Secrails LogoSECRAILS
Zurück zum BlogCybersecurity-Einblicke

Was ist Phishing? Bedeutung, Angriffsbeispiele und Prävention 2026

secrails··10 Min.
Phishing PreventionCybersecurity InsightsSocial EngineeringThreat DetectionEmail Security
Phishing-Angriff-Konzept mit einem leuchtenden Haken, der einen Unternehmens-E-Mail-Umschlag durchdringt, auf dunklem digitalem Hintergrund mit roten und bernsteinfarbenen Akzenten

Phishing bleibt der häufigste Einstiegsvektor – und wird immer ausgefeilter

91 Prozent aller Cyberangriffe beginnen mit einer Phishing-E-Mail. Der Verizon 2026 Data Breach Investigations Report bestätigt, dass Phishing und Pretexting den Großteil aller Social-Engineering-Vorfälle ausmachen. IBM beziffert die durchschnittlichen Kosten einer Datenpanne 2026 auf 4,88 Millionen US-Dollar, wobei durch Phishing initiierte Angriffe regelmäßig im oberen Kostensegment landen. Die Bedrohung ist nicht neu. Die Ausführung schon.

KI-generierte Spear-Phishing-Mails bestehen mittlerweile die meisten Grammatik- und Tonprüfungen problemlos. Deepfake-Vishing wird in BEC-Betrug gegen Finanzteams eingesetzt. Phishing-as-a-Service-Toolkits wie EvilProxy ermöglichen selbst wenig erfahrenen Angreifern überzeugende Adversary-in-the-Middle-Proxy-Angriffe, die Standard-MFA aushebeln.

Phishing-Bedeutung: Was steckt wirklich dahinter?

Phishing ist eine Form des Social Engineerings, bei der ein Angreifer eine vertrauenswürdige Entität imitiert, um das Opfer zur Preisgabe von Zugangsdaten, zum Klicken auf schädliche Links, zum Herunterladen von Malware oder zur Überweisung von Geld zu verleiten. Im MITRE-ATT&CK-Framework ist Phishing unter Initial Access (TA0001) eingeordnet — konkret T1566.001, T1566.002 und T1566.003. Es handelt sich nicht um eine Randtechnik, sondern um die Eingangstür, durch die Ransomware-Gruppen, staatliche APTs und Betrüger eintreten.

Arten von Phishing-Angriffen

E-Mail-Phishing

Die häufigste Variante. Massenhaft versendete E-Mails imitieren legitime Absender. Selbst eine Klickrate von 0,1 Prozent bei 100.000 Empfängern ergibt 100 kompromittierte Konten. Moderne Kampagnen nutzen ähnlich klingende Domains, HTML-Köderseiten auf legitimen Cloud-Diensten und URL-Kürzer.

Spear-Phishing

Gezielt, personalisiert und deutlich gefährlicher. Der Angreifer recherchiert das Opfer und erstellt eine kontextuell präzise Nachricht. LLMs haben die Kosten für das Erstellen überzeugender, personalisierter Köder auf nahezu null gesenkt.

Whaling

Spear-Phishing gezielt auf Führungskräfte oder Vorstandsmitglieder. Executive-Zugangsdaten ermöglichen Zugriff auf sensible Systeme und autorisieren Überweisungen.

Smishing und Vishing

Smishing nutzt SMS, Vishing Sprachanrufe. Vishing hat mit KI-Stimmklonen stark zugenommen.

Adversary-in-the-Middle Phishing

Toolkits wie EvilProxy fungieren als Reverse-Proxys. Das Opfer authentifiziert sich inklusive MFA — der Proxy fängt das Session-Token in Echtzeit ab. TOTP-basiertes MFA wird vollständig ausgehebelt.

Anatomie einer Phishing-E-Mail

Absender-Spoofing: Lookalike-Domains oder direktes Spoofing bei falsch konfiguriertem DMARC. Erschreckend viele Unternehmensdomains setzen noch immer p=none in ihrer DMARC-Policy.

Köder-Inhalt: Dringlichkeit und Autorität sind die psychologischen Hebel. Nachrichten wie Ihr Konto wird in 24 Stunden gesperrt aktivieren reaktives Denken.

Schadhafte Nutzlast: Ein Link zu einer Credential-Harvesting-Seite, ein makrofähiges Office-Dokument oder ein QR-Code, der URL-Filter in E-Mail-Security-Gateways umgeht.

So erkennen Sie Phishing-E-Mails

Für Endanwender

Prüfen Sie die tatsächliche Absenderdomain in den E-Mail-Headern, nicht nur den Anzeigenamen. Fahren Sie über Links, bevor Sie klicken. Seien Sie skeptisch bei E-Mails, die Dringlichkeit rund um Zugangsdaten oder Zahlungen erzeugen.

Für Security-Teams

Setzen Sie DMARC auf p=reject durch. Implementieren Sie ein Secure Email Gateway mit Sandbox für Anhänge. Bauen Sie SIEM-Detektionen für Lookalike-Domain-Registrierungen und verdächtige OAuth-Konsent-Gewährungen auf. Im Rahmen eines Vulnerability-Management-Programms sollten Identitäts- und E-Mail-Hygiene als fester Bestandteil gelten.

Phishing-Prävention: Das Verteidigungsschichtmodell

Technische Kontrollen

E-Mail-Authentifizierung mit SPF, DKIM und DMARC auf p=reject ist Grundvoraussetzung. EDR-Tools mit Verhaltensanalyse erkennen Post-Click-Malware-Ausführung. Für Cloud-Umgebungen ist Cloud Security essenziell, da gestohlene Cloud-Zugangsdaten den Angriffsradius dramatisch vergrößern.

Identitätskontrollen

Phishing-resistente MFA via FIDO2 oder WebAuthn ist die wirkungsvollste Einzelmaßnahme. Cloud Security Posture Management sollte diese Identitätshygiene als Richtlinie durchsetzen.

Erkennung und Reaktion

Ein Phishing-Response-Playbook ist unverzichtbar. Secret Detection kann kompromittierte Tokens erkennen, bevor sie zur Datenexfiltration genutzt werden.

Phishing im Kontext der gesamten Sicherheitsarchitektur

Phishing ist nur der Einstieg. Nach dem ersten Zugriff folgen Credential-Dumping, Lateral Movement und Ransomware-Deployment. Wenn Code Security Lücken aufweist, kann ein einziges gestohlenes Entwickler-Credential die gesamte Infrastruktur kompromittieren. Auch aus Sicht der Compliance — ISO 27001, SOC 2, NIS2 — sind E-Mail-Sicherheit und Phishing-Kontrollen explizite Anforderungen.

KI-gestütztes Phishing 2026

LLMs haben die sprachlichen Erkennungsmerkmale von Phishing-Mails weitgehend eliminiert. Verhaltensbasierte Erkennung und der Einsatz von LLMs auf der Abwehrseite übertreffen heute statische, signaturbasierte Erkennungsmethoden. Aktuelle Beiträge finden sich im SecRails Blog.

Frequently Asked Questions

Was ist Phishing in einfachen Worten?

Phishing ist ein Cyberangriff, bei dem ein Krimineller eine vertrauenswürdige Person oder Organisation imitiert, um Sie zur Preisgabe von Passwörtern, zum Klicken auf schädliche Links oder zur Überweisung von Geld zu verleiten. Es nutzt menschliche Psychologie statt technischer Schwachstellen aus, was es auch gegen gut gesicherte Systeme wirksam macht.

Wie erkenne ich eine Phishing-E-Mail?

Prüfen Sie die tatsächliche Absenderdomain in den E-Mail-Headern auf Lookalike-Schreibweisen. Seien Sie bei E-Mails, die Dringlichkeit rund um Kontozugang oder Zahlungen erzeugen, sehr skeptisch und fahren Sie über Links, bevor Sie klicken. Für Security-Teams ist die Durchsetzung von DMARC mit p=reject und der Einsatz von E-Mail-Sandboxing entscheidend.

Was ist der Unterschied zwischen Phishing und Spear-Phishing?

Standard-Phishing setzt auf Masse — derselbe Köder wird an Tausende oder Millionen von Zielen gesendet. Spear-Phishing ist chirurgisch präzise: Der Angreifer recherchiert eine bestimmte Person oder Organisation und erstellt eine hochpersonalisierte Nachricht. In 2026 haben LLMs Spear-Phishing dramatisch günstiger gemacht.

Schützt Multi-Faktor-Authentifizierung vor Phishing?

Das hängt von der MFA-Art ab. TOTP-Codes und Push-Benachrichtigungen sind nicht phishing-resistent — AiTM-Toolkits können Live-Session-Tokens auch nach der MFA-Verifizierung abfangen. FIDO2- und WebAuthn-Hardware-Keys sowie Passkeys sind phishing-resistent, da die kryptografische Herausforderung an die legitime Domain gebunden ist.

Was soll ich tun, wenn ich auf einen Phishing-Link geklickt habe?

Handeln Sie schnell. Trennen Sie sofort die Netzwerkverbindung, wenn Sie Malware-Download vermuten, ändern Sie alle Passwörter, die Sie auf der betrügerischen Seite eingegeben haben, und melden Sie den Vorfall Ihrem Security-Team. Dieses sollte die E-Mail aus allen Postfächern entfernen und aktive Sitzungen invalidieren sowie auf verdächtige OAuth-Konsent-Gewährungen prüfen.

Wie wird Phishing ausgesprochen und woher kommt das Wort?

Phishing wird genau wie das englische Wort fishing ausgesprochen — mit einem weichen sh-Laut. Die ph-Schreibweise stammt aus der Phone-Phreaking-Hackersubkultur der 1970er Jahre, die ph als stilistische Alternative zu f in vielen technischen Begriffen übernahm. Die Metapher ist beabsichtigt — der Angreifer wirft einen Köder aus und wartet, bis ein Opfer anbeißt.

Phishing kommt rein. Sorgen Sie dafür, dass es nicht weit kommt.

SecRails hilft Ihnen, exponierte Secrets, falsch konfigurierte Cloud-Identitäten und verwundbare Code-Pfade zu erkennen — bevor Angreifer sie nach einem Phishing-Angriff ausnutzen.

Secret Detection entdecken