Phishing erkennen und melden: Praxisguide für Mitarbeiter und IT

Warum Phishing immer noch funktioniert

Es gibt kaum einen Angriff, über den so viel geschrieben wird wie über Phishing, und kaum einen, der trotzdem so zuverlässig funktioniert. Das BSI stuft Phishing seit Jahren als eine der größten Bedrohungen für Unternehmen ein. Analysen von Versicherern zeigen, dass über 80 Prozent aller erfolgreichen Cyberangriffe mit irgendeiner Form von Social Engineering beginnen, und Phishing ist davon die häufigste Variante.

Der Grund dafür ist nicht, dass Mitarbeiter dumm oder unvorsichtig wären. Der Grund ist, dass Phishing-Angriffe sich weiterentwickeln. Die schlecht formulierte E-Mail mit dem nigerianischen Prinzen und den offensichtlichen Tippfehlern gibt es zwar immer noch, aber sie ist die Ausnahme geworden. Moderne Phishing-Angriffe sind kontextbezogen, sprachlich einwandfrei und oft kaum von legitimer Kommunikation zu unterscheiden. Sie nutzen echte Absendernamen, beziehen sich auf tatsächliche Geschäftsvorgänge und erzeugen genau den Zeitdruck, der dafür sorgt, dass Empfänger reagieren, bevor sie nachdenken.

Dieser Artikel ist ein Praxisguide für zwei Zielgruppen gleichzeitig: Für Mitarbeiter, die Phishing erkennen und richtig darauf reagieren wollen. Und für die IT-Abteilung, die den organisatorischen und technischen Rahmen schaffen muss, damit Phishing-Angriffe möglichst wenig Schaden anrichten.

Die Spielarten des Phishing

Phishing beschränkt sich längst nicht mehr auf E-Mails. Angreifer nutzen jeden Kommunikationskanal, der ihnen zur Verfügung steht. Wer nur auf verdächtige E-Mails achtet, übersieht die Hälfte der Angriffsfläche.

E-Mail-Phishing (die Klassiker)

Die häufigste Variante. Der Angreifer verschickt eine E-Mail, die den Empfänger dazu bringen soll, auf einen Link zu klicken, einen Anhang zu öffnen oder vertrauliche Informationen preiszugeben. Die E-Mail kann massenhaft an Tausende Empfänger gehen (Spray-and-Pray) oder gezielt an eine einzelne Person gerichtet sein.

Typische Aufhänger:

• „Ihr Konto wird gesperrt, wenn Sie nicht innerhalb von 24 Stunden Ihre Daten bestätigen."
• „Rechnung Nr. 2026-4712 im Anhang. Bitte prüfen und freigeben."
• „Ihr Paket konnte nicht zugestellt werden. Klicken Sie hier für die Sendungsverfolgung."
• „Das IT-Team hat Ihr Passwort zurückgesetzt. Bitte legen Sie ein neues Passwort fest."

Spear-Phishing (die gezielte Variante)

Spear-Phishing richtet sich an bestimmte Personen oder Abteilungen und nutzt persönliche Informationen, um die Glaubwürdigkeit zu erhöhen. Der Angreifer hat vorher recherchiert: LinkedIn-Profile, Unternehmenswebsite, Pressemitteilungen, Social Media. Er weiß, wer der Geschäftsführer ist, wer in der Buchhaltung arbeitet und welche Lieferanten das Unternehmen hat.

Ein Beispiel: Die Buchhaltung erhält eine E-Mail, die aussieht, als käme sie vom Geschäftsführer. Absendername und Signatur stimmen, der Tonfall passt, und die Bitte klingt plausibel: „Bitte überweise heute noch 38.000 Euro an folgenden Lieferanten. Ist dringend, bin in einem Meeting und nicht erreichbar." Das ist CEO-Fraud, eine Sonderform des Spear-Phishing, die Unternehmen jedes Jahr Millionensummen kostet.

Vishing (Voice Phishing)

Phishing per Telefon. Der Angreifer ruft an und gibt sich als IT-Support, als Bankberater, als Microsoft-Mitarbeiter oder als Kollege aus einer anderen Niederlassung aus. Das Gespräch ist oft professionell geführt, der Anrufer klingt kompetent und freundlich.

Typische Szenarien:

• „Hier ist die IT. Wir haben ungewöhnliche Aktivitäten auf Ihrem Account festgestellt. Ich brauche kurz Ihr Passwort, um das zu prüfen."
• „Guten Tag, hier ist [Name] von Ihrer Bank. Wir haben eine verdächtige Transaktion bemerkt. Können Sie mir zur Verifizierung Ihre PIN durchgeben?"
• „Hier ist der Helpdesk. Wir migrieren gerade Ihre Mailbox. Bitte geben Sie mir Ihre Anmeldedaten, damit ich die Migration für Sie durchführen kann."

Vishing ist besonders gefährlich, weil die persönliche Interaktion Vertrauen schafft und der Zeitdruck in einem Telefonat höher empfunden wird als in einer E-Mail, bei der man in Ruhe nachdenken kann.

Smishing (SMS Phishing)

Phishing per SMS oder Messenger-Nachricht. Kurze Nachrichten mit einem Link, oft getarnt als Paketbenachrichtigung, Bankmitteilung oder Terminbestätigung. Smishing nutzt aus, dass SMS als vertrauenswürdiger wahrgenommen werden als E-Mails und dass auf dem Smartphone die URL in der Vorschau oft nicht vollständig sichtbar ist.

Beispiele:

• „DHL: Ihr Paket wird zurückgeschickt. Neue Zustellung unter: [Link]"
• „Sparkasse: Verdächtige Kontobewegung. Prüfen Sie hier: [Link]"
• „Ihr Termin morgen um 14:00 wurde verschoben. Neuen Termin bestätigen: [Link]"

QR-Code-Phishing (Quishing)

Eine neuere Variante, die seit 2023 stark zunimmt. Der Angreifer ersetzt Links durch QR-Codes, etwa in E-Mails, auf Plakaten, in Briefpost oder sogar auf manipulierten Parkautomaten. Der Vorteil für den Angreifer: QR-Codes umgehen viele E-Mail-Sicherheitslösungen, die nur Links prüfen, und die Ziel-URL ist für den Empfänger nicht sichtbar, bevor er den Code scannt.

Ein konkretes Beispiel: Ein Brief mit dem Logo der Hausbank fordert den Empfänger auf, den beiliegenden QR-Code zu scannen, um die neue Sicherheits-App zu aktivieren. Der QR-Code führt auf eine gefälschte Login-Seite, die die Zugangsdaten abgreift.

Erkennungsmerkmale: Die fünf wichtigsten Warnsignale

Phishing-Angriffe unterscheiden sich in Kanal und Aufmachung, aber sie folgen alle denselben psychologischen Mustern. Wer diese Muster kennt, erkennt auch gut gemachte Angriffe.

1. Dringlichkeit und Zeitdruck

Das zuverlässigste Warnsignal. Phishing-Nachrichten erzeugen fast immer Zeitdruck: „Innerhalb von 24 Stunden", „sofort", „heute noch", „Ihr Konto wird gesperrt". Der Zeitdruck soll verhindern, dass du nachdenkst, bei einem Kollegen nachfragst oder die IT kontaktierst. Jedes Mal, wenn du eine Nachricht erhältst, die sofortiges Handeln verlangt, sollte eine innere Alarmglocke angehen.

Das bedeutet nicht, dass jede dringende Nachricht Phishing ist. Aber echte dringende Anfragen lassen sich fast immer über einen zweiten Kanal verifizieren: ein kurzer Anruf, eine Rückfrage im Teams-Chat, ein Blick ins Ticketsystem.

2. Unerwarteter Absender oder ungewöhnlicher Kontext

Eine E-Mail von einem Lieferanten, mit dem du seit Monaten keinen Kontakt hattest. Eine SMS von einer Bank, bei der du kein Konto hast. Ein Anruf vom IT-Support, obwohl du kein Ticket eröffnet hast. Jede Kommunikation, die du nicht erwartest und die nicht in deinen üblichen Arbeitsablauf passt, verdient zusätzliche Aufmerksamkeit.

Bei E-Mails: Prüfe die tatsächliche Absenderadresse, nicht nur den angezeigten Namen. Der angezeigte Name kann beliebig gesetzt werden (z. B. „Max Mustermann, Geschäftsführer"), aber die E-Mail-Adresse dahinter verrät oft den Betrug (z. B. m.mustermann@firma-support-de.com statt m.mustermann@firma.de).

3. Aufforderung zur Handlung

Phishing-Nachrichten fordern immer zu einer konkreten Handlung auf: Link anklicken, Anhang öffnen, Passwort eingeben, Überweisung tätigen, QR-Code scannen, Software installieren. Legitime Kommunikation fordert selten dazu auf, sensitive Informationen über einen Link einzugeben oder unverlangt zugesandte Anhänge zu öffnen.

Eine sinnvolle Grundregel: Wenn eine E-Mail dich auffordert, irgendwo deine Zugangsdaten einzugeben, öffne die entsprechende Website manuell über deinen Browser, statt den Link in der E-Mail zu nutzen. Wenn deine Bank dich tatsächlich kontaktieren muss, erreichst du sie auch über die bekannte Telefonnummer auf der Rückseite deiner Bankkarte.

4. Verdächtige Links und Anhänge

Vor dem Klick: Fahre mit der Maus über den Link (ohne zu klicken) und prüfe die Ziel-URL in der Statusleiste deines Browsers oder E-Mail-Programms. Achte auf:

• Tippfehler in der Domain: microsfot.com statt microsoft.com, arnazon.de statt amazon.de
• Zusätzliche Subdomains: login.sparkasse.de.angreifer.com (die tatsächliche Domain ist angreifer.com)
• Ungewöhnliche Top-Level-Domains: firma.de.tk, konto-sicherheit.xyz
• URL-Verkürzer: bit.ly, tinyurl.com oder ähnliche Dienste, die die tatsächliche Zieladresse verschleiern

Bei Anhängen: Sei besonders vorsichtig bei Dateitypen wie .exe, .bat, .cmd, .scr, .js, .vbs, aber auch bei Office-Dokumenten mit Makros (.docm, .xlsm) und bei ZIP-Archiven mit Passwortschutz (der Passwortschutz verhindert, dass die E-Mail-Security den Inhalt scannen kann).

5. Unübliche Anrede, Tonalität oder Sprache

Phishing-Mails, die massenhaft verschickt werden, verwenden oft generische Anreden wie „Sehr geehrter Kunde" oder „Dear User" statt deines Namens. Bei Spear-Phishing kann die Anrede korrekt sein, aber die Tonalität stimmt nicht: Dein Geschäftsführer, der normalerweise knapp und direkt formuliert, schreibt plötzlich förmlich und umständlich. Oder ein Kollege, der immer per Du kommuniziert, siezt dich plötzlich.

Auch sprachliche Auffälligkeiten wie ungewöhnliche Formulierungen, fehlende Umlaute, seltsame Zeichensetzung oder ein Schreibstil, der nicht zum vermeintlichen Absender passt, können Hinweise sein. Allerdings: Mit KI-generierten Texten werden diese sprachlichen Erkennungsmerkmale zunehmend unzuverlässig. Die inhaltlichen und kontextuellen Warnsignale (Dringlichkeit, unerwarteter Absender, Aufforderung zur Handlung) bleiben die robusteren Indikatoren.

Was tun, wenn du geklickt hast

Trotz aller Vorsicht kann es passieren. Du hast auf den Link geklickt, den Anhang geöffnet oder deine Zugangsdaten auf einer gefälschten Seite eingegeben. Das Wichtigste jetzt: Nicht in Panik verfallen und nicht versuchen, den Fehler zu vertuschen. Die Geschwindigkeit deiner Reaktion bestimmt, wie groß der Schaden wird.

Sofortmaßnahmen für Mitarbeiter

1. Passwort sofort ändern. Wenn du Zugangsdaten eingegeben hast, ändere das Passwort des betroffenen Accounts sofort. Wenn du dasselbe Passwort bei anderen Diensten verwendet hast (was du nicht solltest, aber falls doch), ändere es auch dort. Nutze ein starkes, einzigartiges Passwort und aktiviere Multi-Faktor-Authentifizierung, falls noch nicht geschehen.

2. IT-Abteilung informieren. Melde den Vorfall unverzüglich an die IT-Abteilung oder den Informationssicherheitsbeauftragten. Beschreibe, was passiert ist: Welche E-Mail war es? Wann hast du geklickt? Was hast du auf der Zielseite eingegeben oder heruntergeladen? Je mehr Informationen die IT hat, desto schneller kann sie reagieren.

3. Nicht selbst bereinigen. Versuche nicht, das Problem selbst zu lösen, indem du Dateien löschst, Programme deinstallierst oder den Rechner neu startest. Damit könntest du forensische Beweise vernichten, die für die Analyse des Angriffs wichtig sind.

4. Trenne dich bei Verdacht auf Malware vom Netzwerk. Wenn du einen verdächtigen Anhang geöffnet hast und dein Rechner sich ungewöhnlich verhält (die gleichen Sofortmaßnahmen wie bei einem Ransomware-Angriff greifen hier) (langsamer wird, unbekannte Fenster aufpoppen, Dateien sich verändern), trenne den Rechner vom Netzwerk: Netzwerkkabel ziehen, WLAN deaktivieren. Das verhindert, dass sich eine potenzielle Malware im Netz ausbreitet.

Was die IT-Abteilung nach einer Meldung tut

Wenn ein Mitarbeiter einen Phishing-Vorfall meldet, startet die IT-Abteilung einen definierten Prozess:

Sofortige Analyse: Überprüfung der E-Mail, des Links und des Anhangs. Wurde Malware heruntergeladen? Wurden Credentials abgegriffen? Handelt es sich um einen gezielten Angriff oder eine Massenkampagne?

Breitenwirkung prüfen: Haben andere Mitarbeiter dieselbe E-Mail erhalten? Haben weitere Personen geklickt? Die E-Mail-Logs und das Security-Gateway liefern hier die Antworten.

Betroffene Accounts sperren und Passwörter erzwingen: Wenn Credentials kompromittiert wurden, werden die betroffenen Accounts sofort gesperrt und ein Passwort-Reset erzwungen. Aktive Sessions werden terminiert.

Systeme prüfen: Der Rechner des betroffenen Mitarbeiters wird auf Malware geprüft (EDR-Scan, forensische Analyse). Bei Verdacht auf Kompromittierung wird der Rechner isoliert und im Zweifelsfall neu aufgesetzt.

Nachricht an alle Mitarbeiter: Wenn die E-Mail an mehrere Empfänger ging, verschickt die IT eine Warnung an alle Mitarbeiter mit einer Beschreibung der Phishing-Mail und der Anweisung, sie nicht zu öffnen und zu löschen.

Der Meldeprozess im Unternehmen

Ein funktionierender Meldeprozess ist die Voraussetzung dafür, dass Phishing-Angriffe früh erkannt und eingedämmt werden. Der beste Prozess nützt nichts, wenn Mitarbeiter ihn nicht kennen oder sich nicht trauen, ihn zu nutzen.

Die Grundprinzipien

Einfachheit: Der Meldeweg muss so einfach wie möglich sein. Idealerweise ein einziger Klick: ein Meldebutton im E-Mail-Client, der die verdächtige E-Mail automatisch an eine definierte Adresse weiterleitet. Je mehr Schritte der Meldeweg hat, desto weniger Mitarbeiter werden ihn nutzen.

Niedrigschwelligkeit: Lieber eine harmlose E-Mail zu viel gemeldet als eine Phishing-Mail zu wenig. Die IT-Abteilung sollte jede Meldung positiv quittieren, auch wenn sich die E-Mail als harmlos herausstellt. Ein kurzes „Danke für die Meldung, die E-Mail ist unkritisch" reicht.

Keine Konsequenzen bei Fehlern: Wer auf eine Phishing-Mail hereinfällt und es meldet, darf keine negativen Konsequenzen erfahren. Nicht in Form von Abmahnungen, nicht in Form von öffentlicher Bloßstellung, nicht einmal in Form eines genervten Kommentars vom IT-Kollegen. Ein Mitarbeiter, der Angst vor Konsequenzen hat, wird den Vorfall vertuschen, und das ist um ein Vielfaches gefährlicher als der ursprüngliche Klick.

Schnelle Rückmeldung: Wer eine E-Mail meldet, sollte innerhalb von 30 Minuten eine erste Rückmeldung erhalten. Wenn die Analyse länger dauert, genügt ein Zwischenbescheid: „Wir prüfen das, danke für die Meldung."

Meldeprozess in der Praxis

Ein bewährter Ablauf:

Schritt 1: Mitarbeiter klickt auf den Melde-Button im E-Mail-Client oder leitet die E-Mail an phishing@firma.de weiter.

Schritt 2: Die IT-Abteilung oder das SOC (Security Operations Center) erhält die Meldung und analysiert die E-Mail: Header prüfen, Links in einer Sandbox testen, Anhänge analysieren.

Schritt 3: Bewertung: Handelt es sich um Phishing? Wenn ja: Wer hat die E-Mail noch erhalten? Wurden Links geklickt?

Schritt 4: Maßnahmen einleiten: E-Mail bei allen Empfängern aus dem Postfach entfernen (sofern das E-Mail-System dies erlaubt), Absenderdomain blocken, betroffene Accounts prüfen.

Schritt 5: Rückmeldung an den meldenden Mitarbeiter. Bei bestätigtem Phishing: Warnung an alle Mitarbeiter.

Schritt 6: Dokumentation des Vorfalls im Incident-Management-System.

Meldekennzahlen tracken

Tracke die Anzahl und Qualität der Meldungen, um die Wirksamkeit deines Awareness-Programms zu bewerten. In ISMS Lite lassen sich Phishing-Vorfälle, Simulationsergebnisse und Melderaten zentral auswerten und ins Awareness-Reporting übernehmen. Die wichtigsten Kennzahlen:

• Melderate: Wie viele der empfangenen Phishing-Mails werden gemeldet?
• Meldezeit: Wie schnell nach Eingang der E-Mail erfolgt die erste Meldung?
• False-Positive-Rate: Wie viele der gemeldeten E-Mails waren tatsächlich harmlos?
• Klickrate vs. Melderate: Wie viele Mitarbeiter klicken, wie viele melden?

Eine steigende Melderate bei gleichzeitig sinkender Klickrate ist das beste Zeichen dafür, dass dein Awareness-Programm wirkt.

Phishing-Simulation als Trainingstool

Phishing-Simulationen sind das wirksamste Instrument, um das Erkennen von Phishing-Mails zu trainieren. Dabei werden kontrollierte, harmlose Phishing-Mails an Mitarbeiter verschickt, um deren Reaktion zu testen und ihnen im Anschluss gezieltes Feedback zu geben.

Warum Simulationen wirksamer sind als Frontalschulungen

Wissen und Verhalten sind zwei verschiedene Dinge. Ein Mitarbeiter kann in einer Schulung alle Merkmale von Phishing-Mails aufzählen und trotzdem im Arbeitsalltag auf eine gut gemachte Phishing-Mail hereinfallen, weil er abgelenkt, unter Zeitdruck oder einfach unaufmerksam ist. Phishing-Simulationen trainieren das Verhalten in der realen Situation: im normalen Arbeitsalltag, im gewohnten Posteingang, unter den üblichen Bedingungen.

Wie eine gute Simulation aussieht

Realistische Szenarien: Die simulierten E-Mails sollten aktuellen Phishing-Kampagnen nachempfunden sein und zum Unternehmenskontext passen. Eine Phishing-Mail, die vorgibt, vom tatsächlichen Paketdienstleister des Unternehmens zu kommen, ist wirksamer als eine generische „Ihr Konto wurde gesperrt"-Mail.

Gestaffelte Schwierigkeit: Beginne mit leicht erkennbaren Phishing-Mails und steigere den Schwierigkeitsgrad über die Quartale. So baut sich die Kompetenz schrittweise auf und die Mitarbeiter werden nicht in der ersten Simulation frustriert.

Sofortiges Feedback: Wer auf den Link in der simulierten Phishing-Mail klickt, wird sofort auf eine Lernseite weitergeleitet. Diese Seite erklärt, woran die E-Mail als Phishing erkennbar gewesen wäre, und gibt Tipps für die Zukunft. Das Feedback muss sachlich und hilfreich sein, nicht beschämend.

Regelmäßigkeit: Einzelne Simulationen haben einen kurzfristigen Effekt. Die Wirksamkeit entfaltet sich erst durch Regelmäßigkeit. Eine Simulation pro Quartal ist ein guter Rhythmus.

Keine Bestrafung: Phishing-Simulationen sind Lernmaßnahmen, keine Leistungstests. Mitarbeiter, die geklickt haben, erhalten Schulung, keine Strafe. Wenn du Simulationen als Kontrollinstrument einsetzt und Klicker an den Pranger stellst, zerstörst du die Meldekultur, die du aufbauen willst.

Ergebnisse richtig interpretieren

Die Klickrate der ersten Simulation liegt in vielen Unternehmen zwischen 15 und 30 Prozent. Das ist kein Grund zur Panik, sondern eine Ausgangsmessung. Entscheidend ist die Entwicklung über die Zeit: Sinkt die Klickrate? Steigt die Melderate? Verkürzt sich die Zeit bis zur ersten Meldung?

Ergebnisse sollten auf Abteilungsebene ausgewertet werden, nicht auf Personenebene. Halte die Ergebnisse als Schulungsnachweise fest, damit du sie im Audit vorlegen kannst. Welche Abteilungen haben eine überdurchschnittlich hohe Klickrate? Dort braucht es möglicherweise zusätzliche Schulung oder eine Anpassung der Simulationsszenarien. Individuelle Ergebnisse bleiben zwischen dem Mitarbeiter und der IT-Abteilung.

Technische Schutzmaßnahmen: Die Basis

Awareness-Training und Meldeprozesse sind die eine Seite der Medaille. Die andere ist der technische Schutz, der dafür sorgt, dass möglichst viele Phishing-Mails die Mitarbeiter gar nicht erst erreichen.

SPF, DKIM und DMARC: E-Mail-Authentifizierung

Diese drei Protokolle bilden zusammen das Fundament der E-Mail-Sicherheit. Sie verhindern, dass Angreifer E-Mails verschicken, die so aussehen, als kämen sie von deiner Domain.

SPF (Sender Policy Framework): Definiert, welche Mailserver berechtigt sind, E-Mails im Namen deiner Domain zu versenden. Wenn ein E-Mail-Server eine E-Mail von deiner Domain erhält, kann er anhand des SPF-Records prüfen, ob der sendende Server dazu berechtigt ist.

DKIM (DomainKeys Identified Mail): Fügt jeder ausgehenden E-Mail eine digitale Signatur hinzu. Der empfangende Server kann anhand der Signatur verifizieren, dass die E-Mail tatsächlich vom angegebenen Absender stammt und unterwegs nicht verändert wurde.

DMARC (Domain-based Message Authentication, Reporting and Conformance): Baut auf SPF und DKIM auf und definiert, was mit E-Mails passieren soll, die die Prüfung nicht bestehen (z. B. ablehnen oder in Quarantäne verschieben). Zusätzlich liefert DMARC Reports, die zeigen, wer E-Mails im Namen deiner Domain verschickt, ob berechtigt oder nicht.

Die Implementierung von SPF, DKIM und DMARC erfordert technisches Know-how, ist aber kein Hexenwerk. Beginne mit einem DMARC-Record im Monitoring-Modus (p=none), analysiere die Reports und verschärfe die Policy schrittweise bis zu p=reject. Damit stellst du sicher, dass keine legitimen E-Mails blockiert werden, bevor du die Ablehnungsrichtlinie aktivierst.

E-Mail-Gateway mit Sandbox-Analyse

Ein E-Mail-Security-Gateway filtert eingehende E-Mails auf bekannte Bedrohungen: Spam, Malware, bekannte Phishing-URLs. Moderne Gateways ergänzen das durch Sandbox-Analyse: Verdächtige Anhänge werden in einer isolierten Umgebung ausgeführt, um ihr Verhalten zu beobachten, bevor sie den Empfänger erreichen.

Konfiguriere das Gateway so, dass bestimmte Dateitypen generell blockiert werden (.exe, .bat, .cmd, .scr, .js, .vbs, .wsf) und Office-Dokumente mit Makros in Quarantäne verschoben werden, sofern sie nicht von vertrauenswürdigen Absendern stammen.

Link-Rewriting und URL-Scanning

Viele E-Mail-Security-Lösungen bieten Link-Rewriting an: Jeder Link in eingehenden E-Mails wird durch einen Link zur Security-Plattform ersetzt, die den Ziellink zum Zeitpunkt des Klicks erneut prüft. Das schützt vor zeitverzögerten Angriffen, bei denen der Link zum Zeitpunkt der Zustellung harmlos ist und erst Stunden später auf eine Phishing-Seite umgeleitet wird.

Browser-Isolation

Für besonders gefährdete Benutzergruppen (Geschäftsführung, Finanzabteilung, IT-Administratoren) kann Browser-Isolation eine sinnvolle Ergänzung sein. Links aus E-Mails werden in einer isolierten Browser-Umgebung geöffnet, sodass eventuell vorhandene Malware nicht auf den lokalen Rechner zugreifen kann.

Conditional Access und MFA

Multi-Faktor-Authentifizierung ist der wichtigste Schutz gegen kompromittierte Zugangsdaten. Selbst wenn ein Mitarbeiter seine Credentials auf einer Phishing-Seite eingibt, fehlt dem Angreifer der zweite Faktor. Implementiere MFA für alle Cloud-Dienste, VPN-Zugänge und Admin-Accounts. Ergänze dies durch Conditional-Access-Policies, die Anmeldungen aus ungewöhnlichen Standorten, von unbekannten Geräten oder zu ungewöhnlichen Zeiten zusätzlich absichern.

Phishing-Resilienz aufbauen: Der ganzheitliche Ansatz

Technische Maßnahmen, Awareness-Training und Meldeprozesse wirken nicht isoliert, sondern als System. Die Technik reduziert die Anzahl der Phishing-Mails, die ankommen. Das Training befähigt Mitarbeiter, die verbleibenden zu erkennen. Der Meldeprozess stellt sicher, dass erkannte Angriffe schnell eskaliert werden. Und die Phishing-Simulationen messen, ob das Gesamtsystem funktioniert.

Dieses System aufzubauen ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Phishing-Techniken entwickeln sich weiter, neue Angriffsvektoren wie QR-Code-Phishing entstehen, und die Awareness der Mitarbeiter muss regelmäßig aufgefrischt werden. Plane feste Zyklen: quartalsweise Simulationen, halbjährliche Schulungen, jährliche Überprüfung der technischen Schutzmaßnahmen.

Am Ende geht es darum, eine Kultur zu schaffen, in der Sicherheit kein Hindernis ist, sondern ein gemeinsames Anliegen. In der Mitarbeiter verdächtige E-Mails melden, weil sie wissen, dass es richtig ist und dass ihnen niemand einen Vorwurf macht. In der die IT-Abteilung Meldungen als wertvolle Information behandelt und nicht als Störung. In der Phishing-Simulationen als Lernchance verstanden werden und nicht als Falle.

Diese Kultur entsteht nicht durch eine einzelne Maßnahme. Sie entsteht durch konstantes, konsistentes Handeln über Monate und Jahre. Aber jedes Unternehmen, das diesen Weg geht, wird die Ergebnisse sehen: weniger erfolgreiche Phishing-Angriffe, schnellere Erkennung, geringerer Schaden.

Weiterführende Artikel

• Security Awareness Programm aufbauen: Was Mitarbeiter wirklich wissen müssen
• Sicherheitsvorfälle erkennen und melden: Der richtige Prozess
• Die 10 größten Sicherheitsrisiken im Mittelstand
• Ransomware-Angriff: Sofortmaßnahmen, Kommunikation und Wiederherstellung
• Multi-Faktor-Authentifizierung (MFA) einführen: Strategie, Rollout und Akzeptanz