Phishing erkennen, verstehen, vermeiden – Ein Leitfaden für Unternehmen und Anwender

Matteo Keller
IT-Management und Datensicherheit

Die unsichtbare Gefahr: Was Phishing für Unternehmen bedeutet

Phishing-Angriffe gehören zu den gefährlichsten und zugleich am meist unterschätzten Bedrohungen für Privatpersonen und Unternehmen. Sie zielen darauf ab, sensible Informationen wie Passwörter, Kontodaten oder geschäftskritische Zugangsdaten abzugreifen – und das mit einer erstaunlichen Erfolgsrate.

Laut dem Verizon Data Breach Investigations Report 20241 war Phishing für über 36 % aller erfolgreichen Sicherheitsvorfälle verantwortlich. Gleichzeitig zeigen Zahlen von IBM, dass der durchschnittliche Schaden eines Phishing-Vorfalls weltweit bei rund 4,91 Millionen US-Dollar liegt – eine Summe, die für viele mittelständische Unternehmen existenzbedrohend sein kann.

Besonders perfide: Viele Phishing-Angriffe zielen nicht mehr auf die IT-Abteilung, sondern direkt auf Fachabteilungen oder die Geschäftsführung – sogenanntes „Spear Phishing“. Hierbei wird strukturiert recherchiert, wer in einem Unternehmen welche Aufgaben hat, um dann täuschend echte Mails an genau diese Personen zu senden.2 Der Faktor Mensch wird so zum Sicherheitsrisiko – und genau deshalb ist Sensibilisierung der wichtigste Baustein jeder Phishing-Abwehrstrategie.

Wie Phishing aussieht – Reale Beispiele erkennen

Der erste Schritt zur Verteidigung ist, Phishing zu erkennen. Die Methoden werden immer professioneller – doch einige Merkmale lassen sich meist identifizieren:

05. Mai 2025 – Aufforderung zur Kontoaktualisierung bei der Targobank

  • Betreff/Thema der Mail:
    Die angebliche Nachricht der Targobank fordert Kunden dazu auf, ihr Konto „zeitnah“ zu bestätigen. Andernfalls sei die vollständige Nutzung nicht mehr möglich. Als Betreffzeile wird „Targobank | Unterstützung, die ankommt“ verwendet.
  • Zeitdruck als Druckmittel:
    Besonders auffällig ist die enge zeitliche Vorgabe: Innerhalb von nur 48 Stunden sollen Telefonnummer und Anschrift aktualisiert werden.
  • Hinweis auf Täuschung im Link:
    Im enthaltenen Link ist ein auffälliger Rechtschreibfehler versteckt – das Wort „Jeszt“ deutet auf mangelnde Seriosität hin.
  • Typische Merkmale einer Phishing-Mail:
    Allgemeine Anrede, fragwürdige Absenderadresse, eingebetteter Link und die knapp bemessene Frist sind klare Indizien für Phishing.


Quelle: (vgl. Phishing-Radar: aktuelle Warnungen | Verbraucherzentrale.de 2025)3

02. Mai 2025 – Aufforderung zur Zahlungsdaten-Aktualisierung bei der Deutschen Bahn

  • Thema/Betreff der Nachricht:
    Angeblich im Auftrag der Deutschen Bahn wird der Empfänger aufgefordert, seine Zahlungsinformationen binnen 48 Stunden zu aktualisieren. Als Betreffzeilen tauchen Varianten wie „Zahlungsproblem erkannt – Kontoaktion erforderlich“ oder „Wichtige Mitteilung: Ihr Bahn.de-Konto wurde vorübergehend gesperrt“ auf.
  • Typische Phishing-Struktur:
    Die Nachricht folgt einem klassischen Phishing-Aufbau: Als Grund für die angebliche Maßnahme wird eine technische Systemprüfung genannt, die angeblich Handlungsbedarf auslöst.
  • Verdächtige Merkmale im Überblick:
    Eine unpersönliche Anrede („Sehr geehrte Kundin, sehr geehrter Kunde“), eine nicht vertrauenswürdige Absenderadresse, eingebettete Links sowie die Drohung mit einer Kontosperrung und eine enge Reaktionsfrist sind klare Hinweise auf einen Phishing-Versuch.


Quelle: (vgl. Phishing-Radar: aktuelle Warnungen | Verbraucherzentrale.de 2025)4

29. April 2025 – Disney+: Angeblich abgelehnte Zahlung als Vorwand für Phishing

  • Betreff/Thema der Mail:
    In dieser Phishing-Nachricht wird vorgegeben, dass eine Zahlung bei Disney+ abgelehnt wurde, angeblich wegen einer fehlerhaften Zahlungsmethode. Der verwendete Betreff lautet: „Ihr Konto wird aufgrund einer Ablehnung durch unseren Anbieter vorübergehend gesperrt.“
  • Typisches Druckszenario:
    Unter dem Vorwand einer Zahlungsstörung wird der Empfänger aufgefordert, seine Zahlungsdaten innerhalb von 72 Stunden zu aktualisieren – andernfalls drohe die Sperrung des Abonnements. Auffällig: Das Design der Mail ist professionell gestaltet und weist auf den ersten Blick kaum Unstimmigkeiten auf.
  • Phishing-Indikatoren im Überblick:
    Keine persönliche Anrede, verdächtige oder generische Absenderadresse, eingebettete Links sowie eine knapp gesetzte Frist zur Reaktion – all das sind typische Warnzeichen.


(vgl. Phishing-Radar: aktuelle Warnungen | Verbraucherzentrale.de 2025)5

Was tun bei Verdacht? Verhaltenstipps für Anwender

Die große Herausforderung beim Thema Phishing ist nicht nur die technische Abwehr, sondern vor allem der menschliche Faktor. Selbst die beste IT-Sicherheitslösung kann versagen, wenn ein Mitarbeitender unbedacht auf einen gefährlichen Link klickt. Deshalb gilt:

1. Ruhe bewahren und prüfen – statt hektisch klicken

Viele Phishing-Mails arbeiten mit Zeitdruck („Ihr Konto wird in 24 Stunden gesperrt“, „Letzte Mahnung“) oder erzeugen Stress. Diese psychologische Taktik zielt darauf ab, dass wir nicht nachdenken, sondern handeln.

Empfehlung: Atmen Sie durch und prüfen Sie:

  • Wer ist der Absender?
  • Ist die Sprache oder Grammatik ungewöhnlich?
  • Wohin führt der Link wirklich? (Per Mauszeiger überfahren ohne zu klicken)
  • Gibt es eine Dateianlage? Wenn ja – welche Endung hat sie?

2. Technische Hilfsmittel nutzen

Nutzen Sie die Möglichkeiten, die Ihnen moderne Software bietet:

  • Lassen Sie sich vollständige E-Mail-Adressen anzeigen, nicht nur den Namen.
  • Verwenden Sie Vorschau-Funktionen für Anhänge (z. B. PDFs) ohne sie zu öffnen.
  • Achten Sie auf Warnmeldungen Ihres Mail-Clients oder Spamfilters – sie sind oft ein guter Hinweis.

3. Im Zweifel: Nachfragen statt klicken

Wer unsicher ist, sollte niemals aus Scham oder Angst vor „unnötiger Nachfrage“ schweigen.

Empfehlung: Wenden Sie sich sofort an die IT-Abteilung oder den internen IT-Sicherheitsbeauftragten. Eine kurze Rückfrage kann größeren Schaden verhindern.

Im Fall einer vermeintlichen E-Mail von Kollegen oder der Geschäftsführung kann auch ein kurzer Anruf zur Verifizierung helfen. Phishing lebt von der Isolation des Empfängers – unterbrechen Sie diese Kette durch Kommunikation.

4. Keine sensiblen Daten per E-Mail weitergeben

Bankdaten, Passwörter oder Zugangsdaten sollten niemals per E-Mail verschickt werden – auch nicht auf Nachfrage. Seriöse Unternehmen (z. B. Banken, Microsoft, Amazon) würden Sie niemals per E-Mail zur Eingabe Ihrer Login-Daten auffordern.

5. Vorfälle sofort melden

Sollte doch einmal ein Link angeklickt oder ein Anhang geöffnet worden sein: Sofortmeldung ist entscheidend. Je schneller die IT informiert ist, desto schneller kann sie Gegenmaßnahmen einleiten.

6. Achtung beim Lesen von E-Mails auf dem Smartphone:

Gerade auf mobilen Geräten wie Smartphones oder Tablets ist besondere Vorsicht geboten. Oft werden Absenderadressen und Links nur verkürzt oder gar nicht vollständig angezeigt – das macht es deutlich schwerer, eine gefälschte E-Mail auf den ersten Blick zu erkennen. Phishing-Versuche wirken hier oft besonders glaubwürdig, weil wichtige Details schlicht verborgen bleiben. Prüfen Sie daher verdächtige Mails lieber noch einmal am Desktop – oder klicken Sie im Zweifel lieber gar nicht.

Fazit – Aufmerksam bleiben, Risiken minimieren

Phishing ist heute kein Amateurproblem mehr, sondern ein professionell organisierter Angriff auf Unternehmen aller Größen. Dabei steht nicht die Technik allein im Mittelpunkt, sondern vor allem das Verhalten der Anwender.

Die wichtigsten Erkenntnisse im Überblick:

  • Phishing ist hochgradig erfolgreich, weil es psychologisch arbeitet.
  • Echte Erkennung braucht Schulung, keine Intuition.
  • Technische Schutzmaßnahmen sind wichtig – noch wichtiger ist der informierte Mensch.
  • Im Zweifel lieber einmal mehr nachfragen als einmal falsch klicken.

Ihr nächster Schritt: Awareness schaffen

Möchten Sie Ihr Team besser auf Phishing vorbereiten? Wir unterstützen Sie mit:

  • interaktiven Awareness-Schulungen,
  • Sicherheits-Checklisten für den Alltag,
  • oder einer technischen Analyse Ihrer bestehenden Schutzsysteme.

Kontaktieren Sie uns unverbindlich – gemeinsam machen wir Ihr Unternehmen phishingsicher.

Wir helfen Ihnen gerne dabei, die passende Lösung für Ihr Unternehmen zu finden.
Termin vereinbaren

Quellen:

  1. Verizon Business (n.d.): Verizon Business, [online] https://www.verizon.com/business/de-de/resources/reports/dbir/?cmp=knc:ggl:ac:vbg:intl:DEResourcesDBIR&ds_cid=22037434535_ds_agid=169163878461&utm_medium=knc&utm_source=google&utm_campaign=BNDDEUnlimited&utm_term=verizon%20dbir%202024&gclsrc=aw.ds&gad_source=1&gad_campaignid=22037434535&gbraid=0AAAAAD4nhFHkDO3OYEZXa9vPgn6MkfhI1&gclid=CjwKCAjw_pDBBhBMEiwAmY02NosyQ7YveB_1jjCTSYhCQTVy1quYdCG6l2CPgzTQ-AuqkzpHDz_1RBoCxIAQAvD_BwE. ↩︎
  2. Verizon Business (n.d.): Verizon Business, [online] https://www.verizon.com/business/de-de/resources/reports/dbir/?cmp=knc:ggl:ac:vbg:intl:DEResourcesDBIR&ds_cid=22037434535_ds_agid=169163878461&utm_medium=knc&utm_source=google&utm_campaign=BNDDEUnlimited&utm_term=verizon%20dbir%202024&gclsrc=aw.ds&gad_source=1&gad_campaignid=22037434535&gbraid=0AAAAAD4nhFHkDO3OYEZXa9vPgn6MkfhI1&gclid=CjwKCAjw_pDBBhBMEiwAmY02NosyQ7YveB_1jjCTSYhCQTVy1quYdCG6l2CPgzTQ-AuqkzpHDz_1RBoCxIAQAvD_BwE. ↩︎
  3. Phishing-Radar: aktuelle Warnungen | Verbraucherzentrale.de (2025): Verbraucherzentrale.de, [online] https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/phishingradar-aktuelle-warnungen-6059. ↩︎
  4. Phishing-Radar: aktuelle Warnungen | Verbraucherzentrale.de (2025): Verbraucherzentrale.de, [online] https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/phishingradar-aktuelle-warnungen-6059. ↩︎
  5. Phishing-Radar: aktuelle Warnungen | Verbraucherzentrale.de (2025): Verbraucherzentrale.de, [online] https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/phishingradar-aktuelle-warnungen-6059. ↩︎