Warum alle betroffen sein können (nicht nur IT)

Phishing ist keine rein technische Bedrohung, die ausschließlich die IT-Abteilung betrifft. Im Gegenteil: Die Angriffsfläche erstreckt sich auf alle Mitarbeitenden eines Unternehmens – unabhängig von Position, Abteilung oder technischer Vorbildung. Phishing zielt nicht primär auf Schwachstellen in Systemen, sondern auf Fehlverhalten von Menschen.

Cyberkriminelle nutzen psychologische Tricks (Social Engineering), um Vertrauen zu erwecken, Druck auszuüben oder Neugier zu wecken. Dadurch werden Empfänger verleitet, auf gefährliche Links zu klicken, Anhänge zu öffnen oder vertrauliche Informationen preiszugeben. Selbst ein vermeintlich harmloser Klick kann ausreichen, um Schadsoftware zu installieren oder Zugangsdaten preiszugeben.

Beispiele aus der Praxis:

  • Buchhaltung – Gefälschte Rechnungen
    Ein Mitarbeiter in der Buchhaltung erhält eine E-Mail mit einer vermeintlich echten Rechnung im Anhang. Die Mail ist professionell gestaltet, der Absender wirkt legitim (z. B. ein bekannter Lieferant oder Geschäftspartner). Im Anhang befindet sich jedoch eine Schadsoftware – oft getarnt als PDF oder Excel-Datei. Öffnet der Empfänger die Datei, kann ein Trojaner installiert werden, der Zugänge zum internen Buchhaltungssystem ausliest oder direkt einen Ransomware-Angriff auslöst.
  • Personalabteilung – Infizierte Bewerbungsunterlagen
    Die Personalabteilung bekommt regelmäßig Bewerbungen per E-Mail – eine alltägliche Situation. Kriminelle nutzen das aus, indem sie präparierte Bewerbungsmappen (z. B. .docx-Dateien mit eingebetteter Malware) versenden. Der Anhang sieht seriös aus, trägt einen typischen Namen wie „Lebenslauf_Max_Mustermann.docx“. Wird die Datei geöffnet, startet im Hintergrund der Angriff – oft unbemerkt.
  • GeschäftsfĂĽhrung – CEO-Fraud (Chef-Masche)
    Ein erfahrener Angestellter in der Buchhaltung oder Assistenz erhält eine E-Mail, scheinbar vom Geschäftsführer persönlich. Der Ton ist freundlich, aber bestimmt: „Ich bin gerade in einem wichtigen Meeting, bitte überweise dringend 24.500 € an dieses Projektkonto. Das hat höchste Priorität.“ Die E-Mail ist sprachlich professionell – häufig mit echter Signatur oder Logo. Wenn keine Rückfrage erfolgt, wird der Betrag möglicherweise tatsächlich überwiesen.
  • Empfang / Assistenz – Paketbenachrichtigungen und Terminlinks
    Eine Empfangsmitarbeiterin erhält eine E-Mail mit dem Hinweis, dass ein Paket nicht zugestellt werden konnte – mit Link zur erneuten Zustellung. Oder es geht um eine angeblich neue Kalendereinladung für ein Meeting. Klickt sie auf den Link, wird eine gefälschte Login-Seite geöffnet, auf der sie gebeten wird, ihre Zugangsdaten (z. B. Microsoft 365) einzugeben. Diese landen direkt bei den Angreifern.

Diese Beispiele zeigen: Jeder Arbeitsplatz mit Zugang zu E-Mails oder dem Internet kann Ziel eines Angriffs sein.

Aktuelles Beispiel aus der Praxis:

In einem großen Industriekonzern erhielten plötzlich alle Mitarbeitenden eine E-Mail, die auf den ersten Blick seriös wirkte. Die Nachricht wurde im Namen der Personalabteilung versendet und kündigte eine Bonuszahlung zum Quartalsende an – ein Thema, das in vielen Unternehmen regelmäßig vorkommt und daher glaubwürdig erschien.

Die E-Mail enthielt folgenden Textauszug:

„Im Rahmen unserer neuen Mitarbeiterbindungsstrategie erhalten Sie eine einmalige Bonuszahlung. Weitere Informationen sowie die Bestätigung Ihrer Kontoverbindung finden Sie unter folgendem Link.“

Ein Button mit der Aufschrift „Bonus jetzt sichern“ führte zu einer externen Website. Doch glücklicherweise griff in diesem Fall die unternehmensinterne Firewall sofort ein: Der Link wurde blockiert, die Website konnte nicht geöffnet werden, und es erfolgte ein automatischer Warnhinweis an die IT-Abteilung.

Was wäre passiert, wenn der Schutzmechanismus nicht gegriffen hätte?

  • Die gefälschte Website hätte versucht, Zugangsdaten oder Kontoinformationen abzufragen.
  • Möglich wäre auch die Installation von Malware im Hintergrund.
  • Der Vorfall hätte zu Datenabfluss, Sabotage oder finanziellen Schäden fĂĽhren können.

Erkenntnis aus dem Fall:

  • Alle Mitarbeitenden waren Ziel – unabhängig von Abteilung oder Hierarchie.
  • Der Angriff nutzte emotionale Trigger (Bonuszahlung) und betrieblichen Kontext.
  • Technische SchutzmaĂźnahmen wie Firewalls sind wichtig – aber nicht unfehlbar.
  • Aufmerksames Verhalten der Mitarbeitenden bleibt essenziell.
Vorheriges Thema
ZurĂĽck zur Lektion
Nächstes Lektion