Phishing und Social Engineering: Woran Ihre Mitarbeiter Angriffe erkennen

Phishing und Social Engineering nutzen menschliches Vertrauen statt technischer Sicherheitslücken, um an Zugangsdaten, Geld oder personenbezogene Daten zu gelangen. Ein einziger unbedachter Klick genügt, um jeden technischen Schutz zu umgehen. Mit einer gezielten Phishing-Mitarbeiter-Schulung lernen Ihre Mitarbeitenden, Warnsignale zu erkennen und im Ernstfall richtig zu reagieren.
Von der Provimedia Redaktion · Stand: Juli 2026 · Dieser Beitrag ist eine allgemeine Information und keine Rechtsberatung.
Was ist Social Engineering?
Social Engineering bezeichnet Methoden, mit denen Angreifer keine technischen Schwachstellen ausnutzen, sondern menschliche Verhaltensmuster: Hilfsbereitschaft, Zeitdruck, Respekt vor Autorität oder Neugier. Phishing ist die häufigste Ausprägung davon. Angreifer geben sich per E-Mail, SMS oder Telefon als vertrauenswürdiger Absender aus, um Zugangsdaten, Zahlungen oder vertrauliche Informationen zu erlangen.
Weil sich Angriffe gezielt gegen Menschen statt gegen Systeme richten, greift technische IT-Sicherheit allein zu kurz. Firewalls und Spamfilter fangen einen Großteil ab, aber eine gut gemachte Fälschung, die nicht als solche erkannt wird, umgeht jeden technischen Schutz mit einem einzigen Klick. Genau hier setzt Mitarbeitersensibilisierung an, als Ergänzung, nicht als Ersatz technischer Maßnahmen. Wie sich Awareness-Themen wie diese von klassischen Datenschutzschulungen abgrenzen und wo sie sich überschneiden, erläutert der Beitrag Informationssicherheits-Schulung vs. Datenschutzschulung.
Welche Angriffsformen treffen Unternehmen am häufigsten?
In der Praxis begegnen Unternehmen vor allem vier Varianten. Die folgenden Beispiele sind zur Veranschaulichung konstruierte Szenarien und beschreiben keinen realen Vorfall.
Phishing im engeren Sinn verschickt weitgehend identische E-Mails an eine große Zahl Empfänger, meist im Namen bekannter Marken, Paketdienste oder Banken. Ein typisches Szenario: Eine Mitarbeiterin erhält eine E-Mail, angeblich vom IT-Dienstleister, die zur sofortigen „Passwort-Bestätigung“ über einen Link auffordert, weil das Konto sonst gesperrt werde.
Spear-Phishing ist gezielter: Angreifer recherchieren vorab Namen, Funktion und laufende Projekte einer Person, um die Nachricht persönlicher und glaubwürdiger zu gestalten. Ein typisches Szenario: Ein Einkäufer erhält eine E-Mail, die scheinbar von einem bekannten Lieferanten stammt und sich auf eine echte, aktuell laufende Bestellung bezieht, mit der Bitte, für die nächste Zahlung eine „aktualisierte“ Bankverbindung zu nutzen.
CEO-Fraud, auch Chef-Betrug oder Business E-Mail Compromise genannt, gibt vor, von der Geschäftsführung zu stammen, und baut gezielt Zeitdruck und Vertraulichkeit auf. Ein typisches Szenario: Die Buchhaltung erhält kurz vor Feierabend eine dringende Nachricht angeblich vom Geschäftsführer, der gerade „in einem vertraulichen Meeting“ sei und um eine sofortige, diskrete Überweisung für eine anstehende Firmenübernahme bittet.
Smishing nutzt SMS oder Messenger-Nachrichten statt E-Mail, oft mit kurzen, unauffälligen Absendern. Ein typisches Szenario: Ein Mitarbeiter erhält eine SMS, angeblich von einem Paketdienst, mit einem Link zu einer offenen „Zollgebühr“, die über ein gefälschtes Zahlungsformular abgebucht werden soll.
| Form | Vorgehen | Typisches Warnsignal |
|---|---|---|
| Phishing | Massen-E-Mails im Namen bekannter Marken oder Dienste | Unpersönliche Anrede, Drohung mit Kontosperrung |
| Spear-Phishing | Gezielte, vorab recherchierte Nachricht an eine bestimmte Person | Plausibler Kontext, aber ungewöhnliche Bitte |
| CEO-Fraud | Vorgetäuschte Anweisung der Geschäftsführung | Zeitdruck, Vertraulichkeitsgebot, Zahlungsaufforderung |
| Smishing | Betrügerische SMS oder Messenger-Nachricht mit Link | Kurzlink, angebliche Gebühr oder Sendungsverfolgung |
Woran erkenne ich eine Phishing-Mail?
Kein einzelnes Merkmal beweist einen Angriff zuverlässig, aber vier Prüfpunkte lassen sich in wenigen Sekunden anwenden: Absender, Dringlichkeit, Links beziehungsweise Anhänge und die Art der Anfrage. Wer diese kurz durchgeht, bevor er klickt oder antwortet, entschärft die meisten Versuche. Diese Prüfpunkte sollte jede Schulung Ihren Mitarbeitenden mitgeben — sie dauern zusammen keine zehn Sekunden.
- Absender genau prüfen: Zeigt der Anzeigename einen bekannten Namen, während die tatsächliche E-Mail-Adresse abweicht oder fremd wirkt?
- Druck und Dringlichkeit: Wird mit Fristen, Kontosperrung, Strafen oder „nur heute gültig“ Zeitdruck aufgebaut?
- Links vor dem Klick prüfen: Führt der per Mouseover sichtbare Linktext wirklich zur erwarteten Domain?
- Unerwartete Anhänge: Kommt eine Rechnung, ein Fax oder ein Dokument, das niemand angekündigt hat?
- Ungewöhnliche Zahlungs- oder Datenanfragen: Wird um Überweisung, Bankdaten, Zugangsdaten oder eine geänderte IBAN gebeten, abweichend vom üblichen Ablauf?
- Sprachliche Auffälligkeiten: Wirken Anrede, Grammatik oder Tonfall untypisch für den vermeintlichen Absender?
Was tun im Verdachtsfall?
Im Zweifel zählt die richtige Reihenfolge:
- Stopp: Nicht klicken, nichts herunterladen, keine Daten eingeben.
- Melden statt löschen: Löschen Sie verdächtige Nachrichten nicht — melden Sie sie an die IT-Abteilung oder Ihre zentrale Meldeadresse, damit andere Teams gewarnt und betroffene Systeme geprüft werden können.
- Schon geklickt? Melden Sie den Vorfall sofort und ändern Sie umgehend das betroffene Passwort.
- Datenzugriff möglich? Stoßen Sie eine Prüfung nach Art. 33 DSGVO an: Sobald Angreifer tatsächlich Zugriff auf personenbezogene Daten erlangt haben, etwa über ein E-Mail-Postfach oder eine Kundendatenbank, liegt nach Art. 4 Nr. 12 DSGVO eine Verletzung des Schutzes personenbezogener Daten vor. Wie diese Frist funktioniert und welche Schritte innerhalb von 72 Stunden nötig sind, beschreibt der Beitrag Datenpanne melden: die 72-Stunden-Frist.
Häufige Fragen (FAQ)
Wie erkenne ich Phishing?
Prüfen Sie Absenderadresse, Linkziel vor dem Klick, den Tonfall der Nachricht und ob ungewöhnliche Zahlungs- oder Datenanfragen gestellt werden. Passt einer dieser Punkte nicht zum sonst üblichen Kontakt, ist Vorsicht angebracht. Im Zweifel beim vermeintlichen Absender über einen bekannten, unabhängigen Kanal nachfragen, nicht über die Kontaktdaten aus der verdächtigen Nachricht selbst.
Wer haftet, wenn ein Mitarbeiter auf Phishing hereinfällt?
Datenschutzrechtlich haftet nicht der einzelne Mitarbeiter, sondern das Unternehmen als Verantwortlicher im Sinne der DSGVO. Bußgelder nach Art. 83 DSGVO richten sich an die Organisation, nicht an die Person, die auf die Nachricht hereingefallen ist. Arbeitsrechtliche Konsequenzen für den Mitarbeiter sind im Einzelfall möglich, etwa bei grober Fahrlässigkeit. Entscheidend für Aufsichtsbehörden ist vor allem, ob das Unternehmen seine Mitarbeitenden ausreichend geschult und angemessene technische Schutzmaßnahmen getroffen hatte.
Sind simulierte Phishing-Tests im Unternehmen sinnvoll und zulässig?
Simulierte Phishing-Mails, mit denen Unternehmen die Aufmerksamkeit ihrer Mitarbeitenden testen, sind ein verbreitetes Mittel der Security-Awareness-Praxis. Rechtlich sind sie jedoch nicht automatisch unproblematisch: Da dabei das Verhalten einzelner Mitarbeitender erfasst und ausgewertet werden kann, sind sie mitbestimmungs- und datenschutzrechtlich relevant. Vor der Einführung sollten Datenschutzbeauftragter und, falls vorhanden, der Betriebsrat eingebunden werden, um Umfang, Auswertung und Speicherdauer klar zu regeln.
Reicht eine einmalige Schulung, um Phishing im Unternehmen zu verhindern?
Nein. Eine Schulung schafft Grundlagenwissen und schärft die Aufmerksamkeit, ersetzt aber keine technischen Schutzmaßnahmen wie Spamfilter, Multi-Faktor-Authentifizierung oder regelmäßige Phishing-Simulationen. Sie wirkt als ein Baustein unter mehreren am besten, wenn sie wiederholt wird und mit klaren internen Meldewegen verbunden ist.
Unsere DSGVO-Grundlagenschulung vermittelt praxisnah, worauf es beim datenschutzgerechten Umgang mit personenbezogenen Daten ankommt, inklusive eines Moduls zu Datensicherheit am Arbeitsplatz und zum richtigen Verhalten bei Datenpannen, mit Teilnahmezertifikat als Nachweis. Sie ersetzt kein vollständiges Security-Awareness-Programm mit simulierten Phishing-Kampagnen, schafft aber ein solides Grundverständnis dafür, warum der Umgang mit verdächtigen Nachrichten Teil des Datenschutzes ist.
Quellen
Beitrag teilen
Bleiben Sie auf dem Laufenden
Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.
Ähnliche Beiträge
Weitere Artikel, die Sie interessieren könnten.
DSGVO-Bußgelder: Reale Fälle aus Deutschland und was Unternehmen daraus lernen
Vier reale DSGVO-Bußgeldfälle aus Deutschland zeigen, wie Behörden die Höhe bemessen – und dass Gerichte sie im Nachhinein auch wieder deutlich reduzieren können.
Datenschutz in der Arztpraxis: die 5 Alltagsfallen und wann Sie einen Datenschutzbeauftragten brauchen
Der Name wird laut ins Wartezimmer gerufen, die Terminerinnerung per SMS verschickt, die alte Akte entsorgt: Im Praxisalltag entscheiden Kleinigkeiten über Datenschutzverstöße. Der Beitrag zeigt, welche Situationen heikel sind, wann Sie einen Datenschutzbeauftragten brauchen und wie Sie Ihr Team nachweisbar schulen.
Informationssicherheits-Schulung vs. Datenschutzschulung: Was Unternehmen brauchen
Informationssicherheit schützt Systeme und Informationen, Datenschutz schützt Personen und ihre Daten. Der Unterschied, die Überschneidung nach Art. 32 DSGVO und was die neue NIS2-Schulungspflicht für Geschäftsleitungen bedeutet.
Bereit für den dokumentierten Schulungsnachweis?
Die DSGVO-Grundlagenschulung für Ihr Team – online, in rund 90 Minuten, mit datiertem Teilnahmezertifikat je Person.