Phishing bleibt der häufigste Einstiegsvektor – und wird immer ausgefeilter
91 Prozent aller Cyberangriffe beginnen mit einer Phishing-E-Mail. Der Verizon 2026 Data Breach Investigations Report bestätigt, dass Phishing und Pretexting den Großteil aller Social-Engineering-Vorfälle ausmachen. IBM beziffert die durchschnittlichen Kosten einer Datenpanne 2026 auf 4,88 Millionen US-Dollar, wobei durch Phishing initiierte Angriffe regelmäßig im oberen Kostensegment landen. Die Bedrohung ist nicht neu. Die Ausführung schon.
KI-generierte Spear-Phishing-Mails bestehen mittlerweile die meisten Grammatik- und Tonprüfungen problemlos. Deepfake-Vishing wird in BEC-Betrug gegen Finanzteams eingesetzt. Phishing-as-a-Service-Toolkits wie EvilProxy ermöglichen selbst wenig erfahrenen Angreifern überzeugende Adversary-in-the-Middle-Proxy-Angriffe, die Standard-MFA aushebeln.
Phishing-Bedeutung: Was steckt wirklich dahinter?
Phishing ist eine Form des Social Engineerings, bei der ein Angreifer eine vertrauenswürdige Entität imitiert, um das Opfer zur Preisgabe von Zugangsdaten, zum Klicken auf schädliche Links, zum Herunterladen von Malware oder zur Überweisung von Geld zu verleiten. Im MITRE-ATT&CK-Framework ist Phishing unter Initial Access (TA0001) eingeordnet — konkret T1566.001, T1566.002 und T1566.003. Es handelt sich nicht um eine Randtechnik, sondern um die Eingangstür, durch die Ransomware-Gruppen, staatliche APTs und Betrüger eintreten.
Arten von Phishing-Angriffen
E-Mail-Phishing
Die häufigste Variante. Massenhaft versendete E-Mails imitieren legitime Absender. Selbst eine Klickrate von 0,1 Prozent bei 100.000 Empfängern ergibt 100 kompromittierte Konten. Moderne Kampagnen nutzen ähnlich klingende Domains, HTML-Köderseiten auf legitimen Cloud-Diensten und URL-Kürzer.
Spear-Phishing
Gezielt, personalisiert und deutlich gefährlicher. Der Angreifer recherchiert das Opfer und erstellt eine kontextuell präzise Nachricht. LLMs haben die Kosten für das Erstellen überzeugender, personalisierter Köder auf nahezu null gesenkt.
Whaling
Spear-Phishing gezielt auf Führungskräfte oder Vorstandsmitglieder. Executive-Zugangsdaten ermöglichen Zugriff auf sensible Systeme und autorisieren Überweisungen.
Smishing und Vishing
Smishing nutzt SMS, Vishing Sprachanrufe. Vishing hat mit KI-Stimmklonen stark zugenommen.
Adversary-in-the-Middle Phishing
Toolkits wie EvilProxy fungieren als Reverse-Proxys. Das Opfer authentifiziert sich inklusive MFA — der Proxy fängt das Session-Token in Echtzeit ab. TOTP-basiertes MFA wird vollständig ausgehebelt.
Anatomie einer Phishing-E-Mail
Absender-Spoofing: Lookalike-Domains oder direktes Spoofing bei falsch konfiguriertem DMARC. Erschreckend viele Unternehmensdomains setzen noch immer p=none in ihrer DMARC-Policy.
Köder-Inhalt: Dringlichkeit und Autorität sind die psychologischen Hebel. Nachrichten wie Ihr Konto wird in 24 Stunden gesperrt aktivieren reaktives Denken.
Schadhafte Nutzlast: Ein Link zu einer Credential-Harvesting-Seite, ein makrofähiges Office-Dokument oder ein QR-Code, der URL-Filter in E-Mail-Security-Gateways umgeht.
So erkennen Sie Phishing-E-Mails
Für Endanwender
Prüfen Sie die tatsächliche Absenderdomain in den E-Mail-Headern, nicht nur den Anzeigenamen. Fahren Sie über Links, bevor Sie klicken. Seien Sie skeptisch bei E-Mails, die Dringlichkeit rund um Zugangsdaten oder Zahlungen erzeugen.
Für Security-Teams
Setzen Sie DMARC auf p=reject durch. Implementieren Sie ein Secure Email Gateway mit Sandbox für Anhänge. Bauen Sie SIEM-Detektionen für Lookalike-Domain-Registrierungen und verdächtige OAuth-Konsent-Gewährungen auf. Im Rahmen eines Vulnerability-Management-Programms sollten Identitäts- und E-Mail-Hygiene als fester Bestandteil gelten.
Phishing-Prävention: Das Verteidigungsschichtmodell
Technische Kontrollen
E-Mail-Authentifizierung mit SPF, DKIM und DMARC auf p=reject ist Grundvoraussetzung. EDR-Tools mit Verhaltensanalyse erkennen Post-Click-Malware-Ausführung. Für Cloud-Umgebungen ist Cloud Security essenziell, da gestohlene Cloud-Zugangsdaten den Angriffsradius dramatisch vergrößern.
Identitätskontrollen
Phishing-resistente MFA via FIDO2 oder WebAuthn ist die wirkungsvollste Einzelmaßnahme. Cloud Security Posture Management sollte diese Identitätshygiene als Richtlinie durchsetzen.
Erkennung und Reaktion
Ein Phishing-Response-Playbook ist unverzichtbar. Secret Detection kann kompromittierte Tokens erkennen, bevor sie zur Datenexfiltration genutzt werden.
Phishing im Kontext der gesamten Sicherheitsarchitektur
Phishing ist nur der Einstieg. Nach dem ersten Zugriff folgen Credential-Dumping, Lateral Movement und Ransomware-Deployment. Wenn Code Security Lücken aufweist, kann ein einziges gestohlenes Entwickler-Credential die gesamte Infrastruktur kompromittieren. Auch aus Sicht der Compliance — ISO 27001, SOC 2, NIS2 — sind E-Mail-Sicherheit und Phishing-Kontrollen explizite Anforderungen.
KI-gestütztes Phishing 2026
LLMs haben die sprachlichen Erkennungsmerkmale von Phishing-Mails weitgehend eliminiert. Verhaltensbasierte Erkennung und der Einsatz von LLMs auf der Abwehrseite übertreffen heute statische, signaturbasierte Erkennungsmethoden. Aktuelle Beiträge finden sich im SecRails Blog.

