nach sich ziehen.

Fazit

Phishing ist eine unsichtbare, aber allgegenwärtige Bedrohung, die sich ständig weiterentwickelt. Keine technische Lösung allein reicht aus: Die beste Verteidigung basiert auf einem kombinierten Ansatz aus regelmäßiger menschlicher Sensibilisierung, technischen Schutzwerkzeugen (MFA, Anti-Phishing-Filter) und proaktiver Überwachung von Schwachstellen mit Werkzeugen wie CVEfind.com. Wachsam bleiben bedeutet, geschützt zu bleiben.