LAGEBRIEFING · 11.07.2026 DEENFRES

Sicherheitslexikon

Was ist Phishing? Definition, Formen und Schutz

Von Benedikt Langer · 10. Juli 2026 · 6 Minuten Lesezeit

Was ist Phishing? Phishing ist eine Betrugsform, bei der sich Angreifer als vertrauenswürdige Stelle ausgeben, um Zugangsdaten, Zahlungen oder sonstige Handlungen zu erschleichen. Phishing ist eine Teilmenge des Social Engineering, also der Manipulation von Menschen statt von Technik. Typische Kanäle sind E-Mail, SMS, Telefon und QR-Code. Schutz bieten vor allem phishing-resistente MFA und Passkeys.

Das Wichtigste in Kürze

  • Einordnung: Phishing ist eine Teilmenge von Social Engineering. Der Angriff zielt auf den Menschen, nicht auf eine technische Schwachstelle.
  • Formen: Massen-Phishing, Spear-Phishing, BEC/CEO-Fraud, Smishing, Vishing und Quishing über QR-Codes, zunehmend mit KI-erzeugten Stimmen und Deepfakes.
  • Schutz: phishing-resistente MFA oder Passkeys zuerst. Awareness-Training ergänzt, ersetzt aber keine Technik.

Wie Phishing funktioniert

Phishing folgt einem wiedererkennbaren Muster. Ein Angreifer gibt sich als vertrauenswürdiger Absender aus, etwa als Bank, Lieferant oder Vorgesetzter. Über eine Nachricht erzeugt er Druck und verlangt eine konkrete Handlung: einen Login, eine Freigabe, eine Überweisung oder das Öffnen eines Anhangs. Der Empfänger soll reagieren, bevor er prüft.

60 Prozent

der beobachteten Erstzugriffe starten mit Phishing

ENISA Threat Landscape 2025

Klassische Auslöser sind Zeitdruck, die Androhung von Nachteilen, ein angebliches Paket oder eine vermeintliche Sicherheitswarnung. Die Nachricht führt auf eine nachgebaute Login-Seite, installiert Schadcode oder leitet eine Zahlung an eine veränderte IBAN um. Der Angriffspunkt ist immer der Mensch. Gelingt die Manipulation, liefert das Ziel die Information oder die Freigabe selbst.

Die ENISA Threat Landscape 2025 beziffert Phishing auf 60 Prozent der beobachteten Erstzugriffe, mit deutlichem Abstand vor der Ausnutzung von Schwachstellen. Auch der BSI-Lagebericht führt Phishing als anhaltenden Trend. Ein gut gemachter Köder ist ohne Technik schwer als Betrug zu erkennen.

Phishing als Teilmenge von Social Engineering

Social Engineering ist der übergeordnete Begriff und bezeichnet die Manipulation von Menschen, um an Informationen oder Handlungen zu gelangen. Statt eine technische Schwachstelle auszunutzen, nutzt der Angreifer menschliche Muster wie Hilfsbereitschaft, Autorität, Angst, Neugier oder Zeitdruck. Phishing ist eine Teilmenge davon, bei der eine digitale Nachricht das zentrale Werkzeug ist.

Die Abgrenzung: Eine Massen-E-Mail mit gefälschtem Link ist klassisches Phishing. Ein gezielter Angriff mit Vorab-Recherche auf eine konkrete Person ist Spear-Phishing. Ein Telefonanruf ohne vorherige Nachricht ist Vishing, also Social Engineering am Telefon. Ein Präsenzangriff etwa durch einen angeblichen Handwerker vor Ort ist ebenfalls Social Engineering, fällt aber nicht unter Phishing.

Für die Verteidigung ist die Unterscheidung relevant. Phishing-Schutz beginnt am Postfach, Vishing-Schutz an der Hotline, BEC-Schutz am Freigabeprozess für Überweisungen. Wer Phishing isoliert betrachtet, deckt nur einen Ausschnitt der Bedrohung ab.

Formen des Phishing

Phishing tritt in mehreren Spielarten auf, die sich nach Ziel, Kanal und Täuschungsmethode unterscheiden. Die Grundform ist Massen-Phishing mit großen Stückzahlen und generischer Anrede. Die Trefferquote entsteht durch das Volumen. Spear-Phishing zielt auf einzelne Personen oder Teams und nutzt vorher ausgespähte Details für eine personalisierte Nachricht. Der Aufwand ist höher, die Erfolgsquote ebenfalls.

Business E-Mail Compromise, kurz BEC oder CEO-Fraud, greift Finanz- und Freigabeprozesse an. Ein angeblicher Vorgesetzter oder Lieferant fordert eine dringende Überweisung, oft an eine abgewandelte IBAN. Smishing verschickt den Köder über SMS oder Messenger, häufig zu Paket- oder Zollthemen. Vishing ist Voice Phishing am Telefon, die Stimme erzeugt mehr Autorität als Text. Quishing nutzt QR-Codes als Einstieg: Die eigentliche URL wird erst nach dem Scannen sichtbar und umgeht viele E-Mail-Filter.

KI verschiebt die Spielregeln. Erzeugte Stimmen ahmen bekannte Personen nach, Deepfake-Videos tauchen in Videocalls auf. Der Aufwand sinkt, eine Telefonfreigabe reicht für einen Angriff, wenn die Stimme überzeugt.

Phishing erkennen und abwehren

Schutz beginnt mit Technik. Awareness-Training ist eine Ergänzung und darf nicht die letzte Verteidigungslinie sein. Wer Phishing allein über die Wachsamkeit der Mitarbeitenden lösen will, überlässt die Sicherheit dem Zufall.

Schutz jetzt prüfen

  • Auf phishing-resistente MFA oder Passkeys migrieren
  • DMARC, SPF und DKIM konfigurieren und überwachen
  • E-Mail-Gateway mit URL-Rewriting und Anhang-Sandbox betreiben
  • Meldeweg für verdächtige Nachrichten etablieren
  • Freigabeprozesse für Überweisungen um zweite Bestätigung ergänzen

Die wichtigste Maßnahme ist phishing-resistente Mehrfaktor-Authentifizierung oder, konsequenter, Passkeys. Diese Verfahren binden die Authentifizierung an eine Domäne und machen ein abgefangenes Token für einen anderen Ursprung nutzlos. Klassische SMS-Codes oder TOTP aus Apps sind abfangbar und bieten diesen Schutz nicht. Passkeys eliminieren das geteilte Geheimnis vollständig.

Ergänzend greifen Filter auf dem Posteingang: DMARC, SPF und DKIM für die Absenderprüfung, E-Mail-Gateways mit KI-basierten Erkennungen, URL-Rewriting und Sandbox-Detonation von Anhängen. Diese Filter reduzieren das Volumen, verhindern aber keinen gezielten Angriff über einen kompromittierten echten Absender.

Die typischen Warnsignale bleiben stabil: Dringlichkeit und Druck, abweichende Absender-Domains, unerwartete Login-Aufforderungen und Forderungen nach einer Ausnahme vom üblichen Prozess. Ein klarer Meldeweg ohne Bestrafung für gemeldete Fehler erhöht die Erkennungsrate.

Häufige Fragen

Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.

Ist Phishing dasselbe wie Social Engineering?

Nein. Social Engineering ist der übergeordnete Begriff für die Manipulation von Menschen. Phishing ist eine Teilmenge davon, die digitale Nachrichten nutzt. Weitere Formen sind Vishing am Telefon oder Präsenzangriffe vor Ort.

Was ist der Unterschied zwischen Phishing und Spear-Phishing?

Massen-Phishing geht an viele Empfänger mit generischer Anrede. Spear-Phishing zielt auf einzelne Personen oder Teams und nutzt vorher ausgespähte Details. Der Aufwand ist höher, die Erfolgsquote ebenfalls.

Reicht Awareness-Training als Schutz aus?

Nein. Awareness-Training ergänzt, darf aber nicht die letzte Verteidigungslinie sein. Die wichtigste Maßnahme ist phishing-resistente MFA oder Passkeys.

Welche MFA schützt vor Phishing?

Phishing-resistente Verfahren wie FIDO2-Keys oder Plattform-Authentifikatoren binden die Anmeldung an eine Domäne. Ein abgefangenes Token ist für einen anderen Ursprung nutzlos. SMS-Codes oder TOTP sind abfangbar und bieten diesen Schutz nicht.

Was ist Quishing?

Quishing ist Phishing über QR-Codes. Der Code führt auf eine gefälschte Seite. Die URL wird erst nach dem Scannen sichtbar und umgeht viele E-Mail-Filter, weil der schädliche Link nicht im Mailtext steht.

Bildquelle: KI-generiert (Juli 2026)

Lesetipps der Redaktion

LesetippWas ist ein Passkey? Definition, Funktionsweise und StandardsLesetippWas ist Ransomware? Definition, Ablauf und SchutzLesetippWenn ein Anruf die Autoproduktion stoppt

Mehr aus dem MBF Media Netzwerk

MyBusinessFutureWenn das Update selbst zum Einfallstor wirdcloudmagazinShadow AI verbieten ist der teuerste Reflex in der IT-Sicherheit

Weiterführende Lektüre

Ein Magazin der Evernine Media GmbH