Phishing ist der Versuch, sich über vorgetäuschte vertrauenswürdige Identitäten an sensitive Daten heranzuarbeiten. Klassisch erfolgt das per E-Mail mit gefälschten Bank- oder Plattform-Logos und einem Link zu einer täuschend echten Anmeldemaske. Die dort eingegebenen Daten landen direkt beim Angreifer.
Varianten sind zahlreich. Spear Phishing zielt auf einzelne Personen mit personalisierten Inhalten. Whaling adressiert hochrangige Entscheidungsträger. Smishing nutzt SMS, Vishing Telefonanrufe. Bei Business E-Mail Compromise gibt sich ein Angreifer als CEO oder Geschäftspartner aus und löst eilige Überweisungen aus. Moderne Phishing-Kits nutzen sogar Reverse Proxies, um Mehr-Faktor-Authentifizierung in Echtzeit zu umgehen.
Wirksamer Schutz kombiniert Technik und Schulung. Mail-Filter, DMARC/DKIM/SPF, URL-Rewriting und Browser-Schutz reduzieren das Volumen. 2-Faktor-Authentifizierung mit phishing-resistenten Methoden wie FIDO2-Hardware-Tokens entwertet die meisten Phishing-Erfolge. Regelmäßige Schulungen und realistische Simulationen halten das Bewusstsein der Belegschaft hoch. Wer auf reine Technik setzt, hat nur die halbe Geschichte.