Wirtschaft | Anzeige
Nachricht vom 15.08.2025 
Phishing im Alltag: Neue Maschen und wie man sie bestens erkennt
ANZEIGE 18+ | Hinweis: Dieser Artikel ist für ein erwachsenes Publikum bestimmt und behandelt Themen (beinhaltet ggf. Links), die sich an Personen ab 18 Jahren richten. Phishing ist nicht nur eines´der größten Cybergefahren, sondern auch eine der lukrativsten. Während man früher viele Phishing-Versuche schon aus den Augenwinkeln erahnen konnte, sind Betrüger heute professioneller und weitaus raffinierter.
Aktuellen Cybercrime-Reports zufolge geht mehr als jeder dritte gemeldete Hack auf das Konto von Phishing-Methoden. Die Verlockung ist groß – besonders bei Cyberkriminellen, die so gezielt Privatpersonen und Unternehmen schädigen können.
So attackierten allein 2022 viermal so viele Gruppen kleine und mittelständische Betriebe (KMU) wie deren Großkonzern-Kollegen. Da vielerorts die Cyberabwehr für KMU schlichtweg fehlt, könnten die Folgen umso dramatischer sein.
Klassische Phishing-Methoden neu verpackt
E-Mail-Phishing bleibt die Königsdisziplin der Angreifer. Doch statt Massenmails werden heute gezielte „Spear-Phishing“-Kampagnen durchgeführt. Dabei wird das Opfer vorab recherchiert: Social-Media-Profile, berufliche Stationen, Hobbys – alles wird ausgewertet, um eine glaubwürdige Nachricht zu verfassen.
Ein Beispiel: Eine angebliche E-Mail vom „IT-Support“ kündigt ein dringendes Passwort-Update an. Sie enthält das richtige Firmenlogo, den echten Namen des Vorgesetzten und sogar interne Fachbegriffe. Die Fälschung ist nur an winzigen Details erkennbar, etwa einer leicht abweichenden Absenderadresse.
Auch die gute alte „Anruf-Falle“ ist zurück und heißt jetzt „Vishing“. Dabei werden mit KI-gestützter Sprachsynthese täuschend echte Stimmen von beispielsweise Bankmitarbeitern oder Amtsvertretern simuliert, um das Vertrauen des Opfers zu gewinnen und zur sofortigen Handlung zu bewegen.
KI und Deepfakes – Die neue Qualität digitaler Täuschung
Auch Kriminelle sind sich der Vorteile von künstlicher Intelligenz bewusst und nutzen diese gezielt: Im Handumdrehen können sie täuschend echte Fotos, Videos oder Audionachrichten erzeugen Mit Deepfakes können auch in Videokonferenzen Vertrauenserweckende Doppelgänger auftreten, die etwa einen Anweisungen geben oder vertrauliche Informationen abfragen.
So bezahlte beispielsweise in einem viel beachteten Fall eine Firma aus Düsseldorf mehrere Millionen Euro, weil der Geschäftsführer in einem Videoanruf eine Überweisung in aller Eile angefordert hatte. Erst einige Tage später wurde gemerkt, dass der Anruf ein Fake gewesen war.
Die Gefahr: Visuelle und akustische Authentizität sind für viele Menschen der letzte Prüfstein. Wenn selbst diese Sicherheit wegfällt, steigt das Risiko drastisch.
Mobile First: Warum Smartphones zum Lieblingsziel werden
Mehr als die Hälfte aller digitalen Interaktionen findet heute über das Smartphone statt – und genau dort setzen Angreifer an.
Smishing, also Phishing per SMS, ist besonders effektiv. Die Nachrichten sind kurz, wirken dringlich und enthalten oft einen Link, der direkt auf eine gefälschte Login-Seite führt. Noch tückischer sind Push-Benachrichtigungen, die wie Systemmeldungen aussehen.
Auf kleinen Bildschirmen ist es schwieriger, verdächtige URLs zu erkennen oder feine Designfehler zu bemerken. Dazu kommt, dass mobile Nutzer oft in Eile sind – und genau diese Ungeduld nutzen Angreifer aus. Hinzu kommt die große Zahl an installierten Apps, die Berechtigungen für Kamera, Mikrofon oder Standort haben. Werden diese kompromittiert, können Kriminelle nicht nur Daten stehlen, sondern auch das Gerät für weitere Angriffe missbrauchen – oft ohne, dass der Besitzer es sofort bemerkt.
Phishing in Nischenmärkten – Warum anonyme Plattformen im Vorteil sein können
Neben Banken, Online-Shops und E-Mail-Diensten geraten zunehmend spezialisierte Plattformen ins Visier. In vielen dieser Märkte sind sensible Kundendaten ein attraktives Ziel für Angreifer – je umfangreicher die gespeicherten Informationen, desto lohnender der Angriff.
Ein interessanter Gegenpol sind Online-Casinos, die KYC Prozesse nicht durchführen. Da hier keine persönlichen Ausweisdaten, Adressnachweise oder sensiblen Dokumente hinterlegt werden, haben Phishing-Kriminelle im Falle eines Angriffs deutlich weniger zu holen. Selbst wenn ein Konto kompromittiert würde, blieben vertrauliche Personendaten geschützt, weil sie schlicht nicht auf den Servern liegen.
Für Spieler bedeutet das: Weniger Risiko, Opfer von Identitätsdiebstahl zu werden. Auch gezielte Phishing-Mails, die auf gespeicherte Kundendaten zurückgreifen, sind hier kaum möglich. Natürlich gilt trotzdem, bei Ein- und Auszahlungen wachsam zu bleiben – doch der strukturelle Vorteil anonymer Plattformen liegt in der geringen Datenmenge, die potenziell abgegriffen werden kann.
Social Engineering – Wie Angreifer unser Vertrauen ausnutzen
Der technische Aspekt eines Phishing-Angriffs ist oft nur Mittel zum Zweck. Die eigentliche Waffe ist Psychologie.
Betrüger setzen gezielt Trigger ein:
Angst: „Ihr Konto wird in 24 Stunden gesperrt“
Dringlichkeit: „Nur noch heute gültig“
Autorität: „Anweisung der Geschäftsführung“
Neugier: „Sie haben einen Preis gewonnen“
Besonders wirkungsvoll ist die Kombination mehrerer Elemente, etwa ein scheinbar offizielles Schreiben, das eine sofortige Handlung verlangt und gleichzeitig mit Konsequenzen droht. Wer in diesem Moment nicht innehält, läuft Gefahr, in die Falle zu tappen.
So erkennen Sie verdächtige Nachrichten und Websites
Phishing lässt sich nicht immer auf den ersten Blick enttarnen, aber bestimmte Hinweise helfen:
1. Absender genau prüfen – selbst kleinste Abweichungen in der Domain sind verdächtig.
2. Links vor dem Klicken inspizieren – vollständige URL anzeigen lassen.
3. Auf Ton und Sprache achten – untypische Formulierungen oder Grammatikfehler sind Warnsignale.
4. Angebliche Dringlichkeit hinterfragen – echte Unternehmen setzen selten auf ultimativen Zeitdruck.
5. Zweitkanal nutzen – bei Unsicherheit telefonisch oder persönlich nachfragen.
Auch Unternehmen sollten interne Prozesse definieren, wie ungewöhnliche Anfragen zu verifizieren sind, bevor gehandelt wird.
Schutzmaßnahmen für Privatpersonen und Unternehmen
Ein mehrschichtiger Ansatz ist der Schlüssel:
Zwei-Faktor-Authentifizierung für alle wichtigen Konten
Passwortmanager für komplexe, einzigartige Passwörter
Regelmäßige Sicherheitsschulungen für Mitarbeiter
Technische Filter gegen verdächtige Mails und Websites
Sicherheits-Updates konsequent einspielen
Für Unternehmen lohnt sich zudem ein Incident-Response-Plan, der klar regelt, wer im Ernstfall welche Schritte einleitet. So lassen sich Schäden begrenzen und Vorfälle schneller aufklären.
Privatpersonen profitieren vor allem davon, regelmäßig ihr eigenes Online-Verhalten zu überprüfen: Welche Daten gebe ich preis? Über welche Kanäle kommuniziere ich? Welche Sicherheitseinstellungen habe ich aktiv? Bewusstsein ist die beste Verteidigung. (prm)
Hinweis zu den Risiken von Glücksspielen:
Glücksspiel kann süchtig machen. Spielen Sie verantwortungsbewusst und nutzen Sie bei Bedarf Hilfsangebote wie die Suchtberatung (Link: Bundeszentrale für gesundheitliche Aufklärung - Glücksspielsucht).
