Phishing

Phishing, Kunstwort aus „password” und „fishing”: betrügerische Methode, mit der Angreifer versuchen, Zugangsdaten, Bankinformationen oder andere sensible Daten von Internet-Nutzern abzugreifen. Üblich ist die Täuschung über eine gefälschte E-Mail, SMS oder Webseite, die einer vertrauenswürdigen Quelle nachempfunden ist.

Klassisches Phishing erreicht das Opfer als E-Mail im Namen einer Bank, eines Bezahldienstes oder einer großen Plattform: Eine angebliche Sicherheitswarnung fordert dazu auf, einen Link anzuklicken und sich auf einer Webseite anzumelden, die optisch dem Original gleicht — tatsächlich aber zu den Angreifern führt. Auch SMS-basiertes „Smishing” und über Telefonate eingeleitetes „Vishing” sind verbreitet.

Spezialformen sind Spear Phishing — also gezielte Angriffe auf einzelne Personen oder Unternehmen, häufig nach vorheriger Recherche über soziale Netzwerke — sowie Whaling, das Top-Führungskräfte ins Visier nimmt. Beim Business Email Compromise (BEC) geben sich Angreifer als Geschäftsführer oder Lieferanten aus und veranlassen Überweisungen auf Konten der Täter.

Schutz vor Phishing bietet vor allem Aufmerksamkeit: kritische Prüfung der Absenderadresse, niemals Anmeldedaten über E-Mail-Links eingeben, Webadressen manuell im Browser eintippen, Zwei-Faktor-Authentifizierung aktivieren. Technisch helfen Spam-Filter mit eingebauter URL-Reputationsprüfung, DMARC/SPF/DKIM-Konfiguration auf E-Mail-Servern und Browser-Sicherheits-Erweiterungen. Bei Verdacht auf Phishing können Empfänger den Vorfall bei ihrer Bank, beim Bundesamt für Sicherheit in der Informationstechnik (BSI) oder bei den Verbraucherzentralen melden.