Phishing und Social Engineering sind Angriffe, die nicht zuerst deine Technik, sondern dich als Menschen ins Visier nehmen. Ziel ist es, dich zu manipulieren, damit du selbst Passwörter, Bankdaten oder andere sensible Infos preisgibst oder schädliche Aktionen ausführst.
Phishing ist dabei eine spezielle Form von Social Engineering, bei der meist gefälschte Nachrichten (E-Mails, SMS, Anrufe, Chats) genutzt werden.
🧠 Was ist Social Engineering?
Social Engineering bedeutet: Angreifer nutzen psychologische Tricks, um Menschen zu bestimmten Handlungen zu bewegen z. B. das Herausgeben von Passwörtern oder das Öffnen eines gefährlichen Anhangs. Statt eine technische Schwachstelle auszunutzen, greifen sie die „Schwachstelle Mensch“ an (Vertrauen, Hilfsbereitschaft, Angst, Respekt vor Autoritäten usw.).
Typische Beispiele:
- Anruf vom angeblichen „IT-Support“, der dringend dein Passwort braucht
- „Chef-Mail“ mit Bitte, schnell eine Überweisung auszulösen (CEO-Fraud)
- Vor-Ort-Besuch eines angeblichen Technikers, der „mal eben“ ins Serverraum will
📧 Was ist Phishing?
Phishing sind Betrugsversuche, bei denen sich Angreifer als vertrauenswürdige Stelle ausgeben, um an Daten oder Geld zu kommen. Das läuft typischerweise über E‑Mails, SMS, Anrufe oder Messenger-Nachrichten mit Links auf gefälschte Webseiten oder mit schädlichen Anhängen.
Beliebte Ziele:
- Zugangsdaten (E‑Mail, Banking, Shops, Social Media, Firmen-Logins)
- Kreditkarten‑ und Kontodaten
- Einmalcodes (TAN, MFA-Codes)
🧩 Wichtige Phishing-Arten
1️⃣ Klassisches E-Mail-Phishing
Massenmails an viele Empfänger, oft im Namen von Banken, Paketdiensten, Streaming-Diensten oder „Support-Teams“. Ziel: Klick auf einen Link oder Öffnen eines Anhangs, um Logins abzugreifen oder Malware zu verteilen.
Merkmale: generische Anrede, Druck („Ihr Konto wird gesperrt“), Links auf täuschend echte Fake-Seiten.
2️⃣ Spear-Phishing
Gezieltes Phishing gegen eine bestimmte Person oder kleine Gruppe, z. B. Admins, Buchhaltung oder Geschäftsführung. Angreifer recherchieren vorher z. B. über Social Media oder Firmenwebseite und bauen diese Infos ein, damit alles extrem echt wirkt.
Beispiel: E‑Mail, die exakt im Stil deines echten Chefs kommt, in der richtige Projektnamen und Kollegen genannt werden.
3️⃣ Smishing (SMS-Phishing)
Smishing = SMS + Phishing. Du bekommst eine SMS mit z. B. angeblicher Paketbenachrichtigung, Kontosperrung oder TAN-Abfrage, meist mit einem Link auf eine Fake-Seite.
Typische Vorwände: Paket kommt nicht an, Konto wird gesperrt, „Klicken Sie hier, um Ihre Daten zu bestätigen“.
4️⃣ Vishing (Voice-Phishing)
Vishing = Voice + Phishing, d. h. Betrugsversuche per Telefon. Angreifer geben sich z. B. als Bankmitarbeiter, Support, Polizei oder Chef aus und versuchen, dich unter Druck zu setzen, damit du Daten oder Geld herausgibst.
Beispiele: „Sicherheitsabteilung Ihrer Bank, wir brauchen jetzt Ihre TAN, sonst wird Ihr Konto gesperrt.“
🕵️ Typische Merkmale von Phishing-Mails
Worauf kannst du (und deine User) achten, um Phishing zu erkennen?
Häufige Warnsignale:
- Unpersönliche oder falsche Anrede („Sehr geehrter Kunde“, falscher Name)
- Grammatik- und Rechtschreibfehler, komisches Deutsch oder fremde Sprache
- Starker Druck oder Drohungen („letzte Warnung“, „sofort handeln“) – künstliche Dringlichkeit
- Unerwartete Links oder Anhänge (Rechnungen, Sendungsbenachrichtigungen, Mahnungen)
- Verdächtige Absenderadresse oder Domain, die der echten nur ähnlich sieht
- Aufforderung, sensible Daten direkt per Mail, Formular oder Link einzugeben (PIN, TAN, Passwörter – was echte Unternehmen niemals so verlangen)