Trace Id is missing
Zu Hauptinhalt springen
Microsoft Security

Was ist Phishing?

Phishingangreifer zielen darauf ab, vertrauliche Daten zu stehlen oder unbrauchbar zu machen. Dazu erschleichen sie sich personenbezogene Informationen wie Kennwörter und Kreditkartennummern.

Die verschiedenen Arten von Phishingangriffen

Phishingangriffe gehen von Betrügern aus, die sich als vertrauenswürdiger Absender tarnen, und können den Zugriff auf vertrauliche Informationen jeglicher Art ermöglichen. Genauso wie Technologien entwickeln sich auch Cyberangriffe ständig weiter. Erfahren Sie mehr über die am weitesten verbreiteten Phishingarten.

E-Mail-Phishing
Diese häufigste Form des Phishings nutzt Taktiken wie gefälschte Hyperlinks, um die E-Mail-Empfänger zur Weitergabe personenbezogener Daten zu bewegen. Angreifer geben sich oft als Vertreter großer Kontoanbieter wie Microsoft oder Google oder sogar als Kollegen aus.

Phishing durch Schadsoftware
Bei dieser ebenfalls weit verbreiteten Art von Phishingangriffen wird Schadsoftware eingeschleust, die als vertrauenswürdige E-Mail-Anlage getarnt ist (z. B. ein Lebenslauf oder ein Kontoauszug). In einigen Fällen kann das Öffnen einer mit Schadsoftware infizierten Anlage ganze IT-Systeme lahmlegen.

Spear-Phishing
Während Phishingangreifer meist nach dem Gießkannenprinzip vorgehen, zielt Spear-Phishing auf bestimmte Personen ab. Es geht um das Ausspionieren von Informationen über deren berufliches und soziales Leben. Diese Angriffe sind stark auf Einzelpersonen abgestimmt, sodass grundlegende Maßnahmen der Cybersicherheit besonders effektiv umgangen werden können.

Whaling
Wenn es bösartige Akteure auf hochrangige Persönlichkeiten wie eine Führungskraft oder einen Prominenten abgesehen haben, spricht man von Whaling. Diese Betrüger stellen oft umfangreiche Nachforschungen über die Zielperson an, um einen günstigen Zeitpunkt für den Diebstahl von Anmeldeinformationen oder anderen vertraulichen Daten zu finden. Wer viel zu verlieren hat, ist für Whaling-Angreifer ein besonders lohnendes Ziel.

Smishing
Smishing ist eine Wortschöpfung aus „SMS" und „Phishing“. Dabei werden SMS verschickt, die als vertrauenswürdige Mitteilungen von Unternehmen wie Amazon oder FedEx getarnt sind. Menschen fallen besonders leicht auf SMS-Betrügereien herein, da Textnachrichten im Klartext übermittelt werden und persönlicher wirken.

Vishing
Bei Vishing-Kampagnen versuchen angebliche Call-Center-Agents, Menschen per Telefon zur Herausgabe vertraulicher Informationen zu bewegen. In vielen Fällen basieren diese Betrugsversuche auf Social Engineering, um die Opfer dazu zu bringen, Schadsoftware in Form einer App auf ihren Geräten zu installieren.

Gängige Phishingmethoden

Raffinierte Kommunikation
Die Angreifer sind darauf trainiert, ihre Opfer zur Preisgabe vertraulicher Daten zu bewegen, indem sie bösartige Nachrichten und Anlagen genau dort platzieren, wo Menschen nicht besonders aufmerksam sind (z. B. in E-Mail-Postfächern). Man geht zu leicht davon aus, dass die Nachrichten im Posteingang seriös sind. Aber Vorsicht: Phishing-E-Mails sehen oft harmlos und unauffällig aus. Um sich nicht täuschen zu lassen, sollten Sie die Hyperlinks und E-Mail-Adressen der Absender sorgfältig prüfen, bevor Sie darauf klicken.

Vorgetäuschte Dringlichkeit
Menschen fallen auf Phishing herein, weil sie denken, dass sie handeln müssen. Beispielsweise laden die Zielpersonen Schadsoftware herunter, die als Lebenslauf getarnt ist, weil sie dringend eine Stelle besetzen müssen. Oder sie geben ihre Bankdaten auf einer dubiosen Website ein, um ein Konto vor einem angeblich bevorstehenden Ablaufdatum zu retten. Das Erwecken einer falschen Dringlichkeit ist ein gängiger Trick, der funktioniert. Um Ihre Daten zu schützen, sollten Sie äußerst wachsam sein oder eine Technologie zum Schutz von E-Mails installieren, die Ihnen die Hauptarbeit abnimmt.

Falsches Vertrauen
Betrüger täuschen die Menschen, indem sie sich deren Vertrauen erschleichen. Sogar die umsichtigsten Personen fallen auf diese Betrugsmasche herein. Phishingangreifer geben sich als vertrauenswürdiger Ansprechpartner bei Google, einer bekannten Bank oder der Post aus, um Personen zu einer Handlung zu verleiten. Dabei merkt man oft erst zu spät, dass man betrogen wurde. Viele Phishingnachrichten bleiben unentdeckt, solange keine modernen Cybersicherheitsmaßnahmen implementiert werden. Schützen Sie Ihre privaten Daten mit einer E-Mail-Sicherheitstechnologie, die verdächtige Inhalte identifiziert und beseitigt, bevor diese im Posteingang landen.

Emotionale Beeinflussung
Böswillige Akteure setzen psychologische Methoden ein, damit die Zielperson erst handelt, bevor sie nachdenkt. Nachdem das Vertrauen zur vermeintlich vertrauenswürdigen Quelle aufgebaut und ein falsches Gefühl der Dringlichkeit erzeugt wurde, nutzen die Angreifer Emotionen wie Angst und Unbehagen aus, um ihr Ziel zu erreichen. Menschen neigen zu vorschnellen Entscheidungen, wenn ihnen finanzielle Verluste, juristische Schwierigkeiten oder der Entzug der Zugriffsrechte auf dringend benötigte Ressourcen angedroht wird. Vorsicht ist bei allen Nachrichten geboten, die sofortiges Handeln nahelegen – es könnte sich um Betrug handeln.

Die Risiken von Phishing-E-Mails

Ein erfolgreicher Phishingangriff kann schwerwiegende Folgen haben. Denkbar sind finanzielle Verluste, betrügerische Kreditkartenabbuchungen sowie Zugriffssperren auf Fotos, Videos und Dateien. Außerdem können Cyberkriminelle eine falsche Identität annehmen und Dritte gefährden.

Mögliche Folgen eines Angriffs für Arbeitgeber: Verlust von Firmenkapital, Offenlegung personenbezogener Daten von Kunden und Kollegen, Diebstahl oder Sperrung vertraulicher Dateien und nicht zuletzt Rufschädigung des Unternehmens. In vielen Fällen ist der Schaden nicht wiedergutzumachen.

Aber es gibt viele Lösungen zum Schutz vor Phishing – sowohl für den privaten als auch für den beruflichen Bereich.

Kurztipps zur Vermeidung von Phishing

Anzeigenamen hinterfragen

Überprüfen Sie die E-Mail-Adresse des Absenders, bevor Sie eine Nachricht öffnen. Der Anzeigename könnte eine Täuschung sein.

Rechtschreibung beachten

Rechtschreibfehler und fehlerhafte Grammatik sind ein typisches Merkmal von Phishing-E-Mails. Wenn Ihnen etwas verdächtig vorkommt, melden Sie das Problem.

Erst lesen, dann klicken

Bewegen Sie den Mauszeiger in seriös klingenden Inhalten über Hyperlinks, um die Linkadresse zu überprüfen.

Anrede lesen

Wenn Sie in der E-Mail nicht persönlich, sondern als „geschätzter Kunde“ angesprochen werden, dann seien Sie vorsichtig. Es könnte sich um einen Betrugsversuch handeln.

Signatur überprüfen

Werfen Sie einen Blick auf die Kontaktinformationen in der E-Mail-Fußzeile. Seriöse Absender fügen diese stets ein.

Vorsicht bei Drohungen

Bedrohliche Formulierungen wie „Ihr Konto wurde gesperrt“ sind in Phishing-E-Mails häufig anzutreffen.

Abwehr von Cyberbedrohungen

Phishingbetrug und andere Cyberbedrohungen entwickeln sich ständig weiter, aber es gibt viele Maßnahmen für den eigenen Schutz.

Eine Person, die in einem Serverraum arbeitet

Zero-Trust-Prinzipien umsetzen

Zero-Trust-Prinzipien wie Multi-Faktor-Authentifizierung, Just-Enough-Access und End-to-End-Verschlüsselung schützen Sie vor immer neuen Cyberbedrohungen.

Anwendungen und Geräte schützen

Nutzen Sie Microsoft Defender for Office 365 zur Erkennung, Abwehr und Reaktion auf Phishing und andere Cyberangriffe.

Sicherer Zugriff

Schützen Sie Benutzer vor raffinierten Angriffen und Ihr Unternehmen vor identitätsbasierten Bedrohungen.

Häufig gestellte Fragen

  • Das Hauptziel eines jeden Phishingbetrugs ist es, vertrauliche Informationen und Anmeldeinformationen zu stehlen. Seien Sie vorsichtig bei Nachrichten (per Telefon, E-Mail oder SMS), in denen Sie nach vertraulichen Daten gefragt oder aufgefordert werden, Ihre Identität nachzuweisen.

    Angreifer bemühen sich, bekannte Unternehmen zu imitieren. Sie verwenden die gleichen Logos, Designs und Oberflächen wie Markenanbieter oder Personen, die Ihnen vertraut sind. Bleiben Sie wachsam, und klicken Sie nur auf einen Link bzw. öffnen Sie nur eine Anlage, wenn Sie von der Echtheit der Nachricht überzeugt sind.

    Mithilfe dieser Tipps lassen sich Phishing-E-Mails erkennen:

    • Eindringliche Warnungen oder Handlungsaufforderungen (z. B. „sofort öffnen“)
    • Neue oder seltene Absender – praktisch jeder, der Ihnen erstmalig eine E-Mail schickt
    • Fehlerhafte Rechtschreibung und Grammatik (oft aufgrund schlechter Übersetzungen aus der Fremdsprache)
    • Verdächtige Links oder Anlagen – Hyperlinktext, der zu einer anderen IP-Adresse oder Domäne führt

    Kleinere Rechtschreibfehler (z. B. „micros0ft.com“ oder „rnicrosoft.com“)

    1. Schreiben Sie alle Einzelheiten des Angriffs auf, die Ihnen einfallen. Notieren Sie alle Informationen, die Sie möglicherweise weitergegeben haben, wie Benutzernamen, Kontonummern oder Kennwörter.
    2. Ändern Sie unverzüglich die Kennwörter der betroffenen Konten und aller anderen Konten, für die Sie dasselbe Kennwort verwenden.
    3. Stellen Sie sicher, dass Sie für jedes verwendete Konto die Multi-Faktor-Authentifizierung (oder zweistufige Authentifizierung) verwenden.
    4. Benachrichtigen Sie alle betroffenen Personen darüber, dass Ihre Daten kompromittiert wurden.
    5. Wenden Sie sich bei einem finanziellen Verlust oder Identitätsdiebstahl an die örtlichen Polizeibehörden. Melden Sie die unter Schritt 1 erfassten Details.

    Wenn Sie annehmen, dass Sie Opfer eines Phishingangriffs geworden sind, empfehlen wir die folgenden Schritte:

    Sobald Sie einem Angreifer einmal Daten übermittelt haben, gelangen diese wahrscheinlich schnell in die Hände weiterer Akteure. Sie müssen daher mit weiteren Phishing-E-Mails, SMS und Anrufen rechnen.

  • Wenn Sie eine verdächtige Nachricht in Ihrem Microsoft Outlook-Posteingang entdecken, wählen Sie auf der Multifunktionsleiste die Option Nachricht melden und anschließend Phishing aus. Dies ist die schnellste Methode, um die Nachricht aus dem Posteingang zu entfernen. Aktivieren Sie im Posteingang von Outlook.com das Kontrollkästchen neben der verdächtigen Nachricht, klicken Sie auf den Pfeil neben Junk-E-Mail, und wählen Sie dann Phishing aus.

    Wenden Sie sich bei einem finanziellen Verlust oder Identitätsdiebstahl an die örtlichen Polizeibehörden. Meist gibt es eine Website, die sich mit der Lösung von Problemen dieser Art befasst.

  • Nein. Phishing erfolgt zwar am häufigsten per E-Mail, aber Betrüger nutzen auch Telefonanrufe, SMS und sogar Websuchen, um an vertrauliche Informationen zu gelangen.

  • Spam-E-Mails sind unerwünschte Nachrichten mit unwichtigem oder kommerziellem Inhalt. Diese locken möglicherweise mit schnellem Geld, unseriösen Angeboten oder falschen Rabatten.

    Phishing ist ein zielgerichteter (und in der Regel besser getarnter) Versuch, an vertrauliche Daten heranzukommen. Die Adressaten werden zur freiwilligen Preisgabe von Konto- und Anmeldeinformationen verleitet.

Microsoft Security folgen