Dienstagvormittag. Die Bürokraft eines Sanitärbetriebs aus Gerolstein bekommt eine E-Mail vom Chef. Er ist gerade auf einer Messe, die Absenderadresse sieht vertraut aus. Der Text: "Kannst du schnell eine Überweisung für mich erledigen? Ich komme heute nicht ins Büro, meld dich wenn du die Bankdaten brauchst." Darunter eine Handynummer, die sie nicht kennt.
Sie wäre fast drauf reingefallen. Nicht weil sie unaufmerksam war, sondern weil die Mail professionell formuliert, auf den Betrieb zugeschnitten und zum richtigen Zeitpunkt gekommen war.
Phishing bedeutet: jemand gibt sich per E-Mail, SMS oder Anruf als jemand anderes aus, um an Geld oder Zugangsdaten zu kommen. Früher waren das schlechte Übersetzungen mit offensichtlichen Fehlern. Heute sind es gezielte Angriffe, bei denen sich die Täter vorher informieren: Wer ist der Chef? Wer bucht die Rechnungen? Wann ist er unterwegs?
Das Beispiel oben nennt sich CEO-Fraud oder Cheftrick. Der Angreifer gibt sich als Geschäftsführer aus und nutzt eine Drucksituation, meistens Zeitdruck oder Abwesenheit, um eine Überweisung auszulösen oder Zugangsdaten zu bekommen.
Daneben gibt es klassisches Phishing per Link: "Ihr Passwort läuft ab, bitte jetzt erneuern", "Ihre Sendung wurde zurückgehalten", "Ihre Bankverbindung muss bestätigt werden". Der Klick führt auf eine täuschend echte Seite, die Eingabe landet direkt beim Angreifer.
Kein einzelnes Merkmal reicht zur Erkennung. Es ist immer eine Kombination:
Absenderadresse genau ansehen. Nicht der angezeigte Name zählt, sondern die tatsächliche Adresse dahinter. "Chef Mustermann" kann jeden Absender haben. chef@mustermann-gmbh-info.de ist nicht dasselbe wie chef@mustermann-gmbh.de.
Ungewöhnliche Bitte unter Zeitdruck. Überweisungen, Passwortänderungen oder Freigaben, die "dringend" und "sofort" erledigt werden müssen, sind ein Warnsignal. Echte Chefs rufen in solchen Fällen an.
Link vor dem Klick prüfen. Mit der Maus über den Link fahren zeigt die tatsächliche Zieladresse. Eine E-Mail von der Sparkasse, die auf sparkasse-konto-verifizierung.ru zeigt, ist keine E-Mail der Sparkasse.
Anhänge, die niemand erwartet. Rechnungen von unbekannten Absendern, ZIP-Dateien mit unbekanntem Inhalt, Word-Dokumente die nach dem Öffnen nach "Makros aktivieren" fragen.
Ruhe bewahren. Panik hilft nicht, schnelles Handeln schon.
Zuerst: das Gerät vom Netzwerk trennen. Netzwerkkabel raus, WLAN aus. Damit wird verhindert, dass sich Schadsoftware im Betrieb weiter ausbreitet oder Daten abfließen.
Dann: IT informieren, bevor das Gerät weiter benutzt wird. Nicht "kurz noch die wichtige Mail" beantworten.
Falls Zugangsdaten eingegeben wurden: das betroffene Passwort sofort ändern, und zwar von einem anderen Gerät. Falls dasselbe Passwort an anderen Stellen genutzt wird, auch dort ändern.
Falls Geld überwiesen wurde: Bank sofort anrufen. Bei SEPA-Überweisungen gibt es oft ein kurzes Zeitfenster für einen Rückruf.
Technik allein löst das Problem nicht. Ein Spamfilter hilft, aber kein Filter erkennt alle Phishing-Mails zuverlässig, besonders nicht die gezielten.
Was den größten Unterschied macht: ein kurzes Gespräch im Team. Wer einmal ein reales Beispiel gesehen hat, eine echte Phishing-Mail mit Erklärung was daran täuscht, erkennt das nächste Mal schneller das Muster. Wir machen das regelmäßig bei unseren Kunden, zeigt immer wieder Wirkung.
Dazu kommen technische Maßnahmen: Zwei-Faktor-Authentifizierung für E-Mail und wichtige Systeme, damit ein erbeutetes Passwort allein nicht ausreicht. Und klare interne Regeln: Überweisungen über einem bestimmten Betrag werden telefonisch bestätigt, immer, egal wie dringend die Mail klingt.
Auf der technischen Seite gibt es außerdem Einstellungen, die verhindern, dass E-Mails im Namen eurer Domain von fremden Servern verschickt werden. Das schützt nicht vor allen Phishing-Varianten, aber es macht es für Angreifer deutlich schwerer, als ob die Mail wirklich von euch käme. Wer seine E-Mail-Domain noch nicht entsprechend abgesichert hat, sollte das nachholen.
Phishing läuft nicht nur über E-Mail. Smishing ist der Begriff für Angriffe per SMS: eine Kurznachricht mit einem Link, der zur Eingabe von Zugangsdaten auffordert, oft im Namen einer Bank, eines Paketdienstleisters oder einer Behörde.
Vishing ist Phishing per Anruf. Jemand gibt sich als Microsoft-Support, als Bankmitarbeiter oder als IT-Dienstleister aus und versucht, Zugangsdaten zu erfragen oder Fernzugriff auf den Rechner zu bekommen. Der entscheidende Hinweis: Kein seriöser Anbieter fragt am Telefon nach Passwörtern oder fordert Sie auf, eine Fernwartungssoftware zu installieren, ohne dass Sie das angefragt haben.
Phishing ist kein Großstadtproblem. Wir haben Betriebe aus Daun, Mayen und dem Ahrtal erlebt, die Opfer gezielter Angriffe wurden. Die Täter recherchieren vorher, zum Beispiel auf der Firmenwebsite: Wer ist Geschäftsführer, welche Messen werden besucht, wer ist der Steuerberater.
Wer wissen möchte, wie sicher der eigene Betrieb aufgestellt ist und ob es offensichtliche Schwachstellen gibt, kann das in einem kurzen Gespräch klären. Wir schauen uns an, welche Einfallstore es gibt und was sinnvolle nächste Schritte wären. Mehr zu unserem Angebot: IT-Support und laufende IT-Betreuung.
Jetzt kostenloses Erstgespräch vereinbaren
Vereinbaren Sie ein kostenloses Erstgespräch. Wir schauen uns Ihre Situation an und geben eine ehrliche Einschätzung.
Jetzt Termin vereinbaren
📍 Auf der Jeich 8, 56769 Retterath
📞 +49 (0) 2657 3999 833
✉️ hallo [at] godigitalize [dot] me