Eine E-Mail vom Geschäftsführer, der dringend eine Überweisung braucht. Eine Benachrichtigung von Microsoft, dass Ihr Passwort abläuft. Eine Rechnung von DHL für ein Paket, das Sie nie bestellt haben. All das klingt alltäglich — und genau das macht Phishing so gefährlich. In diesem Artikel zeigen wir die 7 häufigsten Phishing-Methoden, wie Sie sie erkennen und was Sie im Unternehmen dagegen tun können.
Warum Phishing nach wie vor funktioniert
Phishing ist keine neue Bedrohung — aber eine, die sich ständig weiterentwickelt. Die Angriffe werden immer professioneller, die E-Mails immer überzeugender. Mit KI-Tools können Angreifer heute in Sekunden täuschend echte Nachrichten in jeder Sprache erstellen. Die Zeiten von offensichtlichen Rechtschreibfehlern und nigerianischen Prinzen sind vorbei.
Laut dem BSI-Lagebericht 2025 beginnen über 90 % aller Cyberangriffe mit einer Phishing-E-Mail. Die durchschnittliche Schadensumme pro erfolgreichem Angriff auf KMU liegt bei 45.000 EUR — ohne Berücksichtigung von Reputationsschäden und Betriebsausfällen.
Die 7 häufigsten Phishing-Methoden
1. CEO-Fraud / Business E-Mail Compromise
Der Angreifer gibt sich als Geschäftsführer oder Vorgesetzter aus und fordert eine dringende Überweisung oder vertrauliche Daten. Die E-Mail kommt oft von einer leicht abgewandelten Domain (z.B. geschaeftsfuehrer@mimann.co statt .net) oder über ein gehacktes Konto.
2. Gefälschte Login-Seiten
Sie erhalten eine E-Mail, die Sie auffordert, sich bei Microsoft 365, Ihrer Bank oder einem anderen Dienst anzumelden. Der Link führt auf eine täuschend echte Kopie der Login-Seite. Sobald Sie Ihre Zugangsdaten eingeben, landen diese beim Angreifer.
So erkennen Sie gefälschte Login-Seiten
Prüfen Sie immer die URL in der Adressleiste. Achten Sie auf: falsche Domains (microsoft-login.com statt microsoft.com), Subdomains (login.microsoft.betrug.de), fehlende HTTPS-Verschlüsselung. Im Zweifel: URL manuell im Browser eintippen, niemals über den Link in der E-Mail.
3. Fake-Rechnungen und Lieferbenachrichtigungen
Gefälschte Rechnungen von DHL, Amazon, Telekom oder Energieversorgern sind Massenware. Der Anhang enthält oft einen infizierten PDF- oder Word-Datei, die Schadsoftware installiert. Oder der Link in der E-Mail führt auf eine Phishing-Seite.
4. Spear-Phishing: Der gezielte Angriff
Anders als Massen-Phishing ist Spear-Phishing gezielt auf eine Person zugeschnitten. Der Angreifer recherchiert über LinkedIn, die Firmenwebsite und Social Media. Die Nachricht enthält echte Namen, Projekte oder interne Details — und wirkt dadurch besonders glaubwürdig.
5. QR-Code-Phishing (Quishing)
Ein relativ neuer Trend: Phishing-E-Mails enthalten statt eines klickbaren Links einen QR-Code. Der Vorteil für den Angreifer: QR-Codes werden oft auf dem Smartphone gescannt, wo URL-Prüfungen schwieriger sind und Sicherheitssoftware seltener greift.
6. Telefon-Phishing (Vishing)
Nicht jedes Phishing kommt per E-Mail. Beim Vishing rufen Angreifer an und geben sich als Microsoft-Support, Bankberater oder IT-Abteilung aus. Mit Social Engineering bringen sie Mitarbeiter dazu, Zugangsdaten preiszugeben oder Software zu installieren.
7. Angriff über kompromittierte Lieferanten
Besonders tückisch: Die Phishing-E-Mail kommt von einem echten Geschäftspartner, dessen E-Mail-Konto gehackt wurde. Die Nachricht enthält eine echte Signatur, bezieht sich auf reale Vorgänge und ist kaum von einer legitimen E-Mail zu unterscheiden.
Schnell-Check: Phishing in 5 Sekunden erkennen
Diese 5 Fragen entlarven die meisten Phishing-Mails
- Absender-Adresse genau prüfen — stimmt die Domain wirklich?
- Enthält die E-Mail ungewöhnlichen Zeitdruck oder Drohungen?
- Werde ich aufgefordert, auf einen Link zu klicken oder einen Anhang zu öffnen?
- Ist die Anrede unpersönlich oder ungewöhnlich?
- Passt die Aktion zur normalen Kommunikation mit diesem Absender?
Was Unternehmen gegen Phishing tun können
E-Mail-Sicherheit technisch härten
SPF, DKIM und DMARC einrichten. Spam-Filter und E-Mail-Gateway mit Anti-Phishing-Funktionen einsetzen. Anhänge in einer Sandbox prüfen lassen.
MFA für alle Konten erzwingen
Selbst wenn Zugangsdaten gestohlen werden, verhindert Multi-Faktor-Authentifizierung den Zugriff. Besonders für Microsoft 365, VPN und Admin-Konten.
Regelmäßige Awareness-Schulungen
Mitarbeiter sind die letzte Verteidigungslinie. Schulen Sie regelmäßig mit aktuellen Beispielen und simulierten Phishing-Tests.
Klare Meldeprozesse definieren
Mitarbeiter müssen wissen, was sie tun sollen, wenn sie eine verdächtige E-Mail erhalten. Ein einfacher Meldeweg (z.B. ein Button in Outlook) senkt die Hemmschwelle.
Zugriffe einschränken
Least-Privilege-Prinzip: Nicht jeder Mitarbeiter braucht Admin-Rechte. Weniger Rechte bedeuten weniger Schaden bei einem erfolgreichen Angriff.
⚠️ Wichtig: Schulen Sie insbesondere die Buchhaltung und Assistenz der Geschäftsführung — diese Positionen sind das häufigste Ziel von CEO-Fraud und gezieltem Spear-Phishing.
Fazit: Der beste Schutz ist gesundes Misstrauen
Phishing lässt sich nicht vollständig verhindern — aber Sie können die Erfolgsquote massiv senken. Die Kombination aus technischen Maßnahmen (E-Mail-Filter, MFA, DMARC) und geschulten Mitarbeitern macht den Unterschied. Denn die teuerste Firewall hilft nichts, wenn ein Mitarbeiter auf einen Link klickt, weil er die Tricks nicht kennt.