🚨 NIS2 ist nun in Kraft getreten. Sicherheitsbewusstsein ist in der EU nun gesetzlich vorgeschrieben.

Einhaltung prüfen
Starten Sie Ihre kostenlose Testphase
Zurück zum Ressourcenzentrum

10 Arten von Phishing-Angriffen (Aktualisierung 2026)

Was ist Phishing?

Phishing ist eine Form des digitalen Betrugs, bei der sich Cyberkriminelle als jemand anderes ausgeben. Dabei geben sie sich oft als wichtige Behörde oder bekannte Persönlichkeit aus. Über E-Mails, WhatsApp-Nachrichten oder SMS, die dringend klingen, werden Sie dazu aufgefordert, Informationen wie persönliche Daten oder Bankdaten preiszugeben.

Für Unternehmen ist es entscheidend, diese Angriffe zu erkennen. In der Praxis nutzen viele Unternehmen Phishing-Simulationen, um ihre Mitarbeiter darin zu schulen, diese Bedrohungen zu erkennen.

Im Folgenden stellen wir Ihnen 10 Arten von Phishing-Angriffen vor und geben Ihnen Tipps, wie Sie diese verhindern können.

10 Arten von Phishing-Angriffen

1. Spray Phishing

Bei Spray Phishing versenden Cyberkriminelle standardmäßig Nachrichten an eine große Anzahl von Personen im Rahmen einer Spray Phishing-Kampagne. Dies sind manchmal zehntausend E-Mails oder Textnachrichten gleichzeitig. Sie werfen sozusagen ein weites Netz aus, in der Hoffnung, dass einige Personen auf die E-Mail hereinfallen. Meistens handelt es sich um eine E-Mail eines bestehenden Unternehmens, die dazu auffordert, ein Passwort zu aktualisieren oder Kreditkarteninformationen zu erneuern.

2. E-Mail-Phishing

Der Versand von E-Mails ist eine der häufigsten Formen von Phishing. Diese E-Mails sind so gestaltet, dass sie von einer vertrauenswürdigen Quelle zu stammen scheinen. In der Regel werden Sie in diesen E-Mails aufgefordert, ein Formular auszufüllen oder auf die E-Mail zu antworten. Auf diese Weise gelangen Cyberkriminelle an persönliche Informationen.

Eine Form des E-Mail-Phishings ist das Clone Phishing, bei dem eine legitime E-Mail kopiert und die Links und Dateien durch bösartige Ersetzungen ausgetauscht werden. Dies kann beispielsweise eine Rechnungsdatei, ein Link, der einen Virus enthält, oder ein Link sein, der Sie auf eine Website leitet, um Ihre persönlichen Daten einzugeben.

3. Mobile Phishing

Mobile Phishing ist auch bekannt als Smishing oder SMS Phishing. Sie erhalten eine Nachricht vom Täter mit der dringenden Aufforderung, Maßnahmen zu ergreifen. Denken Sie daran, eine Telefonnummer anzurufen oder auf einen Link zu einer Website zu klicken. Oft werden Sie nach persönlichen Informationen gefragt, wie Passwörter oder Kreditkartendaten.

Die andere Form von mobilem Phishing ist Telefon-Phishing oder Vishing. Bei dieser Form des Phishings erhalten Sie keine Nachricht, sondern werden angerufen. Die Angreifer geben sich als Ihre Bank, die Polizei oder andere Unternehmen oder Behörden aus. Sie versuchen, Sie einzuschüchtern und zu Handlungen zu drängen, oft zu Geldüberweisungen.

4. Ausnutzung von Notlagen

Bei dieser Art von Phishing-Angriffen nutzen Cyberkriminelle aktuelle Ereignisse aus. Denken Sie an Spendenaufrufe für Hilfsfonds, Naturkatastrophen oder Kriege. Die Täter können persönliche Daten sammeln und den Opfern Geld entziehen.

5. Konto abgelaufen/Passwort ändern

Sie erhalten eine Nachricht per E-Mail oder über Ihr Mobiltelefon mit der Aufforderung, Ihr Passwort zurückzusetzen. Diese Nachrichten scheinen oft von einer vertrauenswürdigen Quelle zu stammen und sind manchmal schwer von echten Nachrichten zu unterscheiden. Denken Sie zum Beispiel an eine Nachricht Ihrer Bank. Wenn Sie das Passwort über einen Link in dieser E-Mail geändert haben, verfügt der Täter über die notwendigen Informationen, um sich in Ihr Bankkonto einzuloggen.

6. Whaling Phishing

Bei diesem Phishing-Angriff, auch bekannt als Business E-Mail Compromise, zielen Cyberkriminelle auf die 'Big Whales' ab, d.h. auf Mitarbeiter in hohen Positionen innerhalb einer Organisation. Oft geben sie sich als leitender Mitarbeiter innerhalb der Organisation aus, um glaubwürdig auf Finanzinformationen oder Unternehmensplattformen zugreifen zu können.

7. Wifi Twin

Ein WLAN-Zwilling ist ein WLAN-Netzwerk, das die Adresse eines anderen Netzwerks kopiert. Wer sich damit verbindet, ist ebenfalls Hackern ausgesetzt. Auf diese Weise erhalten sie Zugang zu Passwörtern und anderen Informationen. Diese Art von Phishing-Angriff wird oft in öffentlichen Bereichen wie Einkaufszentren, Cafés und Flughäfen durchgeführt. Es ist also nicht immer eine gute Idee, sich mit einem öffentlichen WLAN-Netzwerk zu verbinden.

8. Spear Phishing

Spear Phishing ist ein sehr persönlicher Phishing-Angriff. Dies liegt daran, dass der Angreifer vorgibt, eine Person zu sein, die das Ziel gut kennt. Das Ziel wird dafür gründlich recherchiert, sodass sich der Angriff sehr persönlich anfühlt. Ziel ist es, Zugang zu sensiblen Informationen zu erhalten, um das Ziel auszunutzen.

9. Pretexting

Diese Art von Phishing-Angriff ist sehr effektiv, da sie ein Gefühl von Legitimität vermittelt. Die Opfer erhalten zunächst eine Nachricht über einen anderen Kanal als E-Mail, um sie darüber zu informieren, dass sie in Kürze eine E-Mail erhalten werden. Zum Beispiel geben sie vor, ein Lieferant zu sein, und weisen darauf hin, dass das Opfer bald ein Angebot per E-Mail erhalten wird. Dieser telefonische Kontakt wird daher in der abschließenden E-Mail erwähnt, was diese vertrauenswürdiger erscheinen lässt.

10. Man-in-the-Middle

Schließlich besprechen wir eine ziemlich komplizierte Phishing-Methode: Man-in-the-Middle. Der Cyberkriminelle fängt die E-Mails zwischen zwei Personen ab. Der Kriminelle sendet diese E-Mails dann an diese beiden Personen zurück, die daraufhin glauben, die E-Mails stammten voneinander. Dies erhöht das Vertrauen in die E-Mails und ermöglicht es dem Kriminellen, private Details und andere Informationen abzufragen.

Tipps zur Prävention von Phishing-Angriffsarten

1. Mitarbeiterschulung

Indem Sie Ihre Mitarbeiter darin schulen, Phishing-Techniken und die dahinterstehenden psychologischen Mechanismen zu erkennen, können Sie eine Vielzahl von Angriffen verhindern. Die Mitarbeiter lernen, Absender zu überprüfen, nicht blindlings auf Links zu klicken oder Dateien herunterzuladen und Nachrichten kritisch zu hinterfragen. Zu den wichtigsten Warnzeichen gehören:

  • Allgemeine Anreden: Phishing-E-Mails sind oft nicht personalisiert.
  • Unerwartete Links oder Anhänge: vor allem, wenn sie unaufgefordert gesendet werden.
  • Grammatik- und Rechtschreibfehler: oft ein Anzeichen für böswillige Absichten.
  • Dringlichkeit oder Druck: Angreifer versuchen, Entscheidungen zu überstürzen.

2. Klicken Sie nicht auf alles

Klicken Sie niemals auf Links, ohne die Quelle zu überprüfen, auch wenn die Nachricht seriös wirkt. Rufen Sie stattdessen die offizielle Website manuell auf oder überprüfen Sie den Link, indem Sie mit der Maus darüberfahren. Geringfügige Abweichungen bei Domainnamen sind eine gängige Phishing-Taktik.

3. Auf HTTPS prüfen

Insbesondere wenn Sie aufgefordert werden, sensible Daten anzugeben, sollten Sie überprüfen, ob die URL mit „HTTPS“ statt mit „HTTP“ beginnt. Das zusätzliche „S“ garantiert zwar nicht, dass es sich um eine sichere Website handelt, doch ist sie besser vor Hackern geschützt als eine HTTP-Seite. (Verlassen Sie sich also nicht allein auf HTTPS.)

4. Zur Meldung ermutigen

Schaffen Sie ein Umfeld, in dem sich die Mitarbeiter wohlfühlen, verdächtige E-Mails zu melden. Je schneller ein Phishing-Versuch gemeldet wird, desto schneller können Maßnahmen ergriffen werden, um den Rest des Unternehmens zu schützen.

4. Guardey nutzen

Um Ihr Unternehmen wirksam vor Phishing-Angriffen zu schützen, reicht Sensibilisierung allein nicht aus. Die Mitarbeiter müssen reale Szenarien durchspielen und lernen, wie sie darauf reagieren sollen.

Mit Phishing-Simulationen können Sie reale Angriffe sicher nachstellen und Ihre Mitarbeiter darin schulen, Bedrohungen in der Praxis zu erkennen und zu melden. Dadurch wird das Risiko erfolgreicher Phishing-Angriffe erheblich verringert.

Darüber hinaus unterstützt Guardey Unternehmen dabei, ihr Sicherheitsbewusstsein durch interaktive Schulungen und Echtzeit-Einblicke kontinuierlich zu verbessern. Auf diese Weise schulen Sie Ihre Mitarbeiter nicht nur einmalig, sondern bauen eine langfristige Sicherheitskultur in Ihrem Unternehmen auf.

Dinela Lokvancic
Dinela Lokvancic Marketing-Spezialistin Dinela hält die Online-Präsenz von Guardey auf dem neuesten Stand. Sie erstellt Inhalte, die komplexe Themen der Cybersicherheit verständlich machen, und hilft Unternehmen zu verstehen, warum Schulungen zum Sicherheitsbewusstsein für ihre Teams wichtig sind.
Sind Sie bereit, loszulegen?

Schließen Sie sich den über 500 Unternehmen an, die ihre Teams bereits mit Guardey schützen

Starten Sie Ihre kostenlose 14-tägige Testphase
14 Tage kostenlos · Keine Kreditkarte · Voller Zugriff · Einrichtung in 5 Minuten
Oder vereinbaren Sie eine individuelle Vorführung