Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift
Top Themen in der Informationssicherheit:
Cortina Consult
Phishing: Angriffe & Schutz
Informationssicherheit

Phishing 2026: Erkennung, Angreiferstrategien & Schutz

Phishing-Angriffe sind heute die häufigste Einstiegsmethode für Cyberkriminalität: Massen-E-Mails, KI-gestützten Deepfakes, CEO-Fraud und Phishing-as-a-Service. Angriffsmuster, Erkennungsmerkmale und wirksame Schutzmaßnahmen für Informationssicherheit.

Phishing-Schutz anfragen
Phishing-Awareness-Training anfragen
Isometrische Illustration zeigt E-Mail-Sicherheit mit Kreisdiagramm, Warnzeichen-E-Mail und Sicherheitsschild

Das unterschätzte Einfallstor Nr. 1

Jeden Tag landen 3,4 Milliarden Phishing-E-Mails in Postfächern weltweit. Was lange wie ein Problem für naive Internetnutzer wirkte, ist heute die führende Angriffsmethode gegen Unternehmen jeder Größe – von der Schreinerei mit zehn Mitarbeitenden bis zum DAX-Konzern.

Allein in Deutschland wurden 2024 rund 37,5 Millionen Phishing-Versuche auf Unternehmensinfrastrukturen blockiert – ein Anstieg von 16 % gegenüber dem Vorjahr. Der Gesamtschaden durch Cybercrime in Deutschland beläuft sich auf 267 Milliarden Euro jährlich.

84 % aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-Nachricht. Das bedeutet: Wer Phishing versteht, versteht den Einstiegspunkt der meisten Sicherheitsvorfälle. Dieser Beitrag erklärt, wie Angreifer vorgehen, welche Tricks sie nutzen – und was Unternehmen konkret dagegen tun können.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Was ist Phishing?

Phishing beschreibt den Versuch, über gefälschte digitale Kommunikation – E-Mails, SMS, Anrufe oder Webseiten – sensible Daten zu stehlen, Schadsoftware zu installieren oder betrügerische Transaktionen auszulösen. Der Begriff ist eine bewusste Schreibvariante von „Fishing“ (Angeln): Kriminelle werfen einen Köder aus und warten darauf, dass jemand anbeißt. Das Ziel ist dabei selten zufällig – moderne Phishing-Angriffe sind präzise geplante Operationen.

Die Angriffslandschaft: Vom Massenversand zur Präzisionswaffe

Nicht jeder Phishing-Angriff funktioniert gleich. Die folgende Übersicht zeigt die wichtigsten Varianten und ihren Wirkungsgrad im direkten Vergleich. Während klassisches E-Mail-Phishing weiterhin das größte Volumen stellt, verschieben sich Schadensschwerpunkt und Raffinesse eindeutig in Richtung gezielter Angriffe mit KI-Unterstützung.

Phishing-Art
Kanal
Zielgruppe
Besonderheit
E-Mail-Phishing
E-Mail
Breite Masse
Klassisch, automatisiert, hohe Volumen
Spear-Phishing
E-Mail
Einzelpersonen / Abteilungen
OSINT-recherchiert, maßgeschneidert
Whaling
E-Mail
CEO, CFO, Vorstand
Angriff auf strategische Entscheider
Smishing
SMS
Smartphone-Nutzer
Klickrate 6–8× höher als bei E-Mail
Vishing
Telefon
Finanz- und HR-Abteilungen
KI-geklonte Stimmen
CEO-Fraud / BEC
E-Mail
Buchhaltung, Assistenz
Schnelle Überweisungen, hoher Schaden
Quishing
QR-Code
Smartphone-Nutzer
Umgeht E-Mail-Scanner, +400 % seit 2023
Deepfake-Phishing
Video / Audio
Management, Finanz
Täuschend echte Videokonferenzen

So denken Angreifer: Die vier Phasen eines gezielten Angriffs

Phase 1 – Reconnaissance: Informationen sammeln

Bevor eine einzige betrügerische Nachricht verschickt wird, betreiben professionelle Angreifer intensive Recherche. Ziel ist es, so viel über das Unternehmen und seine Mitarbeitenden zu wissen wie ein gut informierter Insider. Genutzte Quellen sind:

  • LinkedIn und XING: Organigramme, Zuständigkeiten, Abwesenheiten
  • Unternehmenswebsite und Pressemitteilungen: Projekte, Führungspersonen, Partnerstrukturen
  • Handelsregister und Bundesanzeiger: Rechtsform, Jahresabschlüsse, Unterschriftsbefugnisse
  • Social Media: Persönliche Details, die Vertrauen schaffen oder Abwesenheiten signalisieren

Beim Baukonzern Arup reichte die Recherche aus, um eine überzeugende Videokonferenz mit gefälschten Avataren mehrerer Führungskräfte zu inszenieren – Resultat: 23 Millionen Euro Schaden.

Phase 2 – Erstellung täuschend echter Nachrichten

Früher verrieten sich Phishing-Mails durch schlechte Grammatik, seltsame Absenderadressen und unprofessionelles Layout. Diese Ära ist vorbei. KI-Tools ermöglichen heute:

  • Fehlerfreie, natürlich klingende Texte in jeder Sprache
  • Individuelle Anpassung an Schreibstil, Anredeform und Kontext des Ziels
  • Pixel-genaue Klone von Login-Seiten, die in wenigen Minuten erstellt werden

Im Dezember 2025 stieg der Anteil KI-generierter Phishing-Versuche auf 56% aller Angriffe – eine Ver-14-fachung innerhalb eines Monats. KI-gestützte Phishing-Kampagnen erzielen dabei eine Erfolgsrate von 54%, klassische nur 12%.

Phase 3 – Psychologische Druckerzeugung

Die eigentliche Stärke von Phishing liegt nicht in der Technik, sondern in der menschlichen Psychologie. Angreifer nutzen gezielt kognitive Verzerrungen und emotionale Reaktionen:

  • Autorität: Die Nachricht kommt vom CEO, der IT-Abteilung oder einer Behörde – Widerspruch fühlt sich riskant an
  • Dringlichkeit: „Handeln Sie sofort – noch heute!“ schaltet reflektiertes Denken aus
  • Angst: Drohung mit Kontosperrung, Datenverlust oder Bußgeld
  • Vertrauen: Vorangegangener Small-Talk oder bekannte Namen im CC
  • Reziprozität: Scheinbare Gefälligkeit, die eine Gegenleistung erwartet

Phase 4 – Monetarisierung

Sobald ein Mitarbeiter klickt, Zugangsdaten eingibt oder eine Überweisung veranlasst, bewegen Angreifer die Beute blitzschnell. Gelder werden innerhalb von Stunden über mehrere internationale Konten transferiert – eine Rückholung ist danach kaum noch möglich. Bei Credential-Diebstahl folgt oft der Verkauf im Darknet oder der Einsatz für Folgeangriffe wie Ransomware oder Datenleak.

Die neue Dimension: KI, Deepfakes und Phishing-as-a-Service

Phishing-as-a-Service (PhaaS)

Phishing ist längst ein industrialisiertes Geschäftsmodell. Im Darknet werden fertige Angriffs-Kits wie SaaS-Produkte vermietet: inklusive Support, Erfolgsgarantie und Aktualisierungen. Bereits über 50 % aller Credential-Phishing-Angriffe werden über solche Kits abgewickelt, Tendenz stark steigend. Damit können technisch völlig unversierte Kriminelle hochprofessionelle Kampagnen starten.

Deepfake-Vishing: Die neue Eskalationsstufe

Deepfake-Angriffe auf Unternehmen haben gegenüber dem Vorjahr um 1.100 % zugenommen. Voice-Cloning-Systeme benötigen inzwischen nur noch wenige Sekunden Audiomaterial, um eine Stimme überzeugend zu imitieren. Im ersten Quartal 2025 stiegen Vishing-Attacken um 1.633 % gegenüber dem Vorquartal. 70 % aller Organisationen weltweit wurden bereits Opfer eines Voice-Phishing-Angriffs.

Praxisfall 2025: In Italien klonten Angreifer die Stimme des Verteidigungsministers und versuchten so, fast eine Million Euro von Geschäftsleuten zu ergaunern. In Deutschland wurden 2025 insgesamt 971 CEO-Fraud-Fälle verzeichnet – ein Anstieg von 35 % gegenüber 2024.

Deutschland besonders im Visier

Im dritten Quartal 2025 stiegen gehackte Konten in Deutschland um 595 % innerhalb eines einzigen Quartals. Deutschland ist weltweit das zweitstärkst betroffene Land bei Datenverstößen – seit 2004 wurden 636,7 Millionen Benutzerkonten kompromittiert. Durchschnittlich war jeder Deutsche achtmal von einem Datenleck betroffen.

Spotlight: CEO-Fraud – Die Chef-Masche

CEO-Fraud ist eine besonders schädliche Phishing-Variante: Kriminelle geben sich per E-Mail, SMS oder Messenger als Geschäftsführer aus und fordern Mitarbeitende der Buchhaltung zu sofortigen Überweisungen auf. Die Masche funktioniert, weil sie drei mächtige Hebel kombiniert: Autorität (der Chef fordert es), Dringlichkeit (es muss heute sein) und Geheimhaltung (bitte nichts mit Kollegen besprechen).

Laut PricewaterhouseCoopers gaben 40 % der befragten deutschen Unternehmen an, Opfer eines versuchten CEO-Fraud geworden zu sein – bei 5 % waren die Täter erfolgreich. Das Bundesamt für Cybersicherheit registrierte 2025 einen Anstieg der Fälle auf 971 – gegenüber 719 im Jahr 2024. Dabei nutzen Täter zunehmend Typosquatting: minimal veränderte E-Mail-Domains, die auf den ersten Blick identisch zur echten Adresse wirken.

Faustregel: Seit Mitte 2017 wechselte das Täterprofil. Statt großer Konzerne bevorzugen CEO-Fraud-Täter umsatzstarke Kleinunternehmen – die Schutzmaßnahmen sind dort oft schwächer.

Trichter-Diagramm zeigt Weg von E-Mail-Betrugsrisiko zu verbesserter Sicherheit durch Phishing-Simulationen

Phishing erkennen: Warnsignale im Überblick

Klassische Erkennungsmerkmale

  • Absenderadresse weicht von der echten Unternehmens-Domain ab (Spoofing, Typosquatting)
  • Aufforderung zur sofortigen Handlung mit Androhung negativer Konsequenzen
  • Ungewöhnliche Zahlungsaufforderung oder Anfrage nach Zugangsdaten
  • Anhänge oder Links auf unbekannte, ähnlich klingende Domains
  • Geheimhaltungsaufforderung gegenüber Kollegen oder Vorgesetzten

Neue Fallstricke durch KI

Die meisten klassischen Erkennungshinweise versagen heute:

  • Keine Rechtschreib- oder Grammatikfehler mehr – KI schreibt besser als viele Muttersprachler
  • Stimmklon am Telefon – eine bekannte Stimme ist kein Beweis für Identität
  • Perfekt geklonte Websites – der Browser-Hinweis auf HTTPS reicht nicht mehr als Vertrauenssignal
  • „Zu makellose“ Sprache – sehr gleichmäßiger, unpersönlicher Ton kann ein Hinweis auf KI-Generierung sein

Faustregel: Jede ungewöhnliche Anfrage – egal von wem sie zu kommen scheint – verdient einen separaten Rückruf über eine bekannte Nummer.

Security Awareness: Der Mensch ist die letzte Verteidigungslinie

Technische Kontrollen scheitern regelmäßig an der menschlichen Komponente – über 60 % aller Sicherheitsverletzungen haben menschliches Verhalten als Ursache. Wirksame Awareness-Programme sind daher keine Kür, sondern Pflicht.

Was funktioniert

  • Regelmäßige Phishing-Simulationen (mindestens quartalsweise): Nicht als Kontrolle, sondern als Lernimpuls mit direktem Feedback
  • Kontextbezogenes Training: Aktuelle Angriffsmuster statt veralteter Beispiele – insbesondere Deepfakes und KI-generierte Nachrichten
  • Kultur der Skepsis: Mitarbeitende müssen das Recht und die Ermutigung haben, ungewöhnliche Anfragen zu hinterfragen – auch wenn sie vom CEO kommen
  • Positiver ROI nachweisbar: Studien zeigen bis zu 562-fachen ROI durch systematische Awareness-Trainings und 85 % Schadensreduktion

Der Deepfake-Sonderfall im Training

Mitarbeitende müssen heute begreifen, dass weder eine vertraute Stimme noch ein bekanntes Gesicht in einer Videokonferenz als Identitätsbeweis ausreicht. Das Awareness-Training muss diese Erkenntnis mit konkreten Handlungsanweisungen verbinden: separater Kanal, verifizierte Rückrufnummer, Abbruch der Konferenz im Zweifelsfall.

Phishing-Awareness-Schulung

Phishing ist eine der häufigsten Ursachen für Sicherheitsvorfälle – oft genügt ein einziger Klick. Schulung für mehr Aufmerksamkeit im Umgang mit E-Mails, Links und Social Engineering im Arbeitsalltag.

Zum Kursangebot
Schulungen

Schutzmaßnahmen: Was Unternehmen jetzt tun müssen

Technische Maßnahmen

E-Mail-Sicherheit

  • SPF, DKIM und DMARC konfigurieren – verhindert das Spoofing der eigenen Domain
  • E-Mail-Gateways mit KI-gestützten Filtern einsetzen
  • Klick-Schutz und URL-Scanning für alle ausgehenden und eingehenden Links

Authentifizierung

Standard-MFA (SMS-OTP, App-Push) reicht heute nicht mehr aus – Adversary-in-the-Middle-Kits umgehen sie gezielt. Phishing-resistente Alternativen:

  • FIDO2 / Passkeys: Hardware-gebunden, nicht abfangbar
  • Hardware-Security-Keys (z. B. YubiKey): Höchste Sicherheitsstufe für privilegierte Accounts
  • Conditional Access / Zero-Trust-Policies auf Basis von Gerät, Standort und Verhalten

Endpunkt- und Netzwerkschutz

  • Browser-Schutz, Web-Proxy und DNS-Filtering
  • Sandboxing für E-Mail-Anhänge
  • Monitoring von OAuth-App-Zugriffen (häufig missbraucht bei BEC)

Organisatorische Maßnahmen

Klare Prozesse statt Vertrauen auf Stimmen

  • Jede Zahlungsaufforderung – egal von wem – erfordert einen Rückruf auf eine verifizierte, bekannte Nummer
  • 4-Augen-Prinzip für alle Überweisungen ab einem definierten Betrag
  • Änderungen von Kontodaten niemals per E-Mail allein bestätigen

Interne Kommunikation

  • Meldewege für verdächtige Nachrichten klar kommunizieren – ohne Angst vor Blamage
  • Abwesenheitsregelungen strukturieren, damit keine Informationssilos entstehen, die Angreifer ausnutzen

Notfallplan

  • Sofortmaßnahmen bei einem Vorfall dokumentieren: IT informieren, Bank kontaktieren, Anzeige erstatten
  • Regelmäßige Übungen des Incident-Response-Prozesses

Rechtlicher Rahmen: Was die Regulierung fordert

Für Compliance-Verantwortliche ist Phishing-Prävention keine freiwillige Maßnahme:

  • NIS-2-Richtlinie: Unternehmen in kritischen und wichtigen Sektoren müssen Awareness-Maßnahmen und technische Schutzmechanismen nachweisen
  • DSGVO: Ein erfolgreicher Phishing-Angriff mit Datenverlust löst eine Meldepflicht bei der zuständigen Aufsichtsbehörde aus – innerhalb von 72 Stunden
  • ISO 27001 / ISMS: Phishing-Prävention ist in Annex A verankert, insbesondere in den Kontrollen zu Sicherheitsbewusstsein (A.6.3) und Incident Management (A.5.24–5.28)

Sofort-Checkliste für Ihr Unternehmen

Beim Empfang verdächtiger Nachrichten

  • Absenderadresse exakt prüfen – nicht nur den Anzeigenamen
  • Kein Klick auf Links, keine Eingabe von Zugangsdaten ohne vorherige Verifikation
  • Bei Überweisungsanfragen: Rückruf auf bekannte Nummer vor jeder Handlung
  • Bei Stimm- oder Videoidentität: separaten Kanal zur Verifikation nutzen
  • Meldung an IT-Sicherheit – auch bei Unsicherheit, auch wenn nichts passiert ist

Organisatorisch und technisch

  • MFA für alle kritischen Systeme aktiviert – bevorzugt FIDO2/Passkey
  • SPF/DKIM/DMARC für alle Unternehmensdomains konfiguriert
  • 4-Augen-Prinzip bei Zahlungen schriftlich geregelt
  • Phishing-Simulation mind. 1× pro Quartal durchgeführt
  • Notfallkontakte (IT, Bank, Polizei) dokumentiert und bekannt
  • NIS-2-Compliance und DSGVO-Meldeprozess für Datenpannen definiert
Beitrag aktualisiert am 4. Mai 2026 – Geprüft durch Datenschutzbeauftragter Jörg ter Beek
Externer Informations-sicherheitsbeauftragter

Regeltermine, ISMS-Software, E-Learning (LMS), persönlicher Ansprechpartner – und weitere Extras – inklusive.

ab 125€ / pro Monat
  • Stellung des ISB (zert. ISO 27001 Auditor)
  • Informationssicherheitsplattform
  • E-Learning für Mitarbeitende
  • Vorlagenbibliothek
  • Digitales Audit & Editor
Angebot berechnen
Alle Details zum ISB
Inhalt dieser Seite
Ihre Vorteile mit Cortina Consult in der Informationssicherheit

Wir helfen Unternehmen dabei, ein wirksames Managementsystem für Informationssicherheit aufzubauen und die Anforderungen nach ISO 27001, NIS-2 oder TISAX® umzusetzen – digital, effizient und zu fixen Konditionen. Als erfahrener Beratungsdienstleister und externer ISB sorgen wir dafür, dass sensible Informationen geschützt bleiben und Sicherheitsrisiken minimiert werden.

  • Gebündelte Erfahrung aus 10 Jahren in der Branche
  • Beratung, Software & Schulung aus einer Hand
  • Prozessoptimierung und Skalierbarkeit garantiert
Pauschalpakete entdecken
Informationssicherheit
joshua-tiedtke
Autor dieses Artikels:
Joshua Tiedtke
Experte für Informationssicherheit bei Cortina Consult
Zum Autorenprofil
Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift

Sie haben Fragen?
– Wir beraten Sie gerne

Jörg ter Beek
Jörg ter Beek
Datenschutzexperte & CEO
+49 251 95 20 37 - 40
jtb@cortina-consult.de

Unsere Lösungen