Was ist Phishing?
Phishing bezeichnet Angriffe, bei denen Täter sich als vertrauenswürdige Stelle ausgeben (z. B. Bank, Vorgesetzter, Lieferdienst), um Opfer zur Preisgabe von Passwörtern, TANs oder anderen sensiblen Daten zu bewegen oder sie zum Klicken auf Schadlinks bzw. Öffnen von Anhängen zu verleiten. Typische Kanäle sind E-Mails, Messaging-Dienste und gefälschte Webseiten (Login-Kopien).
Typische Formen
- Mass-Phishing: Generische Mails an viele Empfänger; oft mit Dringlichkeit oder Belohnung.
- Spear-Phishing: Gezielt auf Einzelpersonen oder Rollen (z. B. Finanzen, IT) zugeschnitten.
- Credential-Phishing: Gefälschte Login-Seiten, auf denen Nutzer Benutzername und Passwort eingeben – die Daten gehen direkt an Angreifer.
- KI-gestütztes Phishing: Mit GenAI erzeugte, sprachlich und inhaltlich sehr realistische Texte, die Erkennung erschweren.
Zusammenhang mit MFA
Klassische MFA mit SMS oder App-Codes (TOTP) schützt vor reinem Passwortdiebstahl, aber nicht vor Phishing: Opfer können Passwort und aktuellen Code auf einer gefälschten Seite eingeben. Phishing-resistente MFA (z. B. FIDO2/WebAuthn, Passkeys) ist an die echte Domain gebunden und funktioniert auf Phishing-Seiten nicht.
Schutz vor Phishing
- Awareness & Schulung: Mitarbeitende für typische Muster sensibilisieren (Absender prüfen, Links nicht unbedacht klicken, verdächtige Anhänge melden).
- Phishing-resistente MFA für sensible und Admin-Zugänge – bricht den Nutzen gestohlener Zugangsdaten.
- E-Mail-Filter & Link-Scanning: Reduzieren Volumen und Klickrate, ersetzen aber keine Awareness.
- Klare Meldewege: Wer einen Verdacht hat, soll ihn schnell melden können (z. B. an IT/Security).
Kurz gesagt
Phishing zielt darauf ab, Zugangsdaten oder Klicks durch Täuschung zu erlangen. Awareness, phishing-resistente MFA für kritische Zugänge und klare Meldewege sind zentrale Gegenmaßnahmen.