Blog

Was ist Spear-Phishing? Wie funktioniert es und wie kann man sich davor schützen?

Entprellung
Artikel
19 min gelesen
Themen

Teile diesen Artikel

URL kopieren

Key Take Away

  • Spear-Phishing nutzt recherchierte, zielspezifische Informationen, die Nachrichten vertrauenswürdig erscheinen lassen und so allgemeine Spamfilter und den menschlichen Instinkt umgehen.
  • Spear-Phishing-Angreifer sammeln Informationen aus sozialen Medien, Unternehmenswebseiten und gehackten Datenbanken, bevor sie Nachrichten verfassen. Daher sind E-Mail-Verifizierung und Listenpflege Teil der Verteidigung.
  • Zur Verhinderung von Spear-Phishing sind SPF, DKIM, DMARC-Einträge, Multi-Faktor-Authentifizierung, Mitarbeiterschulungen und eine saubere E-Mail-Infrastruktur erforderlich, die alle zusammenarbeiten.

Sie erhalten eine E-Mail, die scheinbar von Ihrem CEO stammt. Der Name passt. Der Wortlaut kommt Ihnen bekannt vor. Es geht um ein gemeinsames Projekt, und Sie werden gebeten, eine dringende Überweisung noch heute zu genehmigen. Nichts daran wirkt verdächtig. Der Tonfall ist stimmig. Also klicken Sie auf „Genehmigen“.

Genau dieses Szenario spielt sich in Unternehmen täglich ab. Und deshalb zählt Spear-Phishing nach wie vor zu den finanziell schädlichsten Cyberbedrohungen für Unternehmen. Diese Angriffe sind gerade deshalb so erfolgreich, weil sie nicht als Angriffe erkennbar sind. Laut Die Kosten eines Datenlecks für IBM im Jahr 2025 Laut dem Bericht war Phishing der häufigste Einfallstor für Angriffe und machte 16 % der Vorfälle aus.

Anders als bei Phishing-E-Mails, die massenhaft an Millionen zufälliger Empfänger verschickt werden, ist Spear-Phishing gezielt und vorsätzlich. Angreifer recherchieren ihre Opfer, bevor sie etwas versenden. Sie verwenden echte Namen, Berufsbezeichnungen, kürzlich geführte Gespräche und Details zu Organisationen, um E-Mails zu erstellen, die jede instinktive Vertrauensprüfung der Empfänger bestehen.

Zu verstehen, was Spear-Phishing ist und wie diese Angriffe zusammengestellt werden, ist der erste Schritt, um sich selbst und Ihr Unternehmen vor einer Bedrohung zu schützen, die regelmäßig Spamfilter umgeht und selbst erfahrene Fachleute täuscht.

Was ist Spear Phishing?

Spear-Phishing ist ein gezielter, hochgradig personalisierter E-Mail-Angriff, der sich gegen eine bestimmte Person, ein Team oder eine Organisation richtet und nicht gegen eine zufällige Liste von Postfächern. Anstatt ein breites Netz auszuwerfen, recherchieren Angreifer im Vorfeld, wen sie angreifen wollen, und gestalten ihre Nachrichten dann so, dass sie auf realen Beziehungen, internen Kontexten und persönlichen Details basieren, damit die E-Mail vertrauenswürdig wirkt.

Zu den Zielen gehören typischerweise der Diebstahl von Zugangsdaten, Finanzbetrug durch unautorisierte Zahlungen, die Installation von Schadsoftware oder der Zugang zu sensiblen Systemen und Daten.

Generisches Phishing versendet identische Nachrichten an Tausende oder Millionen von Empfängern in der Hoffnung, dass ein gewisser Prozentsatz darauf hereinfällt. Der Erfolg hängt von der Masse ab, nicht von der Präzision. Spear-Phishing kehrt diese Logik um: Angreifer versenden weniger Nachrichten, investieren aber deutlich mehr Aufwand, um jede einzelne überzeugend zu gestalten.

Forschung Es wurde festgestellt, dass maßgeschneiderte Spear-Phishing-Kampagnen, die den organisatorischen Kontext ausnutzen, effektiver sind als generisches Phishing. Dies erklärt, warum Angreifer Stunden oder Tage damit verbringen, eine einzelne Spear-Phishing-Nachricht vorzubereiten, die auf einen bestimmten Mitarbeiter abzielt.

Wichtige Aspekte des Spear-Phishings

Drei Merkmale definieren Spear-Phishing und unterscheiden es von anderen E-Mail-basierten Bedrohungen.

Hauptmerkmale des Spear-Phishing

Personalisierung

Die Nachrichten enthalten konkrete Informationen über den Empfänger. Dazu gehören Name, Funktion, aktuelle Aktivitäten, Kollegen, Projekte oder Unternehmensneuigkeiten. Durch die Personalisierung entsteht beim Empfänger das Gefühl, vom Absender persönlich wahrgenommen zu werden und nicht nur eine Massenmail an Fremde zu erhalten.

Gezielte Maßnahmen

Spear-Phishing wählt seine Ziele strategisch aus. Angreifer zielen auf Mitarbeiter mit Finanzverantwortung, Systemzugriff oder Zugriff auf sensible Daten ab. Führungskräfte, Finanzabteilungen, Personalmanager und IT-Administratoren sind häufige Ziele, da die Kompromittierung einer Person zu erheblichem Zugriff oder finanziellen Gewinnen führen kann.

Social Engineering

Spear-Phishing nutzt psychologische Auslöser wie Autorität (Nachricht vom CEO), Dringlichkeit (sofort genehmigen), Angst (Ihr Konto wird gesperrt) und Vertrauen (Nachricht von einem bekannten Kollegen), um kritisches Denken außer Kraft zu setzen und sofortiges Handeln zu provozieren.

A. Behalten saubere E-Mail-Liste Verringert das organisatorische Risiko, indem sichergestellt wird, dass Kontaktdatenbanken keine Adressen enthalten, die gesammelt und für Aufklärungszwecke gegen die eigenen Empfänger oder Partnerorganisationen missbraucht werden könnten.

Wie ein Spear-Phishing-Angriff funktioniert

Spear-Phishing-Angriffe folgen einer strukturierten Vorgehensweise, bei der öffentlich verfügbare Informationen in überzeugende, gefährliche Nachrichten umgewandelt werden.

Die Funktionsweise eines Spear-Phishing-Angriffs

Aufklärung und Forschung

Bevor Angreifer auch nur ein Wort schreiben, sammeln sie detaillierte Informationen über ihr Ziel. Die Recherchephase dauert oft länger als das Verfassen der eigentlichen Angriffsnachricht.

Informationsquellen, die Angreifer nutzen:

  • LinkedIn-Profile: Berufsbezeichnungen, Aufgaben, Kollegen, beruflicher Werdegang, aktuelle Stellenausschreibungen
  • Firmenwebseiten: Organisationsstruktur, Namen der Führungskräfte, Pressemitteilungen, Bürostandorte
  • Sozialen Medien: Persönliche Interessen, kürzliche Reisen, berufliche Ereignisse, Beziehungen zu Kollegen
  • Öffentliche Datenbanken: Firmenanmeldungen, Domainregistrierungen, öffentliche Aufzeichnungen
  • Frühere Datenschutzverletzungen: E-Mail-Adressen, Passwörter und persönliche Daten aus kompromittierten Datenbanken

Angreifer sammeln diese Informationen, um Beziehungen zu identifizieren („wer ist wem unterstellt?“), Arbeitsabläufe zu verstehen („wer genehmigt Zahlungen?“) und glaubwürdige Vorwände zu finden („der CEO hat gerade eine neue Akquisition angekündigt; perfekter Zeitpunkt für eine gefälschte Rechnung“).

Mangelhafte E-Mail-Listen schaffen eine zusätzliche Angriffsfläche. Organisationen mit ungeschützten, ungeprüften E-Mail-Listen helfen Angreifern ungewollt dabei, zu bestätigen, welche Adressen aktiv und zustellbar sind. Die Validierung und Pflege von Kontaktdaten ist daher unerlässlich. Validierung der E-Mail-Liste verringert dieses Risiko, indem sichergestellt wird, dass organisatorische E-Mail-Daten nicht zu Spionagematerial werden.

Die irreführende Botschaft gestalten

Nach Abschluss der Recherche erstellen die Angreifer Nachrichten, die so konzipiert sind, dass sie jede Vertrauensprüfung des Empfängers bestehen.

Zu den Imitationstechniken gehören:

  • Namensfälschung: Im Absenderfeld wird „Sarah Chen (CEO)“ angezeigt, obwohl eine völlig andere Absenderadresse verwendet wird.
  • Domain-Spoofing: Gesendet von [E-Mail geschützt] or [E-Mail geschützt] statt [E-Mail geschützt]
  • Kontokompromittierung: Ich verwende ein absichtlich kompromittiertes E-Mail-Konto, damit die Nachricht von der echten Adresse stammt.

Angreifer ahmen den Schreibstil der imitierten Absender nach (formell oder informell, kurz oder ausführlich), indem sie während der Aufklärung Beispiele sammeln. Verweise auf reale Projekte, Teammitglieder oder aktuelle Firmenereignisse lassen die Nachrichten authentisch wirken.

Der Aufruf zum Handeln und die Ausbeutung

Sobald der Empfänger der Nachricht vertraut, lenken die Angreifer ihn zu Handlungen, die Anmeldeinformationen, Geld oder Systemzugang einbringen.

Häufige Angreiferanfragen:

  • Anmeldebestätigung: „Ihr Konto erfordert eine sofortige erneute Authentifizierung“ mit einem Link zu einer gefälschten Anmeldeseite.
  • Zahlungsfreigabe: „Bitte bearbeiten Sie diese Rechnung noch heute“ mit betrügerischen Bankdaten
  • Dateidownloads: „Prüfen Sie den beigefügten Vertrag“ – Malware wird in Dokumentdateien versteckt.
  • Einreichung der Anmeldeinformationen: „Aktualisieren Sie Ihre Zugangsdaten, um den Zugriff zu behalten“ – Erfassung von Benutzernamen und Passwörtern.

Gefälschte Anmeldeseiten ahmen oft legitime Dienste pixelgenau nach. Empfänger geben ihre Zugangsdaten in dem Glauben ein, auf ein echtes System zuzugreifen, während Angreifer alles Eingegebene aufzeichnen.

Gängige Arten von Spear-Phishing-Angriffen

Spear-Phishing manifestiert sich in mehreren unterschiedlichen Angriffsmustern, die jeweils auf verschiedene Schwachstellen und organisatorische Rollen abzielen.

Häufige Formen von Spear-Phishing-Angriffen

Walfang

Beim Whaling werden Führungskräfte der obersten Ebene (CEOs, CFOs und COOs) aufgrund ihrer Autorität und ihres Einflusses gezielt angegriffen. Erfolgreiche Whaling-Angriffe können hohe Finanztransfers autorisieren, vertrauliche Strategien offenlegen oder Systeme mit weitreichenden Zugriffen kompromittieren.

Angreifer recherchieren Führungskräfte oft Monate im Voraus eingehend, um deren Kommunikationsstil, Reisepläne und aktuelle Geschäftsprioritäten zu verstehen, bevor sie zuschlagen.

Kompromittierung von geschäftlichen E-Mails (BEC)

Bei BEC-Angriffen geben sich die Angreifer als Lieferanten, Partner oder interne Führungskräfte aus, um legitime Zahlungen auf von ihnen kontrollierte Konten umzuleiten. Ein typischer BEC-Angriff gibt sich als bekannter Lieferant aus und fordert eine „Kontoänderung“ für anstehende Rechnungen.

Nach Angaben der US-Organisation FBI-Beschwerdezentrum für Internetkriminalität (IC3)Die Kompromittierung von Geschäfts-E-Mails bleibt eine der größten Cyberbedrohungen weltweit und verursacht jedes Jahr Verluste in Milliardenhöhe.

Vishing- und Smishing-Erweiterungen

Spear-Phishing beschränkt sich häufig nicht auf E-Mails. Angreifer kombinieren die erste Kontaktaufnahme per E-Mail mit anschließenden Anrufen (Vishing) oder SMS (Smishing), um Glaubwürdigkeit zu erzeugen. Eine Spear-Phishing-E-Mail kann beispielsweise durch einen Rückruf von jemandem „bestätigt“ werden, der sich als IT-Supportmitarbeiter, Assistent/in der Geschäftsleitung oder bekannter Geschäftspartner ausgibt.

Dieser Multi-Channel-Ansatz ist besonders effektiv, weil er die tatsächliche Vorgehensweise bei legitimen dringenden Mitteilungen in Organisationen nachbildet.

Wie man einen gezielten Angriff erkennt

Spear-Phishing-Angriffe sind darauf ausgelegt, unentdeckt zu bleiben, doch bestimmte Warnzeichen enthüllen bei genauerer Betrachtung ihre wahre Natur.

Warnsignale, auf die Sie achten sollten:

  • Geringfügige Änderungen der Absenderadresse: [E-Mail geschützt] vs [E-Mail geschützt] or [E-Mail geschützt]
  • Unerwartete Dringlichkeit: „Muss heute erledigt werden“, „Bevor Sie das Büro verlassen“, „Sofortiges Handeln erforderlich“
  • Ungewöhnliche Finanzanfragen: Überweisungen auf neue Konten, Änderungen der Zahlungsmethode, Geschenkkartenkäufe
  • Anfragen, die den normalen Prozess umgehen: „Gehen Sie in diesem Fall nicht die üblichen Wege.“
  • Nicht übereinstimmende URLs: Bewegen Sie den Mauszeiger über die Links, bevor Sie klicken; der angezeigte Text gibt eine Domain an, die tatsächliche URL eine andere.
  • Grammatikalische Inkonsistenzen: Subtile Fehler in ansonsten professionellen Nachrichten oder ein Tonfall, der nicht ganz zum vermeintlichen Absender passt.

Überprüfen der Domain Reputation Die Analyse der Absenderdomains hilft dabei, kürzlich registrierte, ähnlich aussehende Domains ohne etablierte Historie zu identifizieren (ein häufiges Indiz für Spear-Phishing-Infrastruktur).

So verhindern Sie Spear-Phishing-Angriffe

Die Verhinderung von Spear-Phishing funktioniert am besten, wenn technische Sicherheitsvorkehrungen, interne Verfahren und die tägliche Sensibilisierung sich gegenseitig verstärken, anstatt isoliert voneinander zu wirken.

Technische Lösungen

Strenge technische Kontrollen bilden die erste Verteidigungslinie, indem sie die Möglichkeiten der Angreifer einschränken, selbst wenn eine Nachricht den Posteingang erreicht.

  • Multi-Faktor-Authentifizierung (MFA): Laut Microsoft blockiert die Multi-Faktor-Authentifizierung (MFA) über 99% von Angriffen auf kompromittierte Konten. Selbst wenn Angreifer Zugangsdaten durch Spear-Phishing erlangen, verhindert die Multi-Faktor-Authentifizierung (MFA), dass sie gestohlene Passwörter für den Zugriff auf Konten verwenden.
  • E-Mail-Authentifizierungsprotokolle: Umsetzung SPF-, DKIM- und DMARC-Einträge verhindert, dass Angreifer Nachrichten versenden, die scheinbar von Ihrer Domain stammen, und schützt so sowohl Ihre Mitarbeiter als auch Ihre Kontakte vor Identitätsdiebstahl.
  • URL- und Anhangsprüfung: Sicherheitsplattformen, die Links und Anhänge vor der Zustellung analysieren, erkennen schädliche Inhalte, bevor die Empfänger damit interagieren können.

Mitarbeiterschulung und Simulation

Regelmäßige Phishing-Simulationsübungen, bei denen die IT-Abteilung kontrollierte gefälschte Phishing-E-Mails versendet, um die Reaktionen der Mitarbeiter zu testen, fördern die Erkennungsfähigkeit effektiver als jährliche Sensibilisierungsschulungen allein.

Das Verizon 2025 Bericht über Datenverletzungsuntersuchungen Es wurde festgestellt, dass bei rund 60 % der Sicherheitsvorfälle menschliches Versagen, beispielsweise durch Social Engineering, eine Rolle spielt. Schulungen, die reale Angriffstechniken simulieren, darunter auch personalisierte Spear-Phishing-Taktiken, helfen Mitarbeitern, verdächtige Nachrichten zu erkennen und zu melden, bevor sie darauf reagieren.

Organisatorische Prozesskontrollen

Klare interne Verfahren reduzieren das Risiko, wenn E-Mails dringende oder sensible Aktionen auslösen sollen. Verifizierungsschritte für Zahlungsanforderungen, Änderungen von Zugangsdaten oder den Zugriff auf vertrauliche Daten sollten unabhängig vom scheinbaren Legitimitätsgrad der Nachricht eine Bestätigung über einen separaten Kanal, wie z. B. ein Telefonat oder eine persönliche Überprüfung, erfordern.

E-Mail-Listenhygiene mit DeBounce

Aufrechterhaltung einer starken Reputation des E-Mail-Absenders Dadurch wird es Angreifern erschwert, Ihre Domain überzeugend zu imitieren. Organisationen mit sauberen, validierten E-Mail-Listen, ordnungsgemäßer Authentifizierung und niedrigen Bounce-Raten etablieren klare Versandmuster, die es Sicherheitstools und Empfängern erleichtern, gefälschte Nachrichten zu erkennen.

E-Mail-Listenüberwachung hält Kontaktlisten kontinuierlich validiert und entfernt ungültige und riskante Adressen, die Organisationsdaten preisgeben oder die legitimen Sendemuster schwächen könnten, anhand derer Authentifizierungssysteme Anomalien erkennen.

Schützen Sie die sensibelsten Daten Ihres Unternehmens.

Spear-Phishing ist nicht durch technische Raffinesse erfolgreich, sondern durch sorgfältige Recherche und psychologische Präzision. Angreifer investieren Zeit, um ihre Ziele zu verstehen, sodass die Nachrichten wie legitime interne Mitteilungen und nicht wie externe Bedrohungen wirken.

Die Abwehr solcher Angriffe erfordert eine ebenso präzise und mehrschichtige Schutzmaßnahme: technische Kontrollen (MFA, E-Mail-Authentifizierung, URL-Scanning), menschliche Sicherheitsvorkehrungen (geschulte Mitarbeiter, die vor dem Handeln überprüfen) und eine saubere E-Mail-Infrastruktur, die die Glaubwürdigkeit des Absenders stärkt und die Aufklärungsmöglichkeiten für Angreifer verringert.

Prüfen Sie Ihre aktuelle E-Mail-Authentifizierung. Falls Sie DMARC noch nicht in Ihrer Durchsetzungsrichtlinie implementiert haben, sollten Sie damit beginnen (dies ist der direkteste technische Schritt, um Domain-Imitation zu verhindern). Überprüfen Sie anschließend das Bewusstsein Ihrer Mitarbeiter: Wann hat Ihr Team zuletzt das Erkennen gezielter Phishing-Angriffe geübt?

Berücksichtigen Sie Ihre E-Mail-Infrastruktur als Teil Ihrer Sicherheitsstrategie. Nutzen Sie Entprellung Um Kontaktlisten zu validieren, eine gute Absenderreputation zu wahren und zu verhindern, dass die E-Mail-Daten Ihres Unternehmens Angreifern für ihre nächste Spear-Phishing-Kampagne missbrauchen, sind saubere, verifizierte Listen unerlässlich. Sie verbessern die Zustellbarkeit und Sicherheit all Ihrer E-Mails.

Häufig gestellte Fragen

Antworten auf häufig gestellte Fragen zu diesem Thema.
01

Worin besteht der Unterschied zwischen Phishing und Spear-Phishing?

Beim Phishing werden generische Massen-E-Mails an zufällige Empfänger verschickt, in der Hoffnung, dass ein gewisser Prozentsatz darauf reagiert. Beim Spear-Phishing hingegen werden gezielt bestimmte Personen mit personalisierten Nachrichten angesprochen, die auf recherchierten persönlichen und organisatorischen Informationen basieren, wodurch die Angriffe deutlich überzeugender und erfolgreicher sind.

02

Was ist ein Beispiel für Spear-Phishing?

Ein Mitarbeiter der Finanzabteilung erhält eine E-Mail, die scheinbar vom CEO stammt. Darin wird auf eine laufende, tatsächliche Übernahme Bezug genommen und eine dringende Überweisung auf ein neues Lieferantenkonto vor Vertragsabschluss gefordert. Die Nachricht verwendet echte Namen, korrekte Berufsbezeichnungen und den aktuellen Projektkontext, um authentisch zu wirken.

03

Können E-Mail-Filter alle Spear-Phishing-Angriffe verhindern?

Nein. E-Mail-Filter fangen zwar viele Phishing-Versuche ab, haben aber Schwierigkeiten mit hochgradig gezieltem Spear-Phishing, da personalisierte Nachrichten oft keine schädlichen Links oder Anhänge enthalten und legitimen Mitteilungen sehr ähnlich sehen; MFA, Mitarbeiterschulungen und Verifizierungsverfahren sind daher unerlässliche Ergänzungen zur technischen Filterung.

Du magst vielleicht auch:

Hier finden Sie schnelle Antworten auf Ihre Fragen zu unseren Preisen und Tarifen.

Eine hohe E-Mail-Abmelderate senken

Die Ablehnung, die mit der Abmeldung von Empfängern einhergeht, ist unbestreitbar, aber wir sollten sie nicht persönlich nehmen. Das Überarbeiten und Optimieren Ihrer Nachrichten garantiert keine vollständige...

   
Entprellung
Was ist E-Mail-Spoofing?

Was ist E-Mail-Spoofing? Definition und Funktionsweise

Spoofing-Angreifer manipulieren E-Mail-Header, um vertrauenswürdige Absendernamen und -adressen anzuzeigen, ohne auf echte Konten zuzugreifen. Dadurch erscheinen die Nachrichten legitim. Authentifizierungsprotokolle sind...

   
Entprellung

So verwenden Sie Emojis im E-Mail-Marketing

Emojis sind längst nicht mehr nur für Textnachrichten gedacht. Tatsächlich haben sie sich zu einem so wirkungsvollen Marketinginstrument entwickelt, dass immer mehr Unternehmen sie in ihren...

   
Georgi Todorow