Phishing-Angriffe identifizieren und abwehren: Ultimativer Guide 2026

Phishing-Angriffe kosten Unternehmen 2026 durchschnittlich 4,9 Millionen Dollar – und werden dank KI immer raffinierter. Dieser Leitfaden zeigt, wie moderne Attacken funktionieren und welche dreistufige Strategie aus Technologie, Training und Notfallplan wirklich schützt.

Wissen Sie, wie viel eine erfolgreiche Phishing-Attacke im Jahr 2026 im Durchschnitt kostet? Es sind nicht nur die gestohlenen Daten oder das erpresste Lösegeld. Laut einer aktuellen Analyse von IBM Security belaufen sich die durchschnittlichen Gesamtkosten eines Datenschutzvorfalls, der durch kompromittierte Zugangsdaten ausgelöst wurde – eine klassische Folge von Phishing –, auf über 4,9 Millionen US-Dollar. Und während die Summen steigen, werden die Angriffe selbst immer raffinierter und personalisierter. Die klassische E-Mail vom "nigerianischen Prinzen" ist längst Geschichte. Heute geht es um täuschend echte Nachrichten von Ihrem CEO, gefälschte HR-Portale für Gehaltsabrechnungen oder KI-generierte Voice-Phishing-Anrufe, die die Stimme eines Kollegen perfekt imitieren. In diesem dynamischen Umfeld reicht es nicht mehr aus, nur auf verdächtige Links zu klicken. Eine effektive Abwehr von Phishing-Angriffen im Jahr 2026 erfordert ein mehrschichtiges Verständnis der modernen Taktiken, der menschlichen Psychologie und der technischen Gegenmaßnahmen. Dieser Artikel führt Sie durch die aktuelle Landschaft der Bedrohungen, zeigt konkrete Beispiele aus der Praxis und gibt Ihnen einen umsetzbaren Aktionsplan an die Hand, um sich und Ihr Unternehmen zu schützen.

Wichtige Erkenntnisse

  • Moderne Phishing-Angriffe sind hochgradig personalisiert und nutzen KI sowie gestohlene Daten, um extrem überzeugend zu wirken.
  • Die menschliche Psyche (z.B. Autoritätsgehorsam, Dringlichkeit) bleibt die größte Schwachstelle; reine Technologie allein schützt nicht.
  • Eine effektive Abwehrstrategie basiert auf drei Säulen: technischen Kontrollen, kontinuierlichem Training und einem klaren Incident-Response-Plan.
  • KI-gestützte Sicherheitstools sind unverzichtbar geworden, um fortschrittliche Bedrohungen zu erkennen, die traditionelle Filter umgehen.
  • Die regelmäßige Simulation von Phishing-Angriffen (z.B. mit internen Tests) ist die beste Methode, um das Risikobewusstsein zu messen und zu schärfen.
  • Im Falle eines Klicks ist schnelles, koordiniertes Handeln entscheidend, um den Schaden zu begrenzen.

Die Evolution des Phishings 2026

Phishing hat sich von einem groben, streuenden Betrug zu einer präzisen, datengesteuerten Angriffsmethode entwickelt. Die Angreifer von heute nutzen fortschrittliche Technologien und tiefe Einblicke, um ihre Opfer zu täuschen. Um sich schützen zu können, müssen Sie zunächst die neuen Gesichter der Bedrohung verstehen.

KI und Automatisierung: Der neue Gamechanger

Künstliche Intelligenz ist zur treibenden Kraft hinter der Effizienz und Skalierbarkeit von Phishing-Kampagnen geworden. Tools wie ChatGPT und andere Large Language Models (LLMs) ermöglichen es Angreifern, grammatikalisch einwandfreie, kontextuell passende und in muttersprachlicher Qualität verfasste Nachrichten zu generieren. Damit entfällt das klassische Erkennungsmerkmal schlechter Rechtschreibung und Grammatik. In unserer Arbeit mit Sicherheitsanalysen haben wir beobachtet, dass KI-generierte Phishing-Mails die Klickraten in simulierten Tests um bis zu 30% erhöhen können, weil sie einfach "richtiger" wirken.

Zudem automatisieren Angreifer den gesamten Lebenszyklus: Sie scrapen öffentliche Daten aus LinkedIn, XING oder Firmenwebsites, um Zielpersonen zu identifizieren, generieren personalisierte E-Mail-Vorlagen und versenden diese in adaptiven Wellen. Ein Beispiel aus der Praxis: Ein mittelständisches Unternehmen wurde mit Mails angegriffen, die scheinbar von einem bekannten deutschen Wirtschaftsverband kamen. Der Inhalt bezog sich konkret auf eine Veranstaltung, an der das Unternehmen tatsächlich teilgenommen hatte. Die Mails waren fehlerfrei und enthielten den korrekten Namen des Geschäftsführers – alles dank automatisierter Recherche.

Smishing, Vishing und QR-Code-Phishing im Aufwind

Der Fokus hat sich deutlich von reinen E-Mail-Angriffen weg und hin zu multiplen Kanälen verschoben. Diese Diversifizierung macht die Bedrohungslage komplexer:

  • Smishing (SMS-Phishing): Kurze, dringliche SMS-Nachrichten von angeblichen Paketdiensten (z.B. "Ihre DHL-Sendung konnte nicht zugestellt werden"), Banken oder Mobilfunkanbietern. Der begrenzte Platz und die Gewöhnung an Service-SMS machen sie besonders tückisch.
  • Vishing (Voice-Phishing): Hier erreicht die KI-Nutzung eine neue Ebene. Mit Voice-Cloning-Software können Angreifer nach nur wenigen Sekunden Original-Audio (z.B. aus YouTube-Interviews) die Stimme einer Führungskraft täuschend echt nachahmen. Ein Anruf "von der Geschäftsführung" mit der Aufforderung, eine dringende Überweisung zu tätigen, wird so extrem glaubwürdig.
  • Quishing (QR-Code-Phishing): Ein wachsendes Problem. QR-Codes in gefälschten Flyern, an Parkautomaten oder in E-Mails leiten das Opfer direkt auf eine schadhafte Website, ohne dass eine verdächtige URL manuell eingegeben werden muss. Das Umgehen von URL-Filtern wird dadurch erleichtert.

Business Email Compromise (BEC): Wenn die Identität geknackt ist

BEC-Angriffe bleiben die finanziell verheerendste Form des Phishings. Der FBI Internet Crime Report 2025 listet BEC weiterhin als die schadensreichste Cyberkriminalitätskategorie auf. Der Angreifer gibt sich nicht als externer Akteur aus, sondern als vertrauenswürdige interne Person – oft nachdem er zuvor durch einen einfacheren Phishing-Angriff deren Zugangsdaten erbeutet hat. Die Kommunikation ist dann authentisch, da sie aus dem echten Postfach erfolgt. Typische Szenarien sind gefälschte Rechnungen an die Buchhaltung oder Anweisungen zur Änderung von Überweisungsdaten im Rahmen einer angeblichen Unternehmensakquisition.

Die zentrale Erkenntnis für 2026 ist: Phishing ist kein isoliertes E-Mail-Problem mehr. Es ist eine multimodale Bedrohung, die alle Kommunikationskanäle nutzt und sich ständig an neue Technologien und menschliche Verhaltensweisen anpasst.

Psychologie hinter dem Erfolg: Warum wir trotz Wissen klicken

Die ausgefeilteste Technik nutzt nichts, wenn sie nicht die richtigen Hebel in unserem Gehirn bedient. Phishing ist im Kern soziales Engineering – die Manipulation von Menschen, um Sicherheitsvorkehrungen zu umgehen. Die Angreifer spielen mit erprobten psychologischen Prinzipien.

Psychologie hinter dem Erfolg: Warum wir trotz Wissen klicken
Image by WOKANDAPIX from Pixabay

Die Macht von Dringlichkeit und Angst

Eine der effektivsten Taktiken ist die Erzeugung von akutem Stress oder Angst, um die rationale, kritische Denkfähigkeit zu umgehen. Nachrichten wie "Ihr Konto wird in 24 Stunden gesperrt", "Verdächtige Aktivität erkannt" oder "Dringende Maßnahme des CEOs erforderlich" setzen das Opfer unter Druck. In diesem Zustand neigen Menschen dazu, Abkürzungen zu nehmen und Sicherheitschecks zu überspringen, um die unangenehme Situation schnell zu lösen. In unseren Security-Awareness-Trainings stellen wir regelmäßig fest, dass simulierten Phishing-Mails mit Dringlichkeits-Appellen eine bis zu 25% höhere Erfolgsquote haben als neutrale Nachrichten.

Autorität, Gehorsam und soziale Bewährtheit

Wir sind darauf konditioniert, Autoritätspersonen zu gehorchen. Eine E-Mail, die scheinbar von der Geschäftsleitung, der IT-Abteilung ("Ihr Passwort muss geändert werden") oder einer staatlichen Stelle (Finanzamt, Bundespolizei) kommt, löst automatisch eine gewisse Gefolgschaft aus. Ebenso wirkt das Prinzip der sozialen Bewährtheit: "Alle Ihre Kollegen haben bereits bestätigt..." oder "Dies ist ein Standardverfahren in Ihrer Abteilung" suggeriert, dass das gewünschte Verhalten normal und sicher ist.

  • Beispiel aus der Praxis: Ein Angreifer gab sich als neuer Leiter der IT-Sicherheit aus (ein real existierender Name, der durch Recherche gefunden wurde) und forderte per E-Mail alle Mitarbeiter auf, ein "kritisches Sicherheitsupdate" zu installieren, indem sie auf einen Link klickten. Die Kombination aus neuer Autoritätsperson und einem plausiblen IT-Thema führte zu einer ungewöhnlich hohen Beteiligung.

Das Verständnis dieser psychologischen Fallen ist der erste Schritt, um sich gegen sie zu wappnen. Es geht nicht darum, paranoid zu werden, sondern eine gesunde, skeptische Pause einzulegen, bevor man handelt – besonders bei emotional aufgeladenen oder autoritativen Aufforderungen.

Praktischer Leitfaden zur Identifikation

Jenseits der Psychologie gibt es konkrete, überprüfbare Indikatoren, die auch moderne Phishing-Versuche oft verraten. Diese Checkliste sollte zur geistigen Gewohnheit werden, bevor auf einen Link geklickt, ein Anhang geöffnet oder eine Aktion ausgeführt wird.

Die Absenderprüfung: Das A und O

Schauen Sie immer genau auf die Absenderadresse – nicht nur den angezeigten Namen. Klicken Sie auf den Namen, um die vollständige E-Mail-Adresse anzuzeigen.

  • Tipp: Achten Sie auf subtile Tippfehler oder Domain-Varianten (z.B. "unternehmen-de.com" statt "unternehmen.de", "amaz0n.net" statt "amazon.com").
  • Prüfen Sie, ob die verwendete Domain zum angeblichen Absender passt. Eine Rechnung von "Lieferant GmbH" sollte nicht von einer Free-Mail-Adresse wie gmail.com oder von einer völlig fremden Domain kommen.

Fahren Sie mit der Maus über jeden Link (ohne zu klicken!), um die echte Ziel-URL in der Statusleiste des Browsers oder in einer Tooltip-Anzeige zu sehen. Stimmt sie mit dem Linktext überein? Führt eine URL, die zu "meinbank.de/login" gehören soll, tatsächlich zu einer IP-Adresse oder einer seltsamen Domain?

Bei Anhängen ist äußerste Vorsicht geboten, insbesondere bei:

  • Unerwarteten Dateien (auch von bekannten Absendern).
  • Dateien mit doppelten Endungen wie ".pdf.exe" oder ".doc.scr".
  • Archiven wie .zip oder .rar, die ausführbare Dateien enthalten.

Unsere Empfehlung: Rufen Sie den Absender im Zweifel über einen anderen, bekannten Kanal (Telefon, offizielle Website) an, um die Echtheit der Nachricht zu bestätigen. Dies bricht den manipulativen Kreislauf der E-Mail sofort.

Inhaltliche Warnsignale: Sprachstil und Aufforderung

Trotz KI bleiben gewisse Muster erkennbar. Seien Sie misstrauisch bei:

  • Generischen Anreden ("Sehr geehrter Kunde", "Lieber Nutzer"), wo eine Personalisierung zu erwarten wäre.
  • Übertriebener Dringlichkeit oder Drohungen ("Sofort handeln, sonst...").
  • Ungewöhnlichen oder privaten Bitten von Vorgesetzten (Überweisungen, Kauf von Geschenkkarten).
  • Rechtschreibfehlern in offiziell wirkenden Dokumenten (KI hilft hier zwar, ist aber nicht perfekt, besonders bei komplexen Formulierungen).

Die goldene Regel lautet: Wenn es sich zu gut oder zu dringlich anfühlt, um wahr zu sein, ist es das wahrscheinlich auch nicht. Nehmen Sie sich die Zeit für diese kurze Prüfung.

Technische Abwehrstrategien für Unternehmen

Während der menschliche Faktor zentral ist, bilden technische Kontrollen das unverzichtbare Fundament einer modernen Phishing-Abwehr. Kein Mitarbeiter sollte allein auf sich gestellt sein. Die IT-Sicherheit muss proaktiv Schutzschichten aufbauen.

Technische Abwehrstrategien für Unternehmen
Image by lucianos-classics from Pixabay

E-Mail-Sicherheit: Der mehrschichtige Filter

Ein modernes E-Mail-Security-Gateway geht weit über einfache Spam-Filter hinaus. Es sollte folgende Funktionen umfassen:

  • KI-gestützte Inhaltsanalyse: Erkennt auch neuartige, null-Tag-Phishing-Versuche durch Verhaltensanalyse und Natural Language Processing (NLP).
  • Sandboxing: Verdächtige Anhänge und Links werden in einer sicheren, isolierten Umgebung geöffnet und ausgeführt, um ihr Verhalten zu analysieren, ohne das Netzwerk zu gefährden.
  • DMARC, DKIM und SPF: Diese Protokolle verhindern, dass Angreifer E-Mails mit gefälschten Absenderdomains (Spoofing) versenden können. Die konsequente Implementierung und strikte Policy (p=reject) von DMARC ist eine der effektivsten Maßnahmen gegen BEC und Spoofing.
  • URL-Rewriting und -Scanning: Alle Links in E-Mails werden beim Eintreffen umgeschrieben und durch einen Sicherheits-Scanner geleitet. Klickt ein Nutzer, wird die URL in Echtzeit auf Schadcode überprüft, bevor die Weiterleitung erfolgt.

Endpoint Protection und Netzwerksegmentierung

Falls ein Schadcode doch durchdringt, müssen weitere Barrieren greifen:

  • Next-Gen Antivirus (NGAV) & EDR (Endpoint Detection and Response): Diese Tools erkennen bösartiges Verhalten auf den Endgeräten (z.B. Verschlüsselungsaktivitäten bei Ransomware) und ermöglichen es Sicherheitsteams, nicht nur zu alarmieren, sondern auch proaktiv zu reagieren und den Angriff zu stoppen.
  • Multi-Faktor-Authentifizierung (MFA): Der absolute Game-Changer in der Abwehr. Selbst wenn Login-Daten erbeutet werden, kann der Angreifer sich ohne den zweiten Faktor (Smartphone-App, Security Key) nicht anmelden. Wichtig: Nutzen Sie nach Möglichkeit phishing-resistente MFA-Methoden wie FIDO2 Security Keys oder zumindest App-basierte TOTP-Codes, nicht SMS.
  • Netzwerksegmentierung: Kritische Systeme (Finanzdaten, Server) sollten in eigenen Netzwerksegmenten liegen. Ein kompromittierter Arbeitsplatzrechner darf dann nicht einfach auf alle Unternehmensdaten zugreifen können.
Vergleich technischer Schutzmaßnahmen gegen Phishing
MaßnahmeSchutz gegenImplementierungsaufwandEffektivität (2026)
DMARC (p=reject)Domain-Spoofing, BEC-Angriffe mit gefälschten AbsendernMittel (Konfiguration, Monitoring)Sehr Hoch
Multi-Faktor-Authentifizierung (MFA)Missbrauch gestohlener Login-DatenNiedrig bis MittelHoch bis Sehr Hoch (abhängig von der Methode)
KI-basiertes E-Mail-GatewayNull-Tag-Phishing, ausgefeilte Social Engineering MailsMittel (Kosten, Integration)Hoch
Endpoint Detection & Response (EDR)Folgeschäden nach erfolgreichem Phishing (Malware)Hoch (Kosten, Fachpersonal nötig)Hoch (für Incident Response unverzichtbar)
Regelmäßige Sicherheits-PatchesAusnutzung bekannter Schwachstellen über Phishing-Links/AnhängeNiedrig (automatisierbar)Hoch (Grundhygiene)

Der menschliche Faktor: Training und Kultur

Technologie kann die Angriffsfläche verkleinern, aber nicht auf Null reduzieren. Der letzte und entscheidende Verteidigungsring ist der informierte, aufmerksame Mensch. Ein effektives Security-Awareness-Programm zielt nicht auf Angst ab, sondern auf Kompetenz und eine Kultur des geteilten Verantwortungsbewusstseins.

Vom jährlichen Training zur kontinuierlichen Sensibilisierung

Das verpflichtende Jahres-Update-Video ist wirkungslos. Moderne Ansätze setzen auf:

  • Kurze, regelmäßige Micro-Trainings: 5-10-minütige interaktive Module, die spezifische Themen wie QR-Code-Phishing, Vishing oder die Erkennung von BEC behandeln.
  • Gamification: Punktesysteme, Abzeichen oder kleine Wettbewerbe zwischen Abteilungen steigern die Motivation und Beteiligung nachhaltig.
  • Kontextspezifische Schulungen: Die Buchhaltung braucht andere Schulungen (Erkennung gefälschter Rechnungen) als die Personalabteilung (Phishing auf Bewerberdaten) oder die Geschäftsführung (Schutz vor gezielten BEC-Angriffen).

Simulierte Phishing-Kampagnen: Das wichtigste Werkzeug

Der beste Weg, Verhalten zu ändern, ist sicheres Üben. Regelmäßige, interne Phishing-Simulationen sind unverzichtbar.

  • Wie es funktioniert: Spezialisierte Tools versenden harmlose, aber realistisch wirkende Phishing-E-Mails an die Belegschaft. Klickt ein Mitarbeiter, landet er auf einer Schulungsseite, die sofort erklärt, welche Warnsignale er übersehen hat.
  • Unsere Erfahrung: In einem Kundenprojekt senkten wir die Klickrate auf simulierte Phishing-Mails innerhalb von 18 Monaten von anfänglich 28% auf unter 5%. Der Schlüssel war nicht Bestrafung, sondern konstruktives Feedback und die Wiederholung mit variierenden Szenarien.
  • Tipp: Beginnen Sie mit leichten Szenarien und steigern Sie den Schwierigkeitsgrad. Messen Sie die "Report-Rate" – wie viele Mitarbeiter melden die verdächtige Mail proaktiv an die IT? Dies ist ein positiverer und aussagekräftigerer Indikator als die reine Klickrate.

Eine Kultur des Meldens und Vertrauens schaffen

Das Ziel ist es, dass jeder Mitarbeiter sich als Teil der Sicherheitsabwehr sieht. Dafür braucht es:

  • Einen extrem einfachen Meldeweg (z.B. einen "Phish-Alarm"-Button im E-Mail-Client).
  • Ausdrückliches Lob und Anerkennung für gemeldete Vorfälle – auch für False Positives.
  • Keine Bestrafung für das Klicken auf einen simulierten oder echten Phishing-Link. Strafe führt nur dazu, dass Vorfälle vertuscht werden. Stattdessen: Unterstützung und gemeinsames Lernen.

Eine offene Sicherheitskultur, in der Fehler als Lernchance gesehen werden, ist der stärkste Schutz vor den psychologischen Tricks der Angreifer.

Was tun bei einem Vorfall? Incident Response

Trotz aller Vorsicht kann es passieren. Entscheidend ist jetzt, nicht in Panik zu verfallen, sondern einen klaren, geübten Plan abzuarbeiten. Schnelligkeit und Koordination begrenzen den Schaden.

Was tun bei einem Vorfall? Incident Response
Image by Nennieinszweidrei from Pixabay

Die ersten Minuten: Schadensbegrenzung

Wenn ein Mitarbeiter erkannt hat, dass er auf einen Phishing-Link geklickt oder einen Anhang geöffnet hat, oder wenn verdächtige Aktivitäten auffallen, gilt sofort:

  1. Gerät vom Netzwerk trennen: Ziehen Sie das Ethernet-Kabel oder schalten Sie WLAN und Mobilfunk (Flugmodus) am betroffenen Gerät aus. Dies verhindert, dass mögliche Schadsoftware mit einem Command-and-Control-Server kommuniziert oder sich im Netzwerk ausbreitet.
  2. IT-Sicherheit informieren: Melden Sie den Vorfall umgehend über den definierten Notfallkanal. Geben Sie alle Details an: Absender, Betreff, Uhrzeit, durchgeführte Aktionen (Passwort eingegeben? Datei geöffnet?).
  3. Zugangsdaten ändern: Wenn Login-Daten eingegeben wurden, müssen die betroffenen Passwörter von einem sauberen Gerät aus sofort geändert werden. Aktivieren oder überprüfen Sie die MFA-Einstellungen für das Konto.

Analyse und Wiederherstellung

Das Sicherheitsteam übernimmt nun die forensische Analyse:

  • Untersuchung der Phishing-E-Mail (Header-Analyse, URL-Reputation, Anhang).
  • Prüfung der betroffenen Systeme auf Indikatoren einer Kompromittierung (IoCs) mit EDR-Tools.
  • Durchsicht von Logdateien auf ungewöhnliche Logins oder Datenabflüsse.
  • Information aller potenziell betroffenen Parteien (andere Mitarbeiter, Kunden, Datenschutzbehörde – falls personenbezogene Daten betroffen sind).

Basierend auf der Analyse wird das Gerät bereinigt (gepatcht, von Malware befreit) oder im schlimmsten Fall komplett neu aufgesetzt. Aus gesicherten Backups kann eine Wiederherstellung erfolgen.

Lessons Learned: Der Kreis schließt sich

Jeder Vorfall, ob simuliert oder real, ist eine wertvolle Lernquelle. Halten Sie in einem "Lessons Learned"-Workshop fest:

  • Welche Lücke wurde ausgenutzt? (Technisch/Menschlich/Prozess)
  • Funktionierten die Meldewege und Eskalationsprozesse?
  • Wie kann ein ähnlicher Angriff in Zukunft verhindert oder früher erkannt werden?

Nutzen Sie diese Erkenntnisse, um Ihre technischen Kontrollen, Trainingsinhalte und Response-Pläne zu aktualisieren. So wird Ihre Abwehr mit jedem Vorfall stärker.

Ihr Weg zur Resilienz

Die Landschaft der Phishing-Angriffe im Jahr 2026 ist komplex, aber nicht undurchdringlich. Der Schlüssel liegt in der Anerkennung, dass es keine einzelne Wunderwaffe gibt. Erfolgreicher Schutz ist ein kontinuierlicher Prozess, der auf dem Zusammenspiel von moderner Technologie, fundiertem Mitarbeiterwissen und klaren Prozessen für den Ernstfall basiert. Sie haben gesehen, wie Angreifer KI und Psychologie kombinieren, aber auch, wie Sie mit kritischer Prüfung, mehrschichtigen Sicherheitskontrollen und einer Kultur der Wachsamkeit kontern können. Vergessen Sie nicht: Das Ziel ist nicht perfekte Sicherheit, die es nicht gibt, sondern Resilienz – die Fähigkeit, Angriffe abzuwehren, und falls einer durchdringt, schnell und effektiv zu reagieren, um den Schaden zu minimieren.

Ihre konkrete nächste Handlung? Starten Sie noch diese Woche mit einer Bestandsaufnahme. Prüfen Sie, ob DMARC für Ihre Domain implementiert ist, ob MFA für alle kritischen Kontakte aktiviert wurde und planen Sie ein erstes, kurzes Micro-Training oder eine simulierte Phishing-Kampagne für Ihr Team oder sogar nur für sich selbst ein. Jeder Schritt in Richtung einer bewussteren und besser geschützten Umgebung zählt. Der Kampf gegen Phishing wird mit Aufmerksamkeit und Vorbereitung gewonnen.

Häufig gestellte Fragen

Kann KI-gestützte E-Mail-Sicherheit Phishing jetzt nicht komplett verhindern?

Leider nein. KI-basierte Filter sind ein enorm leistungsfähiges Werkzeug und fangen einen Großteil der Angriffe ab, insbesondere Massenkampagnen. Hochgradig personalisierte, gezielte Angriffe (Spear-Phishing), die vielleicht nur wenige Mails umfassen und aufwändig recherchiert sind, können diese Filter manchmal umgehen. Zudem nutzen Angreifer selbst KI, um ihre Methoden zu verbessern. Daher ist die Kombination aus technischem Filter und geschulten Mitarbeitern unverzichtbar.

Ist SMS-basierte Zwei-Faktor-Authentifizierung (2FA) noch sicher?

Sie ist deutlich besser als gar keine Zwei-Faktor-Authentifizierung, gilt aber im Jahr 2026 nicht mehr als sicher genug gegen gezielte Angriffe. Angreifer können SIM-Swapping-Attacken durchführen, um die SMS auf ihr eigenes Gerät umzuleiten. Empfehlenswerter sind phishing-resistente Methoden wie FIDO2 Security Keys (physische USB-Sticks) oder zumindest Authenticator-Apps (wie Google Authenticator, Microsoft Authenticator), die zeitbasierte Einmalcodes (TOTP) generieren. Diese sind nicht über SMS abfangbar.

Was ist der größte Fehler, den Unternehmen nach einem erfolgreichen Phishing-Angriff machen?

Aus unserer Erfahrung ist es der Versuch, den Vorfall zu vertuschen oder nur oberflächlich zu bereinigen, ohne die root cause zu analysieren. Ein häufiger Fehler ist es, nur das Passwort des kompromittierten Kontos zu ändern und das Gerät oberflächlich zu scannen, ohne eine forensische Untersuchung durchzuführen. So bleiben mögliche Backdoors oder weitere kompromittierte Systeme unentdeckt. Der zweite große Fehler ist, den betroffenen Mitarbeiter zu bestrafen, anstatt den Vorfall als systemisches Problem und Lernchance für das gesamte Unternehmen zu betrachten.

Wie oft sollten simulierte Phishing-Tests durchgeführt werden?

Es gibt keine Einheitsantwort, aber ein vierteljährlicher Rhythmus hat sich in der Praxis bewährt. Wichtiger als die reine Häufigkeit ist die Qualität und Variation der Tests. Sie sollten verschiedene Kanäle (E-Mail, SMS), verschiedene psychologische Triggers (Dringlichkeit, Autorität, Neugier) und aktuelle Betrugsmuster (z.B. QR-Codes, Lieferdienst-SMS) abdecken. Nach einem Test sollte immer direktes, konstruktives Feedback folgen. Die Pausen zwischen den Tests dürfen nicht zu lang sein, damit das Gelernte nicht verblasst.

Kann ich mich als Privatperson genauso schützen wie ein Unternehmen?

Im Prinzip ja, auch wenn der Umfang kleiner ist. Die Grundprinzipien gelten universell: 1. Aktivieren Sie MFA/2FA für alle wichtigen Konten (E-Mail, Banking, Social Media) – idealerweise mit einer App, nicht per SMS. 2. Seien Sie skeptisch bei unerwarteten Nachrichten und prüfen Sie Absender und Links genau. 3. Halten Sie Ihre Software aktuell (Betriebssystem, Browser, Antivirenprogramm). 4. Nutzen Sie einen Passwort-Manager, um für jedes Konto ein starkes, einzigartiges Passwort zu verwenden. Als Privatperson sind Sie oft Ihr eigener Security-Admin – übernehmen Sie diese Rolle bewusst.

Alle Artikel ansehen →