Phishing erkennen: Mitarbeiter-Awareness im Betrieb aufbauen

Ein Mitarbeitender in einer Buchhaltung bekommt eine E-Mail von der Geschäftsführerin. Sie ist auf einer Messe, hat gerade keinen Laptop dabei und braucht dringend eine Überweisung von 12.400 Euro an einen neuen Lieferanten. Morgen soll sie das Warenpaket abgehoben haben, sonst geht das Geschäft verloren. Bitte diskret und schnell.

Der Mitarbeitende überweist. Die Geschäftsführerin war nie auf einer Messe. Die E-Mail kam von einer Adresse, die ihrer zum Verwechseln ähnlich sah.

Das ist CEO-Fraud, und es funktioniert. Nicht weil der Mitarbeitende naiv war, sondern weil die Nachricht so gestaltet war, dass sie plausibel klang, und weil im Betrieb kein Prozess existierte, der solche Anfragen automatisch zur telefonischen Rückfrage zwingt.

Wie Phishing 2026 aussieht

Die klassischen Erkennungsmerkmale von Phishing gelten immer noch, aber sie reichen nicht mehr als alleinige Erkennungsstrategie. Rechtschreibfehler, unpersönliche Anrede und offensichtlich falsche Absenderadressen sind die Angriffe, die schon der Spamfilter abfängt.

Relevante Angriffe heute sehen anders aus.

KI-generierte Nachrichten. Kriminelle nutzen KI-Dienste, um Phishing-Texte in einwandfreiem Deutsch zu erstellen, die den Ton des vorgeblichen Absenders imitieren. Wenn Ihr Geschäftspartner öffentlich schreibt (LinkedIn, Website, Pressemitteilungen), kann ein Angriff seinen Stil überzeugend nachahmen.

Spear Phishing. Gezielte Angriffe auf konkrete Personen in einem Unternehmen. Der Angreifer recherchiert vorher: Wer ist für Überweisungen zuständig? Wer hat Zugang zu welchen Systemen? Die Nachricht ist personalisiert und enthält Details, die nur jemand kennen würde, der das Unternehmen kennt. Diese Details kommen oft aus LinkedIn-Profilen, Unternehmenswebseiten oder früheren Datenlecks.

QR-Phishing. Angreifer schicken E-Mails mit QR-Codes statt mit Links. Technische E-Mail-Filter prüfen URLs, keine Bild-Codes. Wer den QR-Code mit dem Handy scannt, landet auf einer gefälschten Seite, die technisch unauffällig ist. Diese Methode umgeht viele automatisierte Schutzmechanismen.

Business Email Compromise. In manchen Fällen haben Angreifer echten Zugriff auf ein E-Mail-Konto, etwa durch ein gehacktes Passwort. Sie lesen Monate lang mit, lernen Gesprächsverläufe kennen und greifen im richtigen Moment ein: mitten in einer echten Korrespondenz über eine offene Rechnung, mit einer gefälschten IBAN.

Warum Technik allein nicht ausreicht

Technische Maßnahmen sind wichtig und gehören zum Basisschutz. E-Mail-Filter mit SPF, DKIM und DMARC blockieren einen großen Teil automatisierter Phishing-Mails. Microsoft Defender oder vergleichbare Produkte prüfen Links in E-Mails in Echtzeit und blockieren bekannte Phishing-Seiten.

Aber Technik hat eine Grenze: Sie filtert bekannte Muster. Gezielte Angriffe, die sorgfältig vorbereitet sind, enthalten oft keine bekannten bösartigen URLs, keinen Anhang mit Malware und keine technisch verdächtigen Merkmale. Die Mail ist technisch sauber. Sie ist nur inhaltlich darauf ausgelegt, dass jemand etwas tut, was er nicht tun sollte.

An diesem Punkt endet der Schutz durch Filter und beginnt der Schutz durch Menschen.

Was Mitarbeitende können müssen

Mitarbeitende müssen drei Dinge können: Phishing erkennen, wissen was zu tun ist, und sich trauen zu melden.

Das klingt simpel. In der Praxis fehlt oft das Dritte. Wer auf einen Link geklickt hat, schämt sich und hofft, dass nichts passiert. Diese Zeitverzögerung zwischen Klick und Meldung ist oft der Unterschied zwischen eingrenzbarem Schaden und unkontrollierter Ausbreitung.

Merkmale, die Mitarbeitende erkennen sollen:

• Absenderadresse stimmt nicht mit dem angezeigten Namen überein. Der angezeigte Name "Max Müller" kann jeder setzen. Die tatsächliche Absenderadresse sieht man oft erst, wenn man sie im E-Mail-Client aufklappt.
• Künstliche Dringlichkeit und Zeitdruck. "Heute noch", "sofort", "ich bin nicht erreichbar" sind klassische Muster, die das Nachdenken abkürzen sollen.
• Anforderungen außerhalb normaler Prozesse. Überweisungen ohne Rechnung, Passwortangaben außerhalb bekannter Systeme, Dateidownloads von unbekannten Quellen.
• Im Zweifel: anrufen. Nicht an die Nummer in der E-Mail, sondern an eine bekannte Nummer aus dem Telefonbuch oder dem eigenen System.

Schulungen und simulierte Phishing-Tests

Eine einmalige Pflichtschulung pro Jahr macht Mitarbeitende nicht sicherer. Sie sorgt dafür, dass eine Pflicht erfüllt ist. Der Effekt verpufft nach wenigen Wochen.

Was tatsächlich wirkt:

Kurze, regelmäßige Lernimpulse. 10-Minuten-Trainings alle zwei Monate, die ein aktuelles Angriffsmuster zeigen und wie man es erkennt, sind wirksamer als eine zweistündige Jahresschulung. Konkrete Beispiele mit echten Screenshots aus aktuellen Kampagnen sind einprägsamer als abstrakte Erklärungen.

Simulierte Phishing-Tests. Kontrollierte Phishing-Mails, die an die eigene Belegschaft geschickt werden, ohne dass diese es weiß. Wer klickt, landet auf einer Lernseite und erfährt, warum die Mail verdächtig war. Die Klickraten über mehrere Testphasen zeigen, ob sich das Verhalten verbessert.

Wichtig bei Phishing-Simulationen: Die Ergebnisse dürfen nicht dafür genutzt werden, einzelne Mitarbeitende zu bestrafen oder vorzuführen. Wer einen Klick gemeldet hat, hat das Richtige getan. Wer geklickt hat und nichts gemeldet hat, braucht Unterstützung, keine Sanktion. Wenn Simulationen als Kontrollinstrument eingesetzt werden, hören Mitarbeitende auf, Vorfälle zu melden. Dann ist der Schaden größer als der Nutzen.

Meldewege im Betrieb

Jeder Mitarbeitende muss wissen: Wen rufe ich an, wenn ich auf einen Link geklickt habe? Was passiert dann?

Der Meldeprozess muss einfach sein. Eine E-Mail an eine allgemeine Adresse, die vielleicht morgen gelesen wird, reicht nicht. Für Sicherheitsvorfälle braucht es einen direkten Weg: Telefonnummer des IT-Supports, klare Ansage, was der Mitarbeitende sofort tun soll (Passwort ändern? Gerät trennen? Warten?).

Und die Kultur muss stimmen. In Unternehmen, wo Fehler bestraft werden, werden Phishing-Klicks nicht gemeldet. In Unternehmen, wo eine Meldung als "gut gemacht, du hast das Problem erkannt und sofort gehandelt" bewertet wird, werden sie gemeldet, und der Schaden bleibt kleiner.

Das ist keine Soft-Skill-Aussage. Es ist eine Risikomanagement-Aussage. Wer einen Vorfall 24 Stunden verzögert meldet, weil er Angst vor Konsequenzen hat, ermöglicht in dieser Zeit die Ausbreitung von Malware, die Exfiltration von Daten oder weitere Angriffe auf andere Systeme.

Was ein sinnvoller Basisschutz kostet

Awareness-Schulungen und Phishing-Simulationen sind keine teuren Maßnahmen. Anbieter wie KnowBe4, Hornetsecurity oder vergleichbare Dienste bieten Plattformen mit Schulungsmodulen und simulierten Tests für wenige Euro pro Nutzer und Monat.

Für ein Unternehmen mit 20 Mitarbeitenden liegen die Kosten für eine Awareness-Plattform bei 20 bis 60 Euro pro Monat. Das Risiko, das sie reduzieren, ist deutlich teurer: ein CEO-Fraud-Schaden beginnt typischerweise im fünfstelligen Bereich.

Die technische Seite, also E-Mail-Filter, MFA, Defender-Integration, gehört ebenfalls zum Basisschutz und ist für Microsoft-365-Kunden mit einem guten Teil der Premium-Lizenz bereits abgedeckt.

Zusammenspiel von Technik und Mensch

Sicherheit gegen Phishing funktioniert in zwei Schichten. Die erste Schicht sind technische Maßnahmen: E-Mail-Filter, MFA, Conditional Access, Defender. Sie fangen die Masse ab.

Die zweite Schicht sind Mitarbeitende, die wissen, was sie tun sollen, wenn eine Mail verdächtig wirkt. Sie fangen das ab, was die Technik durchlässt.

Keine der beiden Schichten ist allein ausreichend. Unternehmen, die nur auf Technik setzen, sind anfällig für gezielte Angriffe. Unternehmen, die nur auf Schulungen setzen, haben unnötig viele vermeidbare Angriffe, die ein Filter abgefangen hätte.

ITCC richtet den technischen Basisschutz ein und begleitet bei der Auswahl einer Awareness-Plattform. Wenn Sie wissen wollen, wie gut Ihr Unternehmen aktuell aufgestellt ist, sprechen Sie uns an.