Phishing zählt nach wie vor zu den größten Cyberrisiken für Unternehmen, öffentliche Stellen und Privatpersonen. Während viele dabei an täuschend echte E-Mails denken, die auf gefälschte Login-Seiten führen, hat sich die Bedrohung längst weiterentwickelt. Cyberkriminelle nutzen heute unterschiedlichste Wege, um an vertrauliche Daten zu gelangen – und das nicht nur digital.
Phishing bleibt eine zentrale Gefahr – aber nicht nur per E-Mail
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft E-Mail-basierte Phishing-Angriffe weiterhin als erhebliches Risiko ein. Über manipulierte Links oder infizierte Anhänge versuchen Angreifer, Zugangsdaten oder ganze Identitäten zu stehlen.
Doch die Bedrohung geht längst über den klassischen E-Mail-Kanal hinaus. Kriminelle nutzen jede Form der Kommunikation, um Vertrauen zu erschleichen und sensible Informationen zu erhalten – ob über Telefon, Kurznachrichten, Social-Media-Plattformen oder sogar physische Post.
Phishing ist kein rein digitales Problem
Viele gehen davon aus, dass Phishing nur im Internet stattfindet. Tatsächlich versuchen Täter aber auch über traditionelle Kanäle an Daten zu gelangen – etwa per Fax, Brief, Telefonanruf oder durch persönliche Ansprache.
Das Ziel bleibt immer dasselbe: Menschen dazu zu bringen, unbewusst sensible Informationen preiszugeben oder auf manipulierte Inhalte zu reagieren.
Neue Angriffspfade: Messenger, Videokonferenzen und Team-Chats
Mit der Zunahme digitaler Zusammenarbeit haben sich auch die Angriffsmethoden verändert. Kommunikationsplattformen wie Microsoft Teams, Slack oder Zoom sind inzwischen fester Bestandteil des Arbeitsalltags – und damit ein attraktives Ziel für Angreifer.
Beispielsweise kann während einer Videokonferenz ein vermeintlich seriöser Link geteilt werden, der tatsächlich auf eine gefälschte Website führt.
Sicherheitsforscher und auch Microsoft selbst warnen mittlerweile ausdrücklich vor dieser Form des Social Engineering über Kollaborationstools. Die meisten klassischen Phishing-Filter prüfen jedoch nur eingehende E-Mails – Chat- oder Meeting-Nachrichten bleiben häufig unkontrolliert.
Smishing, QR-Codes und hybride Angriffe
Phishing über SMS – auch „Smishing“ genannt – nimmt rasant zu. Laut dem Global Mobile Threat Report 2024 zielen mittlerweile rund 80 % aller Phishing-Webseiten auf mobile Endgeräte ab.
Kleine Smartphone-Displays, schnelle Klickbereitschaft und eingeschränkte Sicherheitsfunktionen begünstigen den Erfolg solcher Attacken. Besonders perfide: Nachrichten von angeblichen Paketdiensten oder Banken mit Tracking- oder Sicherheitslinks.
Auch QR-Codes werden zunehmend missbraucht. Täuschend echte Schreiben, gefälschte Strafzettel oder beklebte Ladesäulen enthalten QR-Codes, die auf betrügerische Webseiten führen. Polizeibehörden und Verbraucherschützer warnen daher regelmäßig vor dieser Methode, die digitale und analoge Täuschung kombiniert.
Wie Unternehmen sich schützen können
Phishing kennt keine Grenzen – weder technisch noch organisatorisch. Unternehmen sollten deshalb mehrschichtige Schutzstrategien etablieren:
- Sensibilisierung der Mitarbeitenden: Regelmäßige Schulungen zu aktuellen Angriffsmethoden.
- Mehrkanal-Schutz: Sicherheitslösungen nicht nur für E-Mail, sondern auch für Messenger, Cloud-Tools und mobile Geräte.
- Authentifizierungsverfahren: Zwei-Faktor-Authentifizierung (2FA) konsequent einsetzen.
- Notfallmanagement: Verdächtige Vorfälle intern melden und dokumentieren; bei Datenabfluss ggf. Datenschutzbehörde und Betroffene informieren (Art. 33 f. DSGVO).
- Rechtliche Dokumentation: Prozesse zur Reaktion und Meldung von Sicherheitsvorfällen sollten DSGVO-konform dokumentiert und regelmäßig überprüft werden.
Fazit: Phishing ist überall – Achtsamkeit und Struktur sind der beste Schutz
Phishing-Angriffe sind heute vielgestaltig und schwerer erkennbar als je zuvor. Unternehmen müssen ihre Sicherheitskonzepte laufend anpassen und Mitarbeitende aktiv einbinden.
Wer rechtzeitig sensibilisiert, technische Schutzmaßnahmen erweitert und datenschutzrechtliche Pflichten ernst nimmt, reduziert das Risiko erheblich – und zeigt zugleich Verantwortungsbewusstsein im Sinne der DSGVO.