Phishing - Bewährte Praktiken

Dieser Praxisleitfaden gibt Ihnen die wesentlichen Reflexe, um Phishing-Versuche zu erkennen und zu vereiteln — für Sie, Ihre Kollegen und Ihr Unternehmen. 91 % der Cyberangriffe beginnen mit einer Phishing-E-Mail (Proofpoint 2024): Warnzeichen erkennen zu können ist die erste Verteidigungslinie.

Ein informierter Mensch ist so viel wert wie zwei!

Lernen Sie, die Fallen des Phishings zu durchschauen

icon

Globale
Checkliste
icon

Links und
Anhänge
icon

Dringlichkeit und
Druck
icon

Passwörter und
MFA
icon

Phishing im
Unternehmen
icon

Phishing
entwickelt sich

Fallen Sie nicht mehr herein: Überprüfen Sie Links und Anhänge

1. Wie man einen Link überprüft (BEVOR man klickt)

Mit der Maus darüberfahren

Fahren Sie auf einem Computer einfach mit dem Mauszeiger über den Link, OHNE zu klicken. Die tatsächliche URL-Adresse wird normalerweise unten links in Ihrem Browser angezeigt.

Lange auf dem Handy drücken

Drücken und halten Sie auf einem Smartphone oder Tablet Ihren Finger auf den Link. Ein Pop-up-Fenster zeigt die vollständige URL an.

  • Sieht sie genau so aus wie die erwartete Website? (z.B. `bank.ch` und nicht `bank-sicher.com` oder `bank.ch.info.net`)
  • Gibt es Rechtschreibfehler? (z.B. `googlle.com` statt `google.com`)
  • Verwendet sie das sichere HTTPS-Protokoll (angezeigt durch ein Vorhängeschloss in der Adressleiste, sobald Sie auf der Seite sind)?

Analysez l'URL affichée

Im Zweifelsfall

Öffnen Sie den Link nicht. Gehen Sie direkt auf die betreffende Website, indem Sie die Adresse in Ihren Browser eingeben oder einen gespeicherten Favoriten verwenden.

2. Vorsichtsmaßnahmen bei Anhängen

Erwarten Sie den Anhang?

Wenn Sie nicht erwartet haben, ein Dokument von diesem Absender zu erhalten, seien Sie äußerst vorsichtig.

Vorsicht vor verdächtigen Dateitypen

Seien Sie sehr wachsam bei ausführbaren Dateien (.exe), Archiven (.zip, .rar) oder Office-Dokumenten (.doc, .docx, .xls, .xlsx, .ppt, .pptx), wenn sie von einer unerwarteten Quelle stammen, insbesondere wenn sie zur Aktivierung von Makros auffordern.

Analysieren Sie den Kontext

Rechtfertigt der Inhalt der E-Mail das Vorhandensein eines Anhangs? Ist der Dateiname logisch?

Im Zweifelsfall

Laden Sie den Anhang nicht herunter und öffnen Sie ihn nicht. Kontaktieren Sie den Absender auf einem anderen Weg (Telefon, neue, manuell eingegebene E-Mail), um den Versand zu bestätigen.

Ihre Wachsamkeit ist Ihr bester Schutz gegen Cyberangriffe.

Phishing entwickelt sich: Kennen Sie die verschiedenen Formen

1. Einige gängige Formen des Phishings

Spear Phishing

Sehr gezielter Angriff auf eine Einzelperson oder eine kleine Gruppe. Die E-Mail ist mit echten Informationen über das Ziel personalisiert (Name des Vorgesetzten, laufendes Projekt, bekannter Lieferant), um legitim zu wirken. Spear Phishing ist für 66 % der bestätigten Datenverletzungen verantwortlich (Verizon DBIR 2025) — zwar weniger häufig, aber deutlich effektiver.

Whaling

Zielt speziell auf Führungskräfte oder Personen mit privilegiertem Zugang zu finanziellen oder sensiblen Informationen ab.

Smishing

Phishing per SMS. Die Nachricht enthält einen bösartigen Link oder fordert zum Anruf einer betrügerischen Nummer auf.

Vishing

Phishing per Telefonanruf (Voice Phishing). Der Betrüger gibt sich als vertrauenswürdiger Gesprächspartner aus (Bank, technischer Support, Verwaltung), um Ihnen Informationen zu entlocken.

Pharming

Technik, die den Datenverkehr einer legitimen Website auf eine gefälschte Website umleitet, ohne dass das Opfer überhaupt auf einen Link klickt, oft durch Änderung von Systemdateien auf dem Computer.

Business Email Compromise (BEC)

Chef-Betrug oder Lieferanten-Betrug: Der Angreifer gibt sich als Führungskraft oder Geschäftspartner aus, um eine dringende Überweisung anzuordnen oder vertrauliche Informationen zu erhalten. BEC verursachte 2023 gemeldete Verluste von 2,9 Milliarden USD (FBI IC3 2024) — es ist die finanziell schädlichste Cyberbedrohung. Keine Malware erforderlich — Manipulation genügt.

Bleiben Sie über neue Taktiken informiert, um sie besser zu durchschauen.

Checkliste: Wie überprüft man, ob eine E-Mail legitim ist?

1. Einige gängige Formen des Phishings

Absender

Überprüfen Sie die vollständige E-Mail-Adresse. Ist es die offizielle Adresse der Organisation oder gibt es feine Abweichungen?

Rechtschreibung und Grammatik

Enthält die E-Mail Rechtschreib-, Grammatikfehler oder seltsame Formulierungen?

Anrede

Ist sie unpersönlich ("Sehr geehrter Kunde", "Hallo Benutzer") oder wird Ihr Name verwendet?

Link-Ziel

Fahren Sie mit der Maus über den Link (ohne zu klicken!), um die tatsächliche URL zu sehen. Entspricht sie der erwarteten offiziellen Website?

Anhänge

Erwarten Sie diesen Anhang? Ist der Dateityp verdächtig?

Dringlichkeit oder Drohung

Erzeugt die Nachricht ein Gefühl der Dringlichkeit oder enthält sie Drohungen, um Sie zu schnellem Handeln zu bewegen?

Ungewöhnliche Anfrage

Ist die Anfrage (Überweisung, Information, Aktion...) seltsam oder unerwartet in diesem Kontext?

Anfrage nach sensiblen Daten

Fragt die E-Mail nach Ihrem Passwort, Ihren Bankdaten oder anderen vertraulichen Informationen?

Externe Überprüfung

Überprüfen Sie im Zweifelsfall die Information, indem Sie die Organisation direkt über ihre offizielle Website oder per Telefon kontaktieren (antworten Sie nicht auf die verdächtige E-Mail).

Meldung

Wenn Ihnen die E-Mail verdächtig erscheint, melden Sie sie Ihrer IT-Abteilung.

Indem Sie diese Überprüfungen anwenden, erhöhen Sie Ihre Fähigkeit, Phishing-Versuche zu erkennen, erheblich.

Phishing-Vorfall im Unternehmen: Die richtige Reaktion

1. Schritte, die SOFORT zu befolgen sind

Keine Panik, aber schnell handeln

Zeit ist ein Schlüsselfaktor, um den Schaden zu begrenzen.

Melden Sie den Vorfall UNVERZÜGLICH

  • Informieren Sie sofort Ihren direkten Vorgesetzten.
  • Kontaktieren Sie die IT-Abteilung oder den Sicherheitsbeauftragten (CISO) des Unternehmens. Verwenden Sie offizielle Kommunikationskanäle (Telefon, internes Meldetool) und nicht die potenziell kompromittierte E-Mail.
  • Beschreiben Sie genau, was passiert ist (Klick, Anhang geöffnet, Informationen eingegeben usw.).

Isolieren Sie Ihr Gerät

Trennen Sie sich vom Unternehmensnetzwerk (Ethernet-Kabel ziehen, WLAN deaktivieren). Fahren Sie Ihren Computer nicht herunter, es sei denn, die IT weist Sie dazu an, da dies die Beweissammlung verhindern könnte.

Löschen Sie nichts

Löschen Sie die verdächtige E-Mail oder potenziell heruntergeladene Dateien nicht. Sie sind wichtig für die Analyse des Vorfalls.

Ändern Sie Ihre Passwörter

Wenn Sie Ihr Sitzungspasswort oder ein anderes berufliches Passwort eingegeben haben, ändern Sie es sofort. Idealerweise tun Sie dies von einem anderen sicheren Gerät aus, wenn möglich.

Seien Sie zur Zusammenarbeit bereit

Das IT-Team wird Ihre Mitarbeit benötigen, um die Systeme zu untersuchen und bei Bedarf zu bereinigen.

Kooperieren Sie vollständig

Das IT-Team wird Ihre Mitarbeit benötigen, um die Systeme bei Bedarf zu untersuchen und zu bereinigen.

2. Warum das Melden unerlässlich ist

Identifikation

Ermöglicht die schnelle Identifizierung und Blockierung der Bedrohung zum Schutz anderer Mitarbeiter.

Verbreitung

Begrenzt die Verbreitung potenzieller Malware im Unternehmensnetzwerk.

Helfen

Hilft dem Sicherheitsteam, die verwendeten Taktiken zu verstehen und die Abwehrmaßnahmen zu verstärken.

Ihre Ehrlichkeit und Reaktionsfähigkeit sind für die kollektive Sicherheit unerlässlich.

Ihre Verteidigungslinie: Starke Passwörter und MFA

1. Starke Passwörter

Länge

Ein Passwort sollte idealerweise mindestens 12 Zeichen enthalten.

Komplexität

Mischen Sie Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen (!@#$%^&*).

Einzigartigkeit

Verwenden Sie NIEMALS dasselbe Passwort für verschiedene Konten, insbesondere für berufliche und private.

Vermeiden Sie persönliche Informationen

Verwenden Sie nicht Ihren Namen, Ihr Geburtsdatum, den Namen eines Verwandten, den Namen eines Haustieres...

Verwenden Sie eine Passphrase

Ein Satz, der für Sie leicht zu merken, aber schwer zu erraten ist (z.B. "MeineKatzeLiebtBlauesTrockenfutter!7").

Denken Sie an einen Passwort-Manager

Ein sicheres Werkzeug zum Erstellen und Speichern Ihrer komplexen Passwörter.

Découvrez en vidéo

Comment créer un mot de passe fort et incassable.

Comment les hackers cassent vos mots de passe.

2. Multi-Faktor-Authentifizierung (MFA)

Was ist das?

MFA erfordert mindestens zwei Nachweise Ihrer Identität zum Anmelden (etwas, das Sie wissen - Passwort, etwas, das Sie haben - Telefon/Token, etwas, das Sie sind - Fingerabdruck/Gesichtserkennung).

Warum ist es entscheidend?

Selbst wenn ein Betrüger Ihr Passwort via Phishing erhält, kann er sich ohne den zweiten Faktor nicht anmelden. MFA blockiert 99,9 % der automatisierten Angriffe auf Konten (Microsoft 2024). Es ist die Sicherheitsmaßnahme mit dem besten Aufwand-Schutz-Verhältnis.

Aktivieren Sie es überall

Aktivieren Sie MFA auf all Ihren beruflichen und privaten Konten, die dies anbieten (E-Mail, VPN, Apps, Banken, soziale Netzwerke...).

Starke Passwörter + MFA = Erheblich verbesserte Sicherheit.

Achtung vor Phishing-Taktiken: Dringlichkeit und Druck

1. Wie man diese Taktik erkennt

Sehr kurze Fristen

"Sie haben 24 Stunden Zeit, um zu antworten", "Ihr Konto wird in Kürze gelöscht, wenn Sie nicht handeln".

Drohungen

"Ihr Konto wurde kompromittiert", "Sie riskieren eine Geldstrafe", "Ihre Lieferung kann nicht zugestellt werden".

Ungewöhnliche und dringende Anfragen

Ein Vorgesetzter, der eine dringende Überweisung per E-Mail anfordert, eine sofortige Geschenkkartenanfrage usw.

Alarmistischer Ton

Verwendung von Großbuchstaben, übermäßigen Ausrufezeichen, dramatischen Formulierungen.

2. Wie man auf Dringlichkeit reagiert

Nehmen Sie sich Zeit

Eine wichtige E-Mail erfordert in der Regel keine sofortige Maßnahme unter Androhung katastrophaler Folgen. Atmen Sie durch und analysieren Sie die Nachricht in Ruhe.

Klicken Sie nicht

Vermeiden Sie es, auf Links zu klicken oder Anhänge zu öffnen, wenn Sie sich unter Druck gesetzt fühlen.

Überprüfen Sie über einen anderen Kanal

Wenn die Nachricht angeblich von einer Person oder Organisation stammt, die Sie kennen, kontaktieren Sie diese direkt über einen üblichen Weg (Telefon, offizielle App, Website), um die Information zu überprüfen. Verwenden Sie NICHT die in der verdächtigen E-Mail angegebenen Kontaktdaten.

Sprechen Sie darüber

Wenn Sie Zweifel an einer E-Mail haben, sprechen Sie mit einem Kollegen oder kontaktieren Sie Ihre IT-Abteilung, bevor Sie handeln.

Lassen Sie sich nicht unter Druck zu einem Fehler verleiten. Überprüfung ist der Schlüssel.

Häufig gestellte Fragen zum Phishing

Schützt MFA (Multi-Faktor-Authentifizierung) wirklich vor Phishing?

Ja, in der großen Mehrheit der Fälle. Selbst wenn ein Angreifer Ihr Passwort über eine Phishing-Seite erhält, kann er sich ohne den zweiten Faktor (SMS-Code, Authenticator-App, physischer Schlüssel) nicht anmelden. MFA blockiert 99,9 % der automatisierten Angriffe auf Konten (Microsoft 2024). Die einzige Ausnahme ist Echtzeit-Phishing (MITM / Adversary-in-the-Middle-Angriff), der den MFA-Code im selben Moment abfängt — dieser Angriffsvektor bleibt für KMU marginal. Empfehlung: MFA auf allen beruflichen Konten ohne Ausnahme aktivieren.

Sind Smishing (SMS) und Vishing (Telefon) genauso gefährlich wie E-Mail-Phishing?

Ja, und sie können effektiver sein, gerade weil man weniger damit rechnet.

Smishing (SMS): SMS haben eine Öffnungsrate von über 90 %, gegenüber 20 bis 30 % bei E-Mails. Die Nachrichten imitieren typischerweise eine Lieferbenachrichtigung (Post, DHL), eine Bankwarnung oder eine Behördennachricht. Der Link leitet auf eine gefälschte Anmeldeseite weiter. Auf Mobilgeräten ist die URL häufig gekürzt und schwer zu überprüfen.

Vishing (Sprache): Der Angreifer ruft sein Opfer direkt an und gibt sich als IT-Support, Bank oder Microsoft aus. Der Echtzeit-Druck und die menschliche Stimme umgehen die üblichen Schutzreflexe. KI-generierte Stimmdeepfakes können mittlerweile die Stimme eines Kollegen oder Vorgesetzten imitieren.

Die goldene Regel in beiden Fällen: Niemals vertrauliche Informationen infolge einer unaufgeforderten Nachricht oder eines unaufgeforderten Anrufs weitergeben — sondern die Organisation direkt über eine bekannte offizielle Nummer zurückrufen.

Was ist Phishing?

Phishing (auf Deutsch auch Hameçonnage genannt) ist eine Online-Betrugsmethode, bei der E-Mails, SMS oder Nachrichten verschickt werden, die legitime Kommunikation imitieren (Bank, Behörde, Arbeitgeber), um das Opfer zu täuschen und vertrauliche Informationen zu entlocken — Passwörter, Bankdaten, berufliche Zugangsdaten. Phishing ist der häufigste Angriffsvektor: 91 % der Cyberangriffe beginnen mit einer betrügerischen E-Mail (Proofpoint 2024).

Was ist Spear Phishing und warum ist es gefährlicher?

Spear Phishing ist eine gezielte Variante des klassischen Phishings: Statt Millionen generischer E-Mails zu verschicken, personalisieren die Angreifer den Angriff mit echten Informationen über das Ziel (Name des Vorgesetzten, laufendes Projekt, Lieferantenname). Diese Zielgenauigkeit macht die E-Mail deutlich glaubwürdiger. Spear Phishing ist für 66 % der bestätigten Datenverletzungen verantwortlich (Verizon DBIR 2024). Mit KI können Angreifer diese personalisierten E-Mails nun in großem Maßstab generieren — die Kosten eines gezielten Angriffs sind erheblich gesunken.

Was tun, wenn ich auf einen Phishing-Link geklickt habe?

Handeln Sie sofort: (1) Trennen Sie sich vom Unternehmensnetzwerk (WLAN, Kabel); (2) melden Sie den Vorfall umgehend Ihrer IT-Abteilung oder dem Sicherheitsbeauftragten — per Telefon, nicht per E-Mail; (3) ändern Sie Ihr Passwort von einem anderen sicheren Gerät aus; (4) löschen Sie die verdächtige E-Mail nicht, sie dient der forensischen Analyse; (5) aktivieren Sie MFA, falls noch nicht geschehen. Je schneller Sie handeln, desto besser können die Schäden begrenzt werden.

Welche verschiedenen Formen von Phishing gibt es?

Es gibt 6 Hauptformen von Phishing:
  • Klassisches Phishing — Massen-E-Mails, die eine Bank, eine Lieferung oder eine Behörde imitieren. Täglich werden mehr als 3,4 Milliarden betrügerische E-Mails versandt (Forbes 2024). Oft erkennbar an Fehlern und künstlicher Dringlichkeit.
  • Spear Phishing — Gezielter Angriff auf eine bestimmte Person mit echten Informationen (Name des Vorgesetzten, laufendes Projekt). Verantwortlich für 66 % der bestätigten Verletzungen (Verizon DBIR 2024).
  • Whaling — Variante des Spear Phishing, die gezielt Führungskräfte und Manager angreift, um Zugang zu Finanzen oder strategischen Entscheidungen zu erhalten.
  • Smishing — Phishing per SMS. Imitiert in der Regel eine Bankwarnung, eine Paketzustellung oder einen öffentlichen Dienst. Die Öffnungsrate von SMS liegt bei über 90 % — dieser Vektor wächst stark.
  • Vishing — Sprach-Phishing per Telefon. Der Betrüger gibt sich als IT-Support, Bank oder Behörde aus, um Informationen zu entlocken oder eine sofortige Aktion auszulösen.
  • BEC (Business Email Compromise / CEO-Betrug) — Identitätsmissbrauch eines Managers oder Partners, um eine Überweisung anzuordnen oder sensible Daten zu erhalten. Größte Quelle finanzieller Verluste durch Cyberkriminalität: 2,9 Milliarden USD im Jahr 2023 (FBI IC3 2024).

Wie erkennt man eine Phishing-E-Mail?

Die wichtigsten Warnsignale sind: eine Absenderadresse, die leicht vom Original abweicht (z.B. support@rnazonl.com statt @amazon.com), ein Gefühl von Dringlichkeit oder Drohung, das zu schnellem Handeln drängt, eine Anfrage nach Passwort oder Bankdaten, eine Link-URL, die nicht der erwarteten Website entspricht (vor dem Klicken überprüfen), Rechtschreib- oder Formatierungsfehler. Achtung: Durch KI generierte E-Mails sind mittlerweile fehlerfrei — die Grammatik allein reicht nicht mehr zur Erkennung aus.

Wie schult man Teams effektiv gegen Phishing?

Theoretische Schulungen allein reichen nicht aus: Studien zeigen, dass Mitarbeitende 70 % des Inhalts einer Schulung innerhalb einer Woche vergessen (Ebbinghaus, in zahlreichen E-Learning-Studien bestätigt). Der effektivste Ansatz kombiniert Simulation und korrigierende Schulung: echte simulierte Phishing-Kampagnen durchführen (via PhishTrainer), Mitarbeitende identifizieren, die klicken, und sie automatisch auf eine gezielte Schulung weiterleiten (Bexxo Academy). Diese Methode reduziert die Klickrate in sechs Monaten um 60 bis 70 % (Proofpoint 2024). Regelmäßige Simulationen (4 bis 6 pro Jahr) halten das Wachsamkeitsniveau dauerhaft aufrecht.

Wie verändert künstliche Intelligenz Phishing-Angriffe?

Generative KI hat die Phishing-Bedrohung seit 2023 grundlegend verändert. Drei wesentliche Entwicklungen:
  • Fehlerfrei formulierte E-Mails — Vorbei mit den Rechtschreibfehlern, die früher Phishing erkennbar machten. LLMs generieren makellose E-Mails auf Deutsch, angepasst an den Ton des anvisierten Unternehmens. Durch KI generierte E-Mails haben eine viermal höhere Klickrate als manuell erstellte (APWG / Keepnet 2025).
  • Personalisierung im großen Maßstab — KI kann das LinkedIn-Profil, öffentliche Posts und die Website eines Ziels analysieren, um in Sekunden ein ultrarealistisches Spear-Phishing zu erstellen. Was für einen menschlichen Angreifer Stunden brauchte, dauert jetzt Sekunden.
  • Voice- und Video-Deepfakes — Vishing-Anrufe, die die Stimme eines Managers imitieren, oder ganze Videokonferenzen mit Deepfake-Avataren wurden bereits genutzt, um betrügerische Überweisungen auszulösen (dokumentierte Fälle 2024 in Hongkong: 25 Millionen USD verloren).
Die direkte Konsequenz: Menschliche Wachsamkeit allein reicht nicht mehr aus. Regelmäßige Simulation (PhishTrainer) und kontinuierliche Schulung (Bexxo Academy) sind unverzichtbar, um ein der aktuellen Bedrohung angemessenes Schutzniveau aufrechtzuerhalten.
Ja, in der großen Mehrheit der Fälle. Selbst wenn ein Angreifer Ihr Passwort über eine Phishing-Seite erhält, kann er sich ohne den zweiten Faktor (SMS-Code, Authenticator-App, physischer Schlüssel) nicht anmelden. MFA blockiert 99,9 % der automatisierten Angriffe auf Konten (Microsoft 2024). Die einzige Ausnahme ist Echtzeit-Phishing (MITM / Adversary-in-the-Middle-Angriff), der den MFA-Code im selben Moment abfängt — dieser Angriffsvektor bleibt für KMU marginal. Empfehlung: MFA auf allen beruflichen Konten ohne Ausnahme aktivieren.
Ja, und sie können effektiver sein, gerade weil man weniger damit rechnet.

Smishing (SMS): SMS haben eine Öffnungsrate von über 90 %, gegenüber 20 bis 30 % bei E-Mails. Die Nachrichten imitieren typischerweise eine Lieferbenachrichtigung (Post, DHL), eine Bankwarnung oder eine Behördennachricht. Der Link leitet auf eine gefälschte Anmeldeseite weiter. Auf Mobilgeräten ist die URL häufig gekürzt und schwer zu überprüfen.

Vishing (Sprache): Der Angreifer ruft sein Opfer direkt an und gibt sich als IT-Support, Bank oder Microsoft aus. Der Echtzeit-Druck und die menschliche Stimme umgehen die üblichen Schutzreflexe. KI-generierte Stimmdeepfakes können mittlerweile die Stimme eines Kollegen oder Vorgesetzten imitieren.

Die goldene Regel in beiden Fällen: Niemals vertrauliche Informationen infolge einer unaufgeforderten Nachricht oder eines unaufgeforderten Anrufs weitergeben — sondern die Organisation direkt über eine bekannte offizielle Nummer zurückrufen.
Phishing (auf Deutsch auch Hameçonnage genannt) ist eine Online-Betrugsmethode, bei der E-Mails, SMS oder Nachrichten verschickt werden, die legitime Kommunikation imitieren (Bank, Behörde, Arbeitgeber), um das Opfer zu täuschen und vertrauliche Informationen zu entlocken — Passwörter, Bankdaten, berufliche Zugangsdaten. Phishing ist der häufigste Angriffsvektor: 91 % der Cyberangriffe beginnen mit einer betrügerischen E-Mail (Proofpoint 2024).
Spear Phishing ist eine gezielte Variante des klassischen Phishings: Statt Millionen generischer E-Mails zu verschicken, personalisieren die Angreifer den Angriff mit echten Informationen über das Ziel (Name des Vorgesetzten, laufendes Projekt, Lieferantenname). Diese Zielgenauigkeit macht die E-Mail deutlich glaubwürdiger. Spear Phishing ist für 66 % der bestätigten Datenverletzungen verantwortlich (Verizon DBIR 2024). Mit KI können Angreifer diese personalisierten E-Mails nun in großem Maßstab generieren — die Kosten eines gezielten Angriffs sind erheblich gesunken.
Handeln Sie sofort: (1) Trennen Sie sich vom Unternehmensnetzwerk (WLAN, Kabel); (2) melden Sie den Vorfall umgehend Ihrer IT-Abteilung oder dem Sicherheitsbeauftragten — per Telefon, nicht per E-Mail; (3) ändern Sie Ihr Passwort von einem anderen sicheren Gerät aus; (4) löschen Sie die verdächtige E-Mail nicht, sie dient der forensischen Analyse; (5) aktivieren Sie MFA, falls noch nicht geschehen. Je schneller Sie handeln, desto besser können die Schäden begrenzt werden.
Es gibt 6 Hauptformen von Phishing:
  • Klassisches Phishing — Massen-E-Mails, die eine Bank, eine Lieferung oder eine Behörde imitieren. Täglich werden mehr als 3,4 Milliarden betrügerische E-Mails versandt (Forbes 2024). Oft erkennbar an Fehlern und künstlicher Dringlichkeit.
  • Spear Phishing — Gezielter Angriff auf eine bestimmte Person mit echten Informationen (Name des Vorgesetzten, laufendes Projekt). Verantwortlich für 66 % der bestätigten Verletzungen (Verizon DBIR 2024).
  • Whaling — Variante des Spear Phishing, die gezielt Führungskräfte und Manager angreift, um Zugang zu Finanzen oder strategischen Entscheidungen zu erhalten.
  • Smishing — Phishing per SMS. Imitiert in der Regel eine Bankwarnung, eine Paketzustellung oder einen öffentlichen Dienst. Die Öffnungsrate von SMS liegt bei über 90 % — dieser Vektor wächst stark.
  • Vishing — Sprach-Phishing per Telefon. Der Betrüger gibt sich als IT-Support, Bank oder Behörde aus, um Informationen zu entlocken oder eine sofortige Aktion auszulösen.
  • BEC (Business Email Compromise / CEO-Betrug) — Identitätsmissbrauch eines Managers oder Partners, um eine Überweisung anzuordnen oder sensible Daten zu erhalten. Größte Quelle finanzieller Verluste durch Cyberkriminalität: 2,9 Milliarden USD im Jahr 2023 (FBI IC3 2024).
Die wichtigsten Warnsignale sind: eine Absenderadresse, die leicht vom Original abweicht (z.B. support@rnazonl.com statt @amazon.com), ein Gefühl von Dringlichkeit oder Drohung, das zu schnellem Handeln drängt, eine Anfrage nach Passwort oder Bankdaten, eine Link-URL, die nicht der erwarteten Website entspricht (vor dem Klicken überprüfen), Rechtschreib- oder Formatierungsfehler. Achtung: Durch KI generierte E-Mails sind mittlerweile fehlerfrei — die Grammatik allein reicht nicht mehr zur Erkennung aus.
Theoretische Schulungen allein reichen nicht aus: Studien zeigen, dass Mitarbeitende 70 % des Inhalts einer Schulung innerhalb einer Woche vergessen (Ebbinghaus, in zahlreichen E-Learning-Studien bestätigt). Der effektivste Ansatz kombiniert Simulation und korrigierende Schulung: echte simulierte Phishing-Kampagnen durchführen (via PhishTrainer), Mitarbeitende identifizieren, die klicken, und sie automatisch auf eine gezielte Schulung weiterleiten (Bexxo Academy). Diese Methode reduziert die Klickrate in sechs Monaten um 60 bis 70 % (Proofpoint 2024). Regelmäßige Simulationen (4 bis 6 pro Jahr) halten das Wachsamkeitsniveau dauerhaft aufrecht.
Generative KI hat die Phishing-Bedrohung seit 2023 grundlegend verändert. Drei wesentliche Entwicklungen:
  • Fehlerfrei formulierte E-Mails — Vorbei mit den Rechtschreibfehlern, die früher Phishing erkennbar machten. LLMs generieren makellose E-Mails auf Deutsch, angepasst an den Ton des anvisierten Unternehmens. Durch KI generierte E-Mails haben eine viermal höhere Klickrate als manuell erstellte (APWG / Keepnet 2025).
  • Personalisierung im großen Maßstab — KI kann das LinkedIn-Profil, öffentliche Posts und die Website eines Ziels analysieren, um in Sekunden ein ultrarealistisches Spear-Phishing zu erstellen. Was für einen menschlichen Angreifer Stunden brauchte, dauert jetzt Sekunden.
  • Voice- und Video-Deepfakes — Vishing-Anrufe, die die Stimme eines Managers imitieren, oder ganze Videokonferenzen mit Deepfake-Avataren wurden bereits genutzt, um betrügerische Überweisungen auszulösen (dokumentierte Fälle 2024 in Hongkong: 25 Millionen USD verloren).
Die direkte Konsequenz: Menschliche Wachsamkeit allein reicht nicht mehr aus. Regelmäßige Simulation (PhishTrainer) und kontinuierliche Schulung (Bexxo Academy) sind unverzichtbar, um ein der aktuellen Bedrohung angemessenes Schutzniveau aufrechtzuerhalten.
Schulen Sie Ihre Teams

Schulen Sie Ihre Teams mit PhishTrainer.

Verwandeln Sie mit PhishTrainer Ihre Mitarbeiter in die erste Verteidigungslinie gegen Phishing. Simulieren, sensibilisieren und sichern Sie Ihr Unternehmen nachhaltig dank realistischer und ansprechender Phishing-Kampagnen.

Demonstration ansehen