Phishing bleibt eine der häufigsten Methoden für Angreifer, um Zugriff auf Unternehmensnetzwerke zu erhalten. Es ahmt die legitime tägliche Geschäftskommunikation nach und ist daher eine ideale Technik, um unbemerkt wertvolle Geschäftsinformationen zu sammeln. Im Bericht Cyber Security Breaches Survey 2025 der britischen Regierung war Phishing die häufigste Art von Datenlecks oder Angriffen, die von Unternehmen gemeldet wurden, die Vorfälle identifizierten; dies betraf 85 % von ihnen und entsprach 37 % aller Unternehmen insgesamt.
Awareness-Training muss eine geschäftliche Verpflichtung sein, nicht nur eine Compliance-Aufgabe. Ein einziger erfolgreicher Phishing-Versuch kann Anmeldedaten offenlegen, Zugriff auf interne Systeme gewähren und Probleme verursachen, die sich weit über den Posteingang eines einzelnen Mitarbeiters hinaus ausbreiten.
Das Problem ist, dass viele Organisationen immer noch auf einmalige Awareness-Bemühungen setzen, obwohl sich Phishing ständig verändert. Ein effektiveres Programm kann Mitarbeitern wiederholte Übung, klarere Berichterstattungsgewohnheiten und unterstützende Kontrollen bieten, die die Auswirkungen von Fehlern verringern.
Wie Phishing in einem geschäftlichen Kontext aussieht
Phishing im geschäftlichen Bereich hat sich über offensichtlich gefälschte E-Mails voller Rechtschreibfehler hinaus entwickelt. In der Praxis stoßen Mitarbeiter viel eher auf realistisch aussehende Versuche wie:
- Aufforderungen zur Kontoverifizierung
- Benachrichtigungen über geteilte Dokumente
- Anmeldeseiten für gängige Geschäftsplattformen
- Rechnungsfreigaben
- HR-Updates
- Nachrichten von vertrauenswürdigen Lieferanten oder internen Führungskräften.
Wenn ein Teammitglied antwortet, können Angreifer die gesammelten Informationen über Mitarbeiter oder Unternehmen nutzen, um Nachrichten überzeugender und realistischer zu gestalten, insbesondere in gezielteren Kampagnen.
Spear-Phishing, Identitätsdiebstahl von Führungskräften und das Sammeln von Anmeldedaten
Phishing-Schulungen müssen Teams auf mehrere Muster gleichzeitig vorbereiten. Spear-Phishing ist eine der häufigsten Varianten von Phishing. Anstatt eine allgemeine Nachricht an Tausende von Empfängern zu senden, passt der Angreifer die E-Mail an eine bestimmte Rolle, ein Projekt, einen Kollegen oder eine Lieferantenbeziehung an.
Die Nachricht wirkt glaubwürdig, da sie auf etwas basiert, das der Mitarbeiter realistischerweise erwarten würde. Diese Art von gezielten Angriffen wird oft durch Informationen, die von Unternehmens-Websites, öffentlichen Profilen oder anderen Online-Quellen gesammelt wurden, noch überzeugender gestaltet.
Eine weitere Variante von Phishing ist der Identitätsdiebstahl von Führungskräften, manchmal auch als CEO-Betrug bezeichnet. Hier ahmt der Angreifer eine Führungskraft oder einen wichtigen Stakeholder nach, um Dringlichkeit in Bezug auf eine Zahlung, eine Datei oder eine Abfrage von Anmeldedaten zu erzeugen. So wird das Personal unter Druck gesetzt, Geld oder Informationen zu überweisen, sofern die normalen Verifizierungsprozesse nicht eingehalten werden.
Ein drittes Muster ist das Sammeln von Anmeldedaten (Credential Harvesting). Bei diesen Angriffen wird der Mitarbeiter auf eine gefälschte Anmeldeseite geleitet, die darauf ausgelegt ist, Benutzernamen, Passwörter und manchmal sogar Einmalpasswort-Codes (OTP) abzugreifen.
Phishing-Schulungen müssen reale Geschäftsabläufe widerspiegeln, anstatt nur allgemeine Ratschläge zu geben. Viele Phishing-Seiten sind so gestaltet, dass sie Tools ähneln, die Mitarbeiter bereits jeden Tag nutzen.
Warum routinemäßige geschäftliche Nachrichten so effektiv sind
Phishing bleibt in Organisationen effektiv, weil es oft mit dem Tagesgeschäft verschmilzt. Eine gefälschte Aufforderung zur Anmeldung muss sich nur lange genug vertraut anfühlen, damit jemand im Autopilot-Modus handelt. Das Gleiche gilt für Lieferantennachrichten, Benachrichtigungen über geteilte Dokumente oder dringende interne Anfragen.
Deshalb sollten sich Schulungen nicht nur auf verdächtige Formulierungen oder schlechte Grammatik konzentrieren. Mitarbeiter müssen auch verstehen, wie Angreifer normale Arbeitsweisen ausnutzen. Überlege dir, wie deine Organisation arbeitet und wie du deinem Personal helfen kannst, Anfragen zu erkennen, die außerhalb der normalen Prozesse liegen, insbesondere wenn es um Geld, Anmeldedaten oder sensible Informationen geht.
Beispiele für aktuelle Datenlecks
Aktuelle Berichte über Datenlecks unterstreichen den Punkt, dass Phishing in Unternehmen mittlerweile weit über einfache Posteingangs-Betrügereien hinausgeht.
Laut Protons Data Breach Observatory wurde das Grußkartenunternehmen Hallmark Cards von der kriminellen Erpresser-Hackergruppe ShinyHunters angegriffen. Die Gruppe erlangte von Salesforce Datensätze, die zu Hallmark Cards gehörten, und setzte dem Unternehmen eine Erpressungsfrist. Letztendlich veröffentlichte die Gruppe 2,8 Millionen eindeutige Datensätze als Leak.
ShinyHunters ist sehr aktiv und hat in den letzten Monaten viele namhafte Unternehmen ins Visier genommen. Im Januar 2026 wurde die Bekleidungsmarke Canada Goose mit einem Datenleck von etwa 600.000 Kundendatensätzen in Verbindung gebracht. Die Daten stammten aus dem Leck eines Drittanbieters, das sich im August 2025 ereignete.
Diese Beispiele sind nützlich, weil sie zeigen, wie Phishing im geschäftlichen Umfeld heutzutage aussieht: nicht nur Täuschung im Posteingang, sondern Angriffe auf Auftragnehmer, Identitätssysteme, den internen Zugriff und die Vertrauensbeziehungen, auf die sich Organisationen jeden Tag verlassen.
Warum reines Bewusstsein allein nicht ausreicht
Phishing-Bewusstsein ist wichtig, aber es reicht allein nicht aus. Mitarbeiter machen Fehler nicht nur, weil ihnen Informationen fehlen. Sie machen sie auch, weil sie beschäftigt, abgelenkt oder unter Druck sind oder sich schnell durch Arbeitsabläufe bewegen, in denen eine Phishing-Nachricht auf den ersten Blick leicht als legitim durchgehen kann.
Deshalb sollten Schulungen nicht auf der Vorstellung basieren, dass jeder Mitarbeiter jeden Phishing-Versuch erkennen kann. Organisationen können sich nicht allein auf die Erkennung durch Benutzer verlassen. Einige Angriffe werden immer noch durchkommen, was bedeutet, dass technische Kontrollen, klare Prozesse und Benutzerschulungen zusammenarbeiten müssen.
Ein stärkeres Programm für Phishing-Schulungen baut auf dieser Realität auf. Es hilft Mitarbeitern, allgemeine Warnsignale zu erkennen, innehzuhalten, wenn sich etwas merkwürdig anfühlt, schnell Bericht zu erstatten und innerhalb von Systemen zu arbeiten, die es erleichtern, einen einzelnen Fehler einzugrenzen. Zudem lässt es sich natürlich mit der Vorbereitung auf Vorfälle verbinden.
Wenn jemand auf einen bösartigen Link klickt oder Anmeldedaten teilt, benötigt die Organisation einen schnellen und klaren Reaktionsweg. Schulungen werden viel effektiver, wenn Mitarbeiter wissen, was nach einer Meldung passiert und welche Rolle sie dabei spielen. Protons Leitfaden zur Reaktion auf Vorfälle kann deiner Organisation helfen, einen Plan zusammenzustellen.
Wie sieht ein effektives Programm für Phishing-Schulungen aus?
Ein effektives Programm für Phishing-Schulungen besteht nicht aus einer einzigen jährlichen Sitzung und ein paar veralteten Beispielen. Es ist fortlaufend, praktisch und an der tatsächlichen Arbeitsweise der Menschen orientiert. Das bedeutet regelmäßige Auffrischung, realistische Szenarien und Feedback, das den Mitarbeitern hilft, mit der Zeit ein besseres Urteilsvermögen aufzubauen.
In der Praxis sollte Phishing-Bewusstsein in mehr als nur einem Moment präsent sein. Es sollte Teil des Onboardings, von Auffrischungsschulungen, kurzen szenariobasierten Erinnerungen und Überprüfungen von Vorfällen sein, nicht etwas, das Mitarbeiter einmal sehen und dann vergessen. Es muss zudem die reale Gefährdung widerspiegeln.
Jemand, der mit Rechnungen, Unterstützung für Führungskräfte, Lieferantenkommunikation, privilegiertem Zugriff oder sensiblen Datensätzen zu tun hat, ist wahrscheinlich anderem Phishing-Druck ausgesetzt als jemand in einem Arbeitsablauf mit geringerem Risiko. Der Phishing-Leitfaden des NCSC spiegelt diese Realität wider, indem er feststellt, dass Personal mit Zugriff auf sensible Informationen, Finanzwerte oder IT-Systeme möglicherweise stärker ins Visier genommen wird.
Die Praxis muss ebenfalls sinnvoll genutzt werden. Simuliertes Phishing kann nützlich sein, aber nicht, wenn es in Schuldzuweisungen ausartet. Schlecht gehandhabte Simulationen können das Vertrauen schädigen und Menschen davon abhalten, Fehler zu melden, wenn sie das Gefühl haben, ertappt statt unterstützt zu werden.
Ein stärkeres Programm setzt Simulationen sorgfältig ein, gibt sofortiges Feedback und steigert den Schwierigkeitsgrad schrittweise. Es geht nicht darum, zu beweisen, dass Mitarbeiter leicht zu täuschen sind. Es hilft ihnen dabei, Mustererkennung, Meldegewohnheiten und mehr Selbstvertrauen in realen Situationen aufzubauen.
Die fünf Phishing-Warnsignale, die Mitarbeitern immer noch entgehen
Viele Mitarbeiter kennen die klassischen Warnzeichen, übersehen aber dennoch die subtileren Hinweise, die bei echten geschäftlichen Angriffen auftreten. Ein Phishing-Bewusstsein-Training ist viel nützlicher, wenn es den Menschen beibringt, Muster zu erkennen, die zu ihrer täglichen Arbeit passen.
1. Eine Nachricht, die zum Arbeitsablauf passt, aber den Kanal oder die Dringlichkeit ändert
Die effektivsten Phishing-E-Mails sehen keineswegs zufällig aus. Sie ähneln Rechnungsanfragen, geteilten Dokumenten, Gehaltsabrechnungs-Updates oder Anmeldebenachrichtigungen, die Mitarbeiter ohnehin erwarten.
Was sich ändert, ist die Dringlichkeit, Geheimhaltung oder der Prozess. Ein Angreifer möchte, dass das Ziel normale Prüfungen überspringt. Die NCSC-Leitlinien warnen ausdrücklich davor, dass Angreifer Geschäftsprozesse und Anfragen ausnutzen, einschließlich Anfragen nach Informationen oder nicht autorisierten Zahlungen.
2. Ein glaubwürdiger Absendername, hinter dem sich eine schädliche Domain oder eine gefälschte Quelle verbirgt
Mitarbeiter konzentrieren sich oft auf den Anzeigenamen und nicht auf die vollständige Adresse, den Antwortpfad oder die Domain. Das ist ein Grund, warum Anti-Spoofing-Kontrollen wichtig sind, aber Trainings müssen den Leuten immer noch beibringen, innezuhalten, wenn eine bekannte Marke oder ein Kollege leicht „seltsam“ erscheint.
Das NCSC rät Organisationen, E-Mail-Spoofing durch Kontrollen wie Domain-based Message Authentication, Reporting, and Conformance (DMARC), Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) zu erschweren. Zusammen helfen diese E-Mail-Authentifizierungsprüfungen empfangenden Systemen zu verifizieren, ob eine Nachricht wirklich von der Domain stammt, von der sie vorgibt zu stammen.
3. Eine Anmeldeseite, die normal genug aussieht
Seiten zum Abgreifen von Anmeldedaten müssen nicht perfekt aussehen. Sie müssen sich nur lange genug vertraut anfühlen, damit ein Mitarbeiter einen Benutzernamen und ein Passwort eingibt. In der Praxis ist der wichtigste Hinweis oft eher der Kontext als das Design: Warum erscheint diese Anmeldeanfrage jetzt und warum über diesen Weg?
4. Eine Anfrage, bei der Schnelligkeit vor Verifizierung geht
Identitätsdiebstahl von Führungskräften, Rechnungbetrug und Lieferanten-Scams setzen oft auf Dringlichkeit. Die Nachricht ist so gestaltet, dass sich eine Verifizierung unpraktisch oder illoyal anfühlt. Ein gutes Phishing-Training sollte vermitteln, dass unerwartete Dringlichkeit nicht nur eine verdächtige Sprache ist; sie ist ein Signal, vom E-Mail-Antwortmodus in den Verifizierungsmodus zu wechseln.
5. Eine Situation, in der sich eine Meldung peinlich anfühlt
Eines der am häufigsten übersehenen Warnzeichen ist eher intern als technischer Natur: Ein Mitarbeiter bemerkt etwas Merkwürdiges, zögert aber, es zu melden, weil er unsicher oder zu beschäftigt ist oder Angst hat, unvorsichtig zu wirken.
Das NCSC warnt davor, Benutzer zu rügen, die Schwierigkeiten haben, Phishing zu erkennen, da die Angst vor Repressalien Meldungen unterdrückt. Sinnvolle Programme vermitteln den Mitarbeitern daher, dass es nützlich ist, frühzeitig Bedenken zu äußern, selbst wenn sich die Nachricht als harmlos herausstellt.
Was passiert, wenn das Training fehlschlägt
Wenn ein Phishing-Training fehlschlägt, wird der Schaden oft zuerst bei den Anmeldedaten gemessen, bevor er an anderer Stelle sichtbar wird. Ein Benutzer gibt ein Passwort in einem gefälschten Portal ein, genehmigt eine unerwartete Aufforderung oder teilt Anmeldedaten über eine überzeugende, intern wirkende Anfrage. Von diesem Zeitpunkt an geht es nicht mehr nur um die Entscheidung bei einem einzigen Posteingang. Es wird zu einem Problem der Zugriffskontrolle.
Hier wird die Verbindung zwischen Phishing und Passworthygiene so entscheidend. Wenn dasselbe Passwort für mehrere Dienste wiederverwendet wird, kann eine einzige gefährdete Anmeldedaten-Information zu einem Pfad in E-Mails, SaaS-Tools, Cloud-Plattformen oder Administrator-Systeme werden. Wenn geteilte Anmeldedaten immer noch über informelle oder unkontrollierte Methoden gehandhabt werden, sinkt die Rechenschaftspflicht noch weiter.
Der Data Breach Observatory Report von Proton stellt fest, dass Namen und E-Mails in 9 von 10 Datenlecks auftauchen, dass 72 % der Datenlecks Kontaktdaten enthalten und 49 % Passwörter umfassen. Das bedeutet, dass Angreifer oft genau das Rohmaterial haben, das sie benötigen, um Phishing überzeugender zu gestalten und die Wiederverwendung von Passwörtern auszunutzen, wenn sie erfolgreich sind.
Jüngste Beispiele für Datenlecks verdeutlichen denselben Punkt aus einem anderen Blickwinkel. In Protons Berichterstattung über Datenlecks endeten Phishing-bezogene Vorfälle im Jahr 2026 nicht bei einem angeklickten Link; sie entwickelten sich zu Netzwerkzugriffen, interner Offenlegung und umfassenderen geschäftlichen Vorfällen. Deshalb kann die Prävention von Phishing-Angriffen nicht allein aus der Erkennung durch Mitarbeiter bestehen. Sie muss auch einschränken, wie weit gestohlene Anmeldedaten gelangen können, sobald ein Konto gefährdet ist.
Einzigartige Passwörter für jeden Dienst sind hier eine der einfachsten und wertvollsten Kontrollmaßnahmen. Sie verhindern zwar nicht, dass ein Phishing-Versuch stattfindet, helfen aber dabei, die Auswirkungen zu begrenzen. Wenn ein Passwort gestohlen wird, sollte es nicht fünf andere Systeme entsperren.
Ein sicherer Passwort-Manager für Unternehmen unterstützt eine Strategie für eine Sicherheitskultur. Proton Pass for Business wurde entwickelt, um Teams dabei zu helfen, starke, einzigartige Passwörter für jeden Dienst zu generieren und zu speichern. Dies verringert die Wahrscheinlichkeit, dass sich ein erfolgreicher Phishing-Termin kaskadenartig über die gesamte Organisation ausbreitet.
Ein praktisches Modell für Phishing-Training für Mitarbeiter
Der beste Ausgangspunkt sind nicht allgemeine Trainingsmaterialien, sondern die Art und Weise, wie deine Organisation tatsächlich arbeitet.
Konzentriere dich zuerst auf die Phishing-Szenarien, denen Mitarbeiter am ehesten begegnen: Anmeldeaufforderungen, Identitätsdiebstahl von Lieferanten, Zahlungsgenehmigungen, Benachrichtigungen über geteilte Dokumente, Anfragen von Führungskräften oder Angriffe auf Identitätsanbieter. Das Training wird viel nützlicher, wenn die Leute darin ihre eigene Arbeitsrealität wiedererkennen können.
Das Reporting muss ebenfalls einfach und sicher sein. Der Leitfaden des NCSC zu Phishing stellt klar, dass Organisationen ihren Benutzern dabei helfen sollten, verdächtige Nachrichten zu erkennen und zu melden, während die Reporting Fraud Website(neues Fenster) den offiziellen Meldeweg für Phishing und Cyberkriminalität im Vereinigten Königreich bietet. Mitarbeiter sollten wissen, wohin sie intern melden müssen, was die Nachricht enthalten sollte und was sofort zu tun ist, wenn sie auf einen Link geklickt, Anmeldedaten eingegeben oder den Zugriff genehmigt haben.
Schulungen sollten durch Kontrollen unterstützt werden, die die Kosten von Fehlern reduzieren. Dazu gehören E-Mail-Filterung, Schutz vor Spoofing, sichere Anmeldeverfahren, 2FA und eine stärkere Passworthygiene. Protons Leitfaden für Unternehmen zur Prävention von Phishing-Angriffen weist ebenfalls auf den Wert von klaren Meldekanälen, wiederholter Praxis und der Überwachung auf exponierte Anmeldedaten hin.
Schließlich solltest du mehr als nur Klicks messen. Klickraten bei Simulationen können nützlich sein, aber Melderaten, die Zeit bis zur Meldung, wiederholte Fehlermuster und Vorfälle im Zusammenhang mit Anmeldedaten vermitteln oft ein klareres Bild davon, ob sich die Widerstandsfähigkeit verbessert. Das NCSC empfiehlt außerdem, sorgfältig über Phishing-Metriken nachzudenken, damit Organisationen nicht am Ende sicheres Reporting entmutigen.
Perfekte Erkennung ist nicht möglich, aber eine stärkere Reaktion schon
Phishing-Awareness-Training ist am effektivsten, wenn es über die Vorstellung hinausgeht, dass Mitarbeiter in der Lage sein sollten, jeden Angriff perfekt zu erkennen. Ein realistischeres Ziel ist der Aufbau eines Teams, das bekannte Warnzeichen erkennt, Bedenken schnell meldet und so reagiert, dass ein einzelner Fehler nicht zu einem größeren Vorfall eskaliert.
Das erfordert mehr als nur Informationen. Es erfordert wiederholte Praxis, Beispiele, die reale Rollen und Arbeitsabläufe widerspiegeln, und klare Prozesse, auf die sich Mitarbeiter verlassen können, wenn sich etwas falsch anfühlt. Es erfordert auch Kontrollen, die die Auswirkungen von Diebstahl von Anmeldedaten verringern, wenn ein Phishing-Versuch erfolgreich ist. Aus diesem Grund funktioniert Phishing-Training für Mitarbeiter am besten als Teil einer umfassenderen Sicherheitskultur und nicht als eigenständige Awareness-Übung.
Organisationen, die das Phishing-Risiko gut reduzieren, kombinieren tendenziell dieselben Elemente: praktisches Training, klare Gewohnheiten beim Melden, stärkere Bereitschaft für Vorfälle und eine strengere Hygiene bei Anmeldedaten. Die Ressourcen von Proton zu Phishing-Angriffen und zur Reaktion auf Vorfälle untermauern alle dasselbe Prinzip: Awareness ist weitaus effektiver, wenn sie durch Systeme unterstützt wird, die es erleichtern, eine Gefährdung einzudämmen.
