Zum Inhalt springen
(+381) 60 3535 720
Mein Konto
BeoHosting
BeoHosting
Mein KontoKontakt
(+381) 60 3535 720
 
Sicherheit

Wie Sie Ihre E-Mail vor Phishing-Angriffen schützen

BeoHosting Team··9 Min. Lesezeit Lesezeit
Wie Sie Ihre E-Mail vor Phishing-Angriffen schützen

Was ist Phishing?

Phishing ist eine Form von Cyber-Angriff, bei dem der Angreifer versucht, das Opfer dazu zu verleiten, sensible Informationen wie Passwörter, Kreditkartennummern oder persönliche Daten preiszugeben. Der Angreifer gibt sich per E-Mail, SMS oder über eine gefälschte Webseite als vertrauenswürdige Organisation oder Person aus.

Berichten zufolge ist Phishing für über 90 % aller Cyber-Angriffe verantwortlich. In Deutschland, Österreich und der Schweiz sind insbesondere Angriffe verbreitet, die Banken, Finanzämter, Kurierdienste und beliebte Online-Dienste imitieren. Jedes Unternehmen, unabhängig von seiner Größe, kann Ziel eines Phishing-Angriffs werden. Ein professionelles geschäftliches E-Mail-Konto mit korrekter Authentifizierung ist die erste Verteidigungslinie.

Arten von Phishing-Angriffen

E-Mail-Phishing

Die häufigste Form des Phishings. Der Angreifer versendet Massen-E-Mails, die so aussehen, als kämen sie von einer legitimen Organisation. Die E-Mail enthält in der Regel einen Link zu einer gefälschten Webseite, die identisch wie das Original aussieht, oder einen infizierten Anhang.

Spear Phishing

Ein gezielter Angriff auf eine bestimmte Person oder Organisation. Der Angreifer recherchiert das Opfer über soziale Netzwerke und öffentliche Daten und erstellt anschließend eine personalisierte E-Mail, die sehr überzeugend wirkt. Weit gefährlicher als Massen-Phishing, weil es schwerer zu erkennen ist.

Whaling

Eine Unterform des Spear Phishings, die hochrangige Mitarbeiter (CEO, CFO, Geschäftsführer) ins Visier nimmt. Die E-Mails imitieren häufig Rechtsdokumente, Steuererklärungen oder dringende Anforderungen für Geldtransfers.

Business Email Compromise (BEC)

Der Angreifer kompromittiert oder imitiert die E-Mail-Adresse eines Mitarbeiters (in der Regel einer Führungskraft) und sendet anderen Mitarbeitern Anforderungen für Geldtransfers oder sensible Daten. BEC-Angriffe sind für Angreifer äußerst profitabel – der durchschnittliche Schaden liegt bei über 100.000 Dollar pro Angriff.

Smishing und Vishing

Smishing nutzt SMS-Nachrichten und Vishing nutzt Telefonanrufe zur Täuschung. In Deutschland, Österreich und der Schweiz sind SMS-Nachrichten häufig, die sich als Kurierdienste ausgeben und die Zahlung „zusätzlicher Zustellgebühren" verlangen.

Wie Sie eine Phishing-E-Mail erkennen

Es gibt mehrere Anzeichen, die darauf hindeuten, dass eine E-Mail ein Phishing-Versuch sein könnte. Achten Sie auf die folgenden Elemente, bevor Sie einen Link anklicken oder einen Anhang öffnen.

  • Verdächtige Absenderadresse: Prüfen Sie die genaue E-Mail-Adresse, nicht nur den Namen des Absenders. Angreifer verwenden Adressen wie „support@ihre-bank-sicherheit.com" statt der echten Domain der Bank.
  • Dringlichkeit und Drohungen: „Ihr Konto wird in 24 Stunden gesperrt" oder „Bestätigen Sie dringend Ihre Daten" sind klassische Phishing-Taktiken.
  • Grammatikfehler: Professionelle Organisationen haben Lektoren. Viele Grammatikfehler und seltsame Formulierungen sind ein Warnsignal.
  • Generische Anrede: „Sehr geehrter Kunde" statt Ihres Namens – legitime Organisationen sprechen Sie in der Regel mit Ihrem Namen an.
  • Verdächtige Links: Fahren Sie mit der Maus über den Link (ohne Klick!), um die tatsächliche URL zu sehen. Wenn sie von der erwarteten abweicht, klicken Sie nicht.
  • Unerwartete Anhänge: Öffnen Sie niemals Anhänge, die Sie nicht erwartet haben, insbesondere .exe-, .zip- oder .doc-Dateien mit Makros.
  • Anfrage nach sensiblen Daten: Keine legitime Organisation wird per E-Mail nach einem Passwort, einer PIN oder einer Kartennummer fragen.

Technischer Schutz: SPF, DKIM und DMARC

SPF, DKIM und DMARC sind drei sich ergänzende Protokolle, die zusammen einen starken Schutz gegen E-Mail-Spoofing bieten – die Technik, mit der ein Angreifer E-Mails mit einer gefälschten Absenderadresse versendet.

SPF (Sender Policy Framework)

SPF ermöglicht es dem Domain-Inhaber festzulegen, welche Server berechtigt sind, E-Mails im Namen dieser Domain zu versenden. Der empfangende Server prüft den SPF-Eintrag im DNS und lehnt E-Mails ab, die von nicht autorisierten Servern stammen.

Ein SPF-Eintrag im DNS sieht so aus: v=spf1 include:_spf.google.com include:mail.beohosting.com -all. Dieser Eintrag besagt, dass nur die Mailserver von Google und BeoHosting E-Mails von Ihrer Domain versenden dürfen. Das Kennzeichen „-all" am Ende bedeutet, dass alle anderen abgelehnt werden sollen.

DKIM (DomainKeys Identified Mail)

DKIM fügt jeder E-Mail, die Sie versenden, eine digitale Signatur hinzu. Der empfangende Server verwendet den im DNS veröffentlichten öffentlichen Schlüssel, um zu verifizieren, dass die E-Mail während der Übertragung nicht verändert wurde und tatsächlich von Ihrer Domain stammt.

DKIM verwendet asymmetrische Kryptografie – ein privater Schlüssel auf Ihrem Mailserver signiert jede E-Mail, und der öffentliche Schlüssel im DNS ermöglicht die Verifizierung. Ohne gültige Signatur wird die E-Mail als verdächtig markiert.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC ist eine Erweiterung von SPF und DKIM, die dem empfangenden Server mitteilt, was mit E-Mails geschehen soll, die die SPF-/DKIM-Prüfung nicht bestehen. DMARC ermöglicht außerdem Berichte über Versuche, Ihre Domain zu missbrauchen.

  • p=none: Nur Monitoring – beeinflusst die Zustellung nicht, sendet aber Berichte. Verwenden Sie dies zu Beginn, um zu sehen, was geschieht.
  • p=quarantine: E-Mails, die die Prüfung nicht bestehen, landen im Spam-Ordner. Die empfohlene Stufe für die meisten Websites.
  • p=reject: E-Mails, die die Prüfung nicht bestehen, werden vollständig abgelehnt. Die strengste Einstellung für maximalen Schutz.

Es wird empfohlen, mit p=none zu beginnen, die Berichte einen Monat lang zu beobachten, dann auf p=quarantine und schließlich auf p=reject umzustellen. So blockieren Sie nicht versehentlich legitime E-Mails.

Mitarbeiterschulung

Technischer Schutz ist nur eine Seite der Medaille. Der menschliche Faktor bleibt das schwächste Glied in der Sicherheitskette. Regelmäßige Mitarbeiterschulungen sind entscheidend für den Schutz vor Phishing.

Elemente eines Schulungsprogramms

  • Simulierte Phishing-Tests: Senden Sie regelmäßig Test-Phishing-E-Mails an Mitarbeiter und verfolgen Sie, wer klickt. Tools wie KnowBe4 oder Gophish automatisieren diesen Prozess.
  • Regelmäßige Workshops: Vierteljährliche Workshops mit Beispielen aktueller Phishing-Angriffe. Zeigen Sie reale Beispiele von Angriffen, die Ihre Branche ins Visier nehmen.
  • Klare Verfahren: Definieren Sie das Vorgehen zur Meldung verdächtiger E-Mails. Mitarbeiter müssen wissen, an wen sie sich wenden und was sie tun sollen.
  • Zwei-Faktor-Authentifizierung: Verpflichtende 2FA für alle Geschäftskonten. Selbst wenn ein Angreifer das Passwort erhält, kann er ohne den zweiten Faktor nicht auf das Konto zugreifen.
  • Passwort-Manager: Verwenden Sie Passwort-Manager wie Bitwarden oder 1Password für einzigartige, starke Passwörter für jedes Konto.

Was tun, wenn Sie Opfer von Phishing geworden sind

  • Ändern Sie sofort die Passwörter: Für das kompromittierte Konto und alle anderen Konten, bei denen Sie dasselbe Passwort verwenden.
  • Informieren Sie das IT-Team: Melden Sie den Vorfall umgehend – Zeit ist entscheidend, um den Schaden zu begrenzen.
  • Prüfen Sie Banktransaktionen: Wenn Sie Finanzdaten eingegeben haben, kontaktieren Sie die Bank und sperren Sie die Karte.
  • Scannen Sie Ihren Computer: Führen Sie einen vollständigen Virenscan durch, falls Sie einen verdächtigen Anhang geöffnet haben.
  • Dokumentieren Sie den Vorfall: Speichern Sie die Phishing-E-Mail, Screenshots und alle relevanten Details für die weitere Untersuchung.
  • Melden Sie den Angriff: Melden Sie den Phishing-Versuch der zuständigen nationalen CERT-Stelle (z. B. dem BSI in Deutschland) und dem Hosting-Anbieter der gefälschten Website.

Fazit

Phishing-Angriffe werden immer raffinierter und sind schwerer zu erkennen. Eine Kombination aus technischem Schutz (SPF, DKIM, DMARC), Mitarbeiterschulung und klaren Verfahren ist der einzige wirksame Ansatz. Richten Sie SPF, DKIM und DMARC für Ihre Domain über die DNS-Einstellungen ein, schulen Sie Ihre Mitarbeiter darin, verdächtige E-Mails zu erkennen, und etablieren Sie eine Sicherheitskultur, in der jeder dafür verantwortlich ist, das Unternehmen vor Cyber-Bedrohungen zu schützen.

BeoHosting Team

10+ Jahre Erfahrung — Spezialisten für Webhosting und Infrastruktur

  • Web Hosting
  • WordPress Hosting
  • VPS
  • Dedicated Serveri
  • Domeni
  • SSL
  • cPanel
  • LiteSpeed
  • Linux administracija
  • DNS

Zuletzt aktualisiert:

Ähnliche Artikel

Wie Sie sich vor DDoS-Angriffen schützen – Der komplette Leitfaden

6. avgust 2025.

SSL-Zertifikat: Warum es Pflicht ist und wie Sie es installieren

6. septembar 2025.

SSL-Zertifikat und SEO – Warum HTTPS Pflicht ist

9. septembar 2025.
Zurück zum BlogMehr aus der Kategorie: Sicherheit