Arten von Phishing-Angriffen im Überblick

Phishing ist nicht gleich Phishing. Angreifer nutzen heute eine Vielzahl von Methoden, um an Ihre Daten, Zugänge oder Geld zu kommen. Je besser Sie die unterschiedlichen Arten kennen, desto schneller erkennen Sie die Gefahr – egal ob Sie ein Handwerksbetrieb, ein Produktionsunternehmen, eine Arztpraxis oder eine Kanzlei sind. In diesem Artikel stellen wir Ihnen die wichtigsten Phishing-Varianten vor, erklären, wie sie funktionieren und für wen sie besonders gefährlich sind.

 

Klassisches E-Mail-Phishing

Dies ist die bekannteste und immer noch weit verbreitete Form. Angreifer versenden Massen-E-Mails, die vorgeben, von einer Bank, einem Online-Shop, Microsoft, DATEV oder der Steuerbehörde zu kommen.

Typische Ziele:

  • Klick auf einen schädlichen Link
  • Öffnen eines infizierten Anhangs
  • Eingabe von Zugangsdaten auf einer gefälschten Website

Auch wenn viele Filter solche Massenmails abfangen, kommen immer wieder welche durch – besonders, wenn sie aktuell gehypte Themen (z. B. „Neue DSGVO-Anforderung“ oder „Update Ihres Virenschutzes“) nutzen.

 

Spear-Phishing und Whaling – Die gezielten Angriffe

Im Gegensatz zum Massen-Phishing sind dies hochpersonalisierte Angriffe:

  • Spear-Phishing: Auf eine bestimmte Person oder Abteilung zugeschnitten (z. B. mit Namen, aktuellen Projekten oder internen Details)
  • Whaling: Speziell auf Geschäftsführer, Inhaber oder Führungskräfte ausgerichtet („Walfang“)

Diese Angriffe sind deutlich erfolgreicher, weil sie vertrauenswürdig wirken. In KMU und im Handwerk reicht oft schon eine gut gemachte Mail an die Buchhaltung aus, um eine Überweisung auszulösen.

 

Smishing und Vishing – Phishing außerhalb der E-Mail

  • Smishing (SMS-Phishing): Sie erhalten eine SMS mit einem Link, z. B. „Ihr Paket wartet – hier klicken“ oder „Ihre Sparkasse: Account-Probleme“. Besonders gefährlich, weil viele Menschen Links in SMS eher vertrauen als in E-Mails.
  • Vishing (Voice-Phishing): Anrufe, bei denen sich die Angreifer als Support-Mitarbeiter, Bankberater oder sogar als Kollege ausgeben. Mit KI-Stimmen (Voice-Cloning) werden diese Angriffe immer realistischer.
  • Quishing: Phishing über QR-Codes – z. B. auf einem gefälschten Paketaufkleber oder einem Plakat. Der Code führt zu einer schädlichen Seite.

 

Business Email Compromise (BEC)

Eine besonders teure Variante. Die Angreifer fälschen die E-Mail-Adresse des Chefs, eines Lieferanten oder eines Kunden und bitten um dringende Überweisungen oder die Herausgabe sensibler Daten.

Besonders betroffen:

  • Buchhaltung in Handwerk und KMU
  • E-Commerce-Unternehmen
  • Kanzleien und Steuerberater (GoBD-relevante Vorgänge)

 

Weitere aktuelle Varianten

  • Angriffe auf Microsoft 365 / Google Workspace: Sehr häufig, da viele Unternehmen dort arbeiten.
  • KI-generiertes Phishing: Texte sind fehlerfrei, im richtigen Ton und oft auf Basis von LinkedIn- oder Website-Informationen erstellt.
  • Deepfake-Vishing: Video- oder Sprachanrufe mit gefälschter Stimme und Gesicht.

 

Welche Arten sind für welche Branchen besonders gefährlich?

Branche Gefährliche Varianten Typische Folgen
Handwerk & KMU BEC, klassisches Phishing, Smishing Falsche Überweisungen, Ransomware
Industrie / Produktion Spear-Phishing, OT-Security-Angriffe Produktionsausfall, IEC 62443-Risiken
Gesundheitswesen Spear-Phishing, Vishing Patientendaten-Leak, KRITIS
Kanzleien & Steuerberater Whaling, BEC Verletzung von GoBD & Vertraulichkeit
E-Commerce Alle Varianten + Cloud-Phishing Kundendatenverlust, Compliance-Probleme

 

Resümee

Phishing entwickelt sich ständig weiter – von klassischen E-Mails bis hin zu Smishing, Vishing und KI-gestützten Angriffen. Unternehmen schützen sich am besten durch geschulte Mitarbeiter, moderne Sicherheitslösungen und klare Datenschutz- und Sicherheitsstandards wie DSGVO, ISO 27001 oder NIS2.

 

Unsere Angebote für Sie:

  • Beratung und Umsetzung von  DSGVO und BDSG
  • Beratung und Umsetzung ISO 27001, TISAX und NIS-2
  • Stellung des externen Datenschutzbeauftragten (DSB)
  • Durchführung interner Audits zur Vorbereitung auf Zertifizierungsaudits
  • Schulungen für Mitarbeiter zur Audit- und Sicherheitskompetenz

 

Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Sie zu
Audits, Datenschutz und IT-Sicherheit.

 

Matthias A. Walter, http://www.tec4net.com

EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit

Quellen und Links:

Beratung und Audit zu ISO 27001, TISAX und NIS-2 mit tec4net
https://www.tec4net.com/web/it-security/

EDV-Sachverständige bei Phishing – IT-Forensik und Beweissicherung
https://www.tec4net.com/web/gutachten/

Datenschutzberatung mit tec4net: DSGVO, BDSG und LDSG erfolgreich umsetzen
https://www.tec4net.com/web/datenschutz/

Auditdurchführung nach ISO 19011
https://www.tec4net.com/web/iso-19011/

KI-Strategieberatung und KI-Schulungen für Unternehmen
https://www.tec4net.com/web/2025/08/05/10500/

tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.

 

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com