Phishing in Unternehmen: Risiken erkennen, Schäden vermeiden

Phishing bedroht Daten, Finanzen und Compliance. Lesen Sie, wie Unternehmen Angriffe erkennen, richtig reagieren und Risiken senken – jetzt informieren.

Was ist Phishing und wie funktioniert es?

Phishing ist eine Form des Social Engineering: Angreifer täuschen vertrauenswürdige Absender, Websites oder Prozesse vor, um Zugangsdaten, Zahlungsfreigaben oder andere sensible Informationen zu erlangen. Besonders häufig passiert das über E-Mail, weil sich Inhalte und Absender heute sehr professionell fälschen lassen.

Typisch ist eine Kombination aus Dringlichkeit („sofort handeln“), Autoritätsdruck (vermeintliche IT, Geschäftsführung, Behörde) und Konsequenzen (Sperre, Mahnung, Fristablauf). Gerade in Unternehmen zielen Kampagnen häufig auf Freigabeprozesse, MFA-Umgehung oder die Vorbereitung weiterer Schritte wie Kontoübernahmen und laterale Bewegung ab.

Warum Phishing für Unternehmen so gefährlich ist

Phishing ist nicht nur ein „IT-Thema“, sondern betrifft Finanzen, Datenschutz und Betriebsabläufe. In der Praxis reichen einzelne kompromittierte Konten, um Rechnungsbetrug (z. B. CEO-Fraud), Datenabfluss oder Schadsoftware-Einschleusung auszulösen.

Hinzu kommt: Viele Sicherheitsvorfälle enthalten einen „Human Element“-Anteil – also Fehler, Täuschung oder Social-Engineering-Erfolg. Verizon beziffert diesen Anteil in seinem DBIR auf einen Großteil der untersuchten Fälle. Parallel zeigt die Bitkom-Studie „Wirtschaftsschutz 2024“, dass Unternehmen in Deutschland insgesamt stark von digitalen Angriffen, Spionage oder Sabotage betroffen sind – ein Umfeld, in dem Phishing häufig als Einstieg dient.

Typische Phishing-Varianten: Spear-Phishing, Vishing & Co.

Phishing sollte in Unternehmen nicht als einzelne Betrugsmasche verstanden werden, sondern als Familie unterschiedlicher Angriffsformen, die je nach Zielgruppe und Situation variieren. Besonders verbreitet ist Spear-Phishing, bei dem Angriffe gezielt und stark personalisiert erfolgen – häufig gegen Mitarbeitende in sensiblen Rollen wie IT, Finance oder HR, die über weitreichende Berechtigungen verfügen. Daneben nimmt Vishing (Voice Phishing) deutlich zu: Hier setzen Angreifer auf Telefonanrufe, arbeiten mit Zeitdruck, vorgetäuschten Identitäten oder vermeintlichen Support-Anliegen und nutzen zunehmend sogar KI-gestützte Stimmen, um glaubwürdig zu wirken. Eine weitere häufige Variante ist Credential-Phishing, bei dem gefälschte Login-Seiten eingesetzt werden, um Zugangsdaten für M365-, VPN- oder HR-Systeme abzugreifen. Orientierung zur Erkennung solcher Angriffe bieten unter anderem Hinweise des BSI, etwa zur Prüfung von URLs, Absendern, Sprache und Anhängen. Genau hier setzt ein Sicheres Arbeiten mit E-Mails an und bildet eine zentrale Grundlage für wirksame Phishing-Prävention.

Erkennungsmerkmale und Sofortmaßnahmen im Betrieb

Für Mitarbeitende und Führungskräfte bewährt sich ein klarer, wiederholbarer Prüfpfad:

  1. Absender & Kontext prüfen: Passt die Anfrage zum üblichen Prozess? Ungewöhnliche Tonalität oder Zeitdruck sind Warnsignale.
  2. Link-Ziel verifizieren: Hover/Preview, Domain exakt lesen, keine Logins über Mail-Links.
  3. Anhänge nur nach Freigabe: Makros, ZIP/ISO und „Rechnungen“ sind typische Träger. Handlungsempfehlungen zur Erkennung und zum Umgang beschreibt das BSI.
  4. Sofort melden statt löschen: Schnelle Meldung verbessert Reaktionszeiten und reduziert Folgeschäden; DBIR betont die Bedeutung von Reporting-Verhalten.

Prävention: Prozesse, Technik und Awareness kombinieren

Wirksame Phishing-Resilienz entsteht durch das Zusammenspiel aus Menschen, Prozessen und Kontrollen:

  • Prozesse: Zahlungs- und Änderungsfreigaben (IBAN, Lieferantendaten) immer über einen zweiten, unabhängigen Kanal verifizieren. CEO-Fraud wird im BSI-Lagebericht als relevante Social-Engineering-Ausprägung beschrieben.
  • Technik: MFA konsequent, Mail-Schutz (SPF/DKIM/DMARC), restriktive Weiterleitungsregeln, schnelle Konto-Isolation bei Verdachtsfällen. (ENISA ordnet Social Engineering als prominente Bedrohung ein.)
  • Awareness: Rollenbasiert trainieren (Finance/HR/IT), realistische Beispiele und regelmäßige Refresh-Formate.

Unser Phishing E-Learning Kurs bietet eine strukturierte Sensibilisierung mit klaren Erkennungsmerkmalen, praxisnahen Tipps und konkreten Reaktionsschritten für den Unternehmensalltag.

 

Phishing mit SharePoint-Links: neue Taktik, alte Folgen

Phishing über SharePoint-Links nimmt zu: Erkennen Sie die Masche, schützen Sie Konten & Prozesse – inkl. Maßnahmen-Checkliste. Jetzt lesen.

Aktueller Auslöser: SharePoint-Link aus kompromittiertem Postfach

Am 21. Januar 2026 veröffentlichte Microsoft Details zu einer mehrstufigen AiTM-Phishing- und BEC-Kampagne, die Organisationen im Energiesektor adressiert. Der Einstieg: E-Mails aus bereits kompromittierten Konten mit einem SharePoint/OneDrive-Link, der auf eine Credential-Harvesting-Seite weiterleitet. Anschließend sichern sich die Angreifer Persistenz u. a. über Postfachregeln und Änderungen an MFA- bzw. Authentifizierungsartefakten.

Warum SharePoint-Phishing in der Praxis so wirksam ist

Diese Taktik nutzt zwei Vertrauensanker, die in vielen Unternehmen „automatisch“ positiv bewertet werden: (1) bekannte Cloud-Domains (SharePoint/OneDrive) und (2) scheinbar legitime Absender, weil das Konto real existiert und bereits kompromittiert wurde. Genau dadurch sinkt die Trefferquote klassischer Heuristiken wie „falscher Absendername“ oder „ungewohnte Domain“. Microsoft beschreibt zudem, dass die Kampagne das Ökosystem aus Datei-Teilen und Login-Flows ausnutzt – ein Muster, das Sicherheitsfilter und Mitarbeitende gleichermaßen herausfordert.

Geschäftliche Folgen: Von Credential-Diebstahl zu Zahlungsbetrug

Wenn Angreifer Zugangsdaten und Sessions übernehmen, sind typische Anschlussrisiken Kontoübernahmen, interne Weiterverbreitung, Zugriff auf vertrauliche Kommunikation und Business Email Compromise. Microsoft ordnet die beobachteten Schritte explizit im Kontext von BEC ein.
Für D-A-CH-Unternehmen relevant ist zudem die Gesamtlage: Bitkom beziffert den Schaden durch Diebstahl, Spionage und Sabotage bei Unternehmen in Deutschland in der Größenordnung von 266,6 Mrd. Euro (Wirtschaftsschutz-Studie).
Aus Incident-Perspektive zeigen DBIR-Auswertungen, dass der „Human Element“ in einem großen Teil der Sicherheitsvorfälle eine Rolle spielt – Phishing bleibt damit ein betriebswirtschaftliches Risiko, nicht nur ein technisches.

Sofortmaßnahmen: Technische Kontrollen und saubere Reaktion

Für IT-Leitung, Datenschutz und Prozessverantwortliche zählt vor allem Geschwindigkeit und Vollständigkeit der Wiederherstellung. Microsoft betont, dass ein Passwort-Reset allein nicht genügt; erforderlich sind u. a. das Widerrufen aktiver Sessions/Tokens, das Zurücksetzen kompromittierter MFA-Einstellungen und das Prüfen/Entfernen bösartiger Postfachregeln.
Ergänzend sind praktische Präventionsbausteine sinnvoll: konsequente Phishing- und Spam-Filter, E-Mail-Authentisierung (z. B. DMARC) sowie organisatorische Prüfpfade (z. B. Link-Ziele verifizieren, ungewöhnliche Aufforderungen unabhängig rückbestätigen). Das BSI empfiehlt u. a. die sorgsame Prüfung von Links und verweist auf zentrale Schutzmaßnahmen rund um E-Mail-Sicherheit.

Awareness als Kontrollschicht: Rollenfokus und Meldekultur

Gerade bei „Trusted-Link“-Angriffen ist Awareness kein „Soft-Thema“, sondern eine Kontrollschicht, die Fehlentscheidungen reduziert und die Erkennung beschleunigt. Das BSI beschreibt Social Engineering als Vorgehen, bei dem Opfer zur Preisgabe von Informationen bzw. zum Umgehen von Schutzmaßnahmen verleitet werden – genau das Muster, das SharePoint-Phishing adressiert.
Für die Umsetzung helfen bewährte Formate aus der Awareness-Community, z. B. Austausch und Best Practices über TAKE AWARE Events (inkl. Eventübersicht und Programmen/Publikationen), wie auch das Take Aware Event von mybreev und der Phishing E-Learning Kurs für Unternehmen von mybreev.

Zu Cyber & Informations-sicherheit gibt es außerdem noch folgende Kurse: Phishing E-Learning Kurs für Unternehmen · Social Engineering erkennen E-Learning · Spear-Phishing E-Learning · Sicheres Arbeiten mit E-Mails E-Learning · Business E-Mail Compromise E-Learning

 

Phishing wirksam reduzieren: strukturierte Awareness statt Zufall

Phishing bleibt Einfallstor Nr. 1. Wie Unternehmen mit gezieltem E-Learning messbar Risiken senken – inkl. Praxisbeispiel & Kursstruktur.

 

Phishing als anhaltendes Risiko für Organisationen

Phishing zählt weiterhin zu den häufigsten Ursachen erfolgreicher Sicherheitsvorfälle in Unternehmen. Studien des Bundesamt für Sicherheit in der Informationstechnik zeigen, dass E-Mails mit betrügerischen Inhalten regelmäßig als Einstiegspunkt für Datenabfluss, Ransomware oder Business-Email-Compromise dienen. Auch der Bitkom verweist darauf, dass menschliche Fehlentscheidungen ein zentraler Faktor bei wirtschaftlichen Schäden durch Cyberangriffe sind.

Technische Schutzmaßnahmen sind unverzichtbar, reichen jedoch allein nicht aus. Phishing nutzt gezielt Vertrauen, Zeitdruck und fehlende Routine aus – genau hier setzt strukturierte Awareness an.

Warum klassische Sensibilisierung oft nicht ausreicht

Viele Unternehmen beschränken Awareness auf einmalige Schulungen oder allgemeine Hinweise per Rundmail. In der Praxis führt das selten zu nachhaltiger Verhaltensänderung. Mitarbeitende benötigen konkrete Entscheidungsanker, die im Arbeitsalltag abrufbar sind:
Wie erkenne ich typische Merkmale?
Welche Schritte sind im Verdachtsfall richtig?
Was darf ich auf keinen Fall tun?

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt deshalb explizit wiederholbare, praxisnahe Trainingsformate, die reale Angriffsszenarien abbilden.

Lösungsansatz: Phishing-Awareness als E-Learning

Ein bewährter Ansatz ist das Phishing-E-Learning für Mitarbeitende. Der Kurs ist darauf ausgelegt, nicht nur Wissen zu vermitteln, sondern Handlungssicherheit aufzubauen. Ziel ist es, Mitarbeitende in die Lage zu versetzen, Phishing-Angriffe selbstständig zu erkennen und korrekt darauf zu reagieren.

Im Mittelpunkt stehen reale Angriffsmuster statt theoretischer Definitionen. Dadurch wird die Lücke zwischen Sicherheitsrichtlinien und täglicher Praxis geschlossen.

Inhalte und didaktischer Aufbau des Kurses

Das Training ist modular aufgebaut und benötigt etwa 30 Minuten Lernzeit. Es richtet sich bewusst an alle Mitarbeitenden, unabhängig von Rolle oder IT-Vorkenntnissen.

Zentrale Module sind unter anderem:

  • Was ist Phishing?
    Verständliche Einordnung mit realitätsnahem Beispiel.
  • Phishing-Varianten
    Klassisches E-Mail-Phishing, weitergeleitete Links, Social-Engineering-Elemente.
  • Aus Sicht der Angreifer
    Typische Vorgehensweisen und psychologische Hebel.
  • Dos and Don’ts
    Konkrete Handlungsrichtlinien inklusive Download-Handout.
  • Wissensüberprüfung
    Kurzes Quiz zur Festigung des Gelernten.

Interaktive Elemente, Zertifikat nach Abschluss sowie zusätzliche Materialien wie Poster oder Handouts unterstützen die nachhaltige Verankerung im Unternehmen.

Mehrwert für IT-Leitung, HR und Datenschutz

Für IT-Verantwortliche bedeutet das Training eine messbare Reduktion von Fehlklicks und Meldezeiten. HR profitiert von einer einheitlichen, skalierbaren Schulung für alle Mitarbeitenden, auch im Onboarding. Datenschutz- und Compliance-Beauftragte erhalten eine dokumentierbare Maßnahme zur Risikominimierung im Sinne der DSGVO.

Ergänzend lassen sich weitere Awareness-Formate anbinden, etwa:

  • Phishing E-Learning Kurs für Unternehmen
  • Social-Engineering-Training für Mitarbeitende
  • Sicheres Arbeiten mit E-Mails
  • Business-E-Mail-Compromise

Alle Module sind über LMS oder die Plattform abrufbar und mehrsprachig verfügbar.

Warum hilft das Mini-Game „Phishing Detective“ gegen Phishing?

Das Mini-Game Phishing Detective macht Phishing nicht nur erklärbar, sondern erlebbar. Statt trockener Theorie schlüpfen die Teilnehmenden selbst in die Rolle eines Ermittlers und lernen, verdächtige E-Mails, Links und Nachrichten aktiv zu analysieren. Durch spielerische Entscheidungen, realistische Szenarien und direktes Feedback wird geschult, typische Phishing-Muster schnell zu erkennen. Das stärkt die Aufmerksamkeit im Alltag, fördert sicheres Verhalten im Netz und sorgt dafür, dass Wissen nachhaltig im Kopf bleibt – genau da, wo es im Ernstfall gebraucht wird.

Fazit: Phishing-Schutz beginnt beim Menschen

Phishing wird auch künftig ein zentrales Risiko bleiben. Unternehmen, die Awareness systematisch und praxisnah aufbauen, reduzieren nicht nur Vorfälle, sondern stärken eine nachhaltige Sicherheitskultur. Ein strukturiertes E-Learning wie das Phishing-Training von mybreev bietet dafür eine belastbare Grundlage – organisatorisch, technisch und regulatorisch.

Phishing-Awareness strukturiert aufbauen
Erfahren Sie, wie das Phishing-E-Learning in Ihre bestehende Awareness-Strategie integriert werden kann.

Phishing-E-Learning Kurs anfragen