· Rexoma Team · IT-Sicherheit  · 6 min read

Phishing erkennen und abwehren – Mitarbeiter-Awareness für KMU

Phishing ist die häufigste Einstiegspforte für Ransomware und Datenverlust. Dieser Leitfaden zeigt KMU, wie Mitarbeiter Angriffe erkennen und was technisch dagegen hilft.

Phishing ist die häufigste Einstiegspforte für Ransomware und Datenverlust. Dieser Leitfaden zeigt KMU, wie Mitarbeiter Angriffe erkennen und was technisch dagegen hilft.

Neun von zehn erfolgreichen Cyberangriffen beginnen mit einer einzigen E-Mail. Phishing ist keine Spezialität für Großkonzerne – gerade kleine und mittlere Unternehmen sind bevorzugte Ziele, weil Angreifer dort auf weniger technischen Schutz und weniger geschulte Mitarbeiter treffen. Wer in Dresden oder Sachsen ein KMU betreibt, sollte das Thema Phishing-Abwehr ernst nehmen – bevor es zu spät ist.

Was ist Phishing – und warum trifft es KMU besonders hart

Beim Phishing versuchen Angreifer, Mitarbeiter per E-Mail, SMS oder Telefon zur Herausgabe von Zugangsdaten, Überweisungen oder dem Öffnen von Schadsoftware zu verleiten. Der Begriff leitet sich vom englischen „fishing” ab – die Angreifer werfen einen Köder aus und warten, bis jemand anbeißt.

Für KMU ist die Bedrohungslage besonders ernst: Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Phishing-Angriffe nach wie vor der häufigste Einstiegsvektor für Ransomware-Infektionen. Ein erfolgreicher Angriff kann ein Unternehmen mit 20 Mitarbeitern genauso lahmlegen wie einen Konzern – mit dem Unterschied, dass KMU meist keine dedizierte IT-Abteilung haben, die schnell reagiert.

Die häufigsten Phishing-Methoden 2025

Das klassische Massenphishing – gefälschte DHL- oder Bankemails – ist längst nicht mehr die einzige Bedrohung. Angreifer werden gezielter und professioneller.

Spear-Phishing: maßgeschneiderte Angriffe

Beim Spear-Phishing wird die E-Mail individuell auf das Opfer zugeschnitten. Angreifer recherchieren vorher auf LinkedIn, der Unternehmenswebsite oder in sozialen Netzwerken: Wie heißt der Geschäftsführer? Wer ist im Einkauf? Welche Software nutzt das Unternehmen? Die resultierende E-Mail wirkt täuschend echt – „Hallo Frau Müller, anbei die Rechnung für Ihre Nextcloud-Lizenz vom April.”

Business Email Compromise (BEC)

Eine besonders kostspielige Variante: Angreifer kompromittieren oder fälschen die E-Mail-Adresse eines Lieferanten oder der Geschäftsführung. Der Buchhalter erhält eine scheinbar legitime Nachricht mit einer neuen IBAN für zukünftige Überweisungen. In Deutschland entstehen durch BEC-Angriffe jährlich Schäden in dreistelliger Millionenhöhe.

QR-Code-Phishing (Quishing)

Seit 2023 stark im Vormarsch: Phishing über QR-Codes in E-Mails oder auf physischen Flyern. Weil viele Sicherheitsfilter E-Mail-Inhalte analysieren, aber keine QR-Codes auflösen, gelangt Quishing leichter durch Spam-Filter. Das Smartphone des Mitarbeiters scannt den Code – und landet auf einer gefälschten Login-Seite, die Zugangsdaten abgreift.

Phishing-Mails erkennen: 8 Warnsignale

Schulen Sie Ihre Mitarbeiter, diese Warnsignale zu erkennen:

  1. Absenderadresse genau prüfen: support@paypal-sicherheit.de ist nicht PayPal. Die echte Domain steht immer rechts vom @-Zeichen.
  2. Dringlichkeit und Drohungen: „Ihr Konto wird in 24 Stunden gesperrt” – Seriöse Unternehmen drohen nicht per E-Mail.
  3. Unerwartete Anhänge: Eine Rechnung, die niemand bestellt hat? Finger weg von .docx, .pdf mit Makros oder .zip-Dateien.
  4. Dubiose Links: Vor dem Klicken mit der Maus über den Link fahren (Hover). Zeigt die Vorschau eine fremde Domain? Nicht klicken.
  5. Grammatikfehler und seltsame Formulierungen: Viele Phishing-Mails haben typische Sprachfehler – aber KI-generierte Texte werden immer besser.
  6. Anfragen nach Zugangsdaten: Kein legitimer Dienst fragt per E-Mail nach Ihrem Passwort.
  7. Unbekannte Absender mit Dateianhang: Immer misstrauisch sein, besonders bei ZIP-, ISO- oder Office-Dateien.
  8. Gefälschte Anzeigenamen: „Microsoft Support kontakt@fremde-domain.ru” – der Anzeigename ist frei wählbar, die Absenderadresse nicht.

Technische Schutzmaßnahmen für KMU

Awareness allein reicht nicht. Technik schafft eine zweite Verteidigungslinie, die auch dann greift, wenn ein Mitarbeiter versehentlich klickt.

E-Mail-Authentifizierung: SPF, DKIM, DMARC

Diese drei DNS-Einträge sorgen dafür, dass gefälschte E-Mails in Ihrem Namen abgewiesen werden – und dass E-Mails anderer Absender verifiziert werden:

  • SPF (Sender Policy Framework): Legt fest, welche Server E-Mails in Ihrem Namen versenden dürfen.
  • DKIM (DomainKeys Identified Mail): Signiert ausgehende E-Mails kryptografisch, sodass Manipulationen erkannt werden.
  • DMARC: Kombiniert SPF und DKIM und gibt an, was mit verdächtigen E-Mails passieren soll (quarantäne, ablehnen oder nur protokollieren).

Viele Dresdner KMU haben diese Einträge nicht korrekt konfiguriert – und erleichtern damit sowohl eingehende Phishing-Angriffe als auch die Nutzung der eigenen Domain für Spam.

Multi-Faktor-Authentifizierung als Sicherheitsnetz

Selbst wenn ein Mitarbeiter auf Phishing hereinfällt und sein Passwort eingibt: Mit aktivierter Multi-Faktor-Authentifizierung (MFA) können Angreifer sich damit allein nicht einloggen. MFA ist für alle cloud-basierten Dienste – Microsoft 365, Google Workspace, VPN-Zugänge – absolutes Pflichtprogramm.

DNS-Filter und E-Mail-Sicherheits-Gateways

Moderne DNS-Filter blockieren den Aufruf bekannter Phishing-Domains, bevor die Seite geladen wird. E-Mail-Sicherheitsgateways analysieren Anhänge in einer Sandbox, bevor sie zugestellt werden. Für ostdeutsche KMU ohne eigene IT-Abteilung lassen sich diese Dienste als Managed Service beziehen.

Mitarbeiter-Awareness: der wichtigste Schutz

Technik filtert viel heraus – aber nicht alles. Am Ende sitzt ein Mensch am Bildschirm. Awareness-Schulungen sind kein einmaliges Event, sondern ein kontinuierlicher Prozess:

Simulierte Phishing-Tests: Schicken Sie Ihren Mitarbeitern kontrollierte Test-Phishing-Mails. Wer klickt, bekommt keine Strafe – sondern eine sofortige Lerneinheit. Tools wie KnowBe4 oder die Open-Source-Lösung GoPhish ermöglichen das auch ohne großes Budget.

Klare Eskalationswege: Jeder Mitarbeiter muss wissen: Wenn ich eine verdächtige E-Mail bekomme, wende ich mich an [Name/Telefon/Ticket-System]. Nicht ignorieren, nicht selbst entscheiden – melden.

Kurze, regelmäßige Schulungen: Einmal pro Quartal 15 Minuten sind wirksamer als ein dreistündiges Jahresseminar. Videos, kurze Quiz, konkrete Beispiele aus der eigenen Branche kommen besser an als abstrakte Folien.

Sicherheitskultur statt Angstkultur: Mitarbeiter, die Fehler melden dürfen ohne Konsequenzen zu fürchten, melden früher. Das verkürzt die Reaktionszeit dramatisch.

Was tun nach einem Phishing-Angriff?

Wenn ein Mitarbeiter auf einen Link geklickt oder Zugangsdaten eingegeben hat, gilt:

  1. Sofort Passwort ändern – für den betroffenen Dienst und alle anderen, wo dasselbe Passwort verwendet wurde.
  2. IT oder externen Dienstleister informieren – innerhalb von Minuten, nicht Stunden.
  3. Betroffenes Gerät isolieren – vom Netzwerk trennen, bis geprüft wurde, ob Schadsoftware aktiv ist.
  4. Protokolle sichern – für die spätere Analyse und ggf. Meldung an Behörden.
  5. Datenschutzbeauftragten informieren – bei möglichem Datenverlust besteht nach DSGVO eine Meldepflicht binnen 72 Stunden.

Rexoma unterstützt KMU in Dresden und Sachsen

Sie möchten Ihr Unternehmen systematisch gegen Phishing absichern? Rexoma IT aus Dresden hilft KMU mit konkreten Maßnahmen: von der Einrichtung von SPF, DKIM und DMARC über die Konfiguration von MFA für alle Dienste bis hin zu simulierten Phishing-Tests und Mitarbeiter-Schulungen. Wir kennen die typischen Schwachstellen kleiner und mittlerer Betriebe in Sachsen und arbeiten ohne Vertriebsdruck direkt an der Lösung.

Jetzt Kontakt aufnehmen – unverbindliche Erstberatung für ostdeutsche KMU.

Häufige Fragen zu Phishing und IT-Sicherheit für KMU

Wie erkenne ich, ob mein Unternehmen bereits Opfer von Phishing wurde? Typische Anzeichen sind unerwartete Passwort-Reset-E-Mails, Login-Benachrichtigungen aus fremden Ländern, unerklärliche Überweisungen oder Mitarbeiter, die berichten, dass ihr Konto „komisch reagiert”. Ein IT-Sicherheitsaudit kann verdeckte Kompromittierungen aufdecken.

Müssen KMU Phishing-Vorfälle melden? Wenn durch den Phishing-Angriff personenbezogene Daten abgeflossen sind oder abfließen könnten, besteht nach DSGVO Art. 33 eine Meldepflicht bei der zuständigen Datenschutzbehörde (in Sachsen: der Sächsische Datenschutzbeauftragte) binnen 72 Stunden.

Reicht ein guter Spamfilter als Schutz aus? Nein. Spamfilter erkennen bekannte Muster und Domains – aber gezieltes Spear-Phishing über neue Domains oder kompromittierte legitime Konten passiert viele Filter problemlos. Awareness und technische Maßnahmen wie MFA und DNS-Filter sind unverzichtbar.

Was kostet eine Phishing-Simulation für ein KMU? Open-Source-Tools wie GoPhish sind kostenlos, erfordern aber technisches Know-how für die Einrichtung. Managed-Dienste wie KnowBe4 starten ab einigen Euro pro Nutzer und Monat. Rexoma IT kann beides aufsetzen und begleiten.

Wie häufig sollten Mitarbeiter zum Thema Phishing geschult werden? Mindestens einmal pro Quartal mit kurzen, praxisnahen Einheiten. Ergänzend empfehlen sich anlassbezogene Hinweise – etwa wenn eine neue Phishing-Welle bekannt wird, wie aktuell bei Angriffen über gefälschte Microsoft-365-Benachrichtigungen.

Share:
Back to Blog

Related Posts

View All Posts »