Die meisten erfolgreichen Cyberangriffe gegen Unternehmen beginnen nicht mit einer ausgeklügelten Schadsoftware, sondern mit einer simplen Login-Seite. Credential Phishing — also das gezielte Abgreifen von Zugangsdaten über gefälschte Anmeldeseiten — ist nach Branchenberichten der häufigste initiale Angriffsvektor. Und er funktioniert nicht trotz, sondern wegen guter Sicherheitstechnik im Hintergrund: Wenn Firewalls, Endpoint Protection und Mail-Gateways gut arbeiten, bleibt der Mitarbeiter am Login die schwächste Stelle der Kette.
Wer Credential Phishing wirksam verhindern will, muss genau diesen einen Moment absichern.
Warum der Login-Moment so kritisch ist
Im typischen Phishing-Angriffspfad gibt es drei Schritte:
- Die Mail erreicht den Posteingang. Mail-Gateway und Spam-Filter haben hier ihre Chance — bei modernen, KI-generierten Mails verlieren sie sie zunehmend.
- Der Mitarbeitende klickt. Awareness-Trainings haben hier ihre Chance — auch sie verlieren sie bei perfekt formulierten Mails zunehmend.
- Der Mitarbeitende gibt Zugangsdaten ein. Hier entscheidet sich der echte Schaden. Genau hier setzen die meisten Sicherheitskonzepte heute noch zu wenig an.
Solange Schritt 1 und Schritt 2 als alleinige Verteidigungslinien gedacht sind, bleibt das gesamte Konzept fragil. Schritt 3 — der Login-Moment — ist der eigentliche Schutzpunkt.
Vier Schichten, die den Login wirksam absichern
Schicht 1: Awareness mit aktuellen Inhalten
Mitarbeitende müssen wissen, wie moderne Phishing-Mails aussehen, welche psychologischen Hebel verwendet werden und woran sie eine verdächtige Login-Seite erkennen. Veraltete Awareness-Module mit Tippfehler-Beispielen reichen nicht mehr aus.
Wirksame Schulungen sind kurz, regelmäßig und rollenspezifisch. Buchhaltung benötigt BEC-Szenarien, IT benötigt Spear-Phishing-Beispiele auf Admin-Konten, Marketing benötigt Beispiele zu kompromittierten Tool-Logins.
Schicht 2: Browser-Warnung am Login (Phishgate)
Eine Browser-Warnschicht prüft im Hintergrund, ob die aktuelle Domain freigegeben ist. Erscheint auf einer nicht freigegebenen Domain ein Passwortfeld, schlägt die Extension Alarm. Phishgate ist genau für diesen Moment ausgelegt: Über 200 Business-Tools sind global vorgewhitelistet, eigene Tools ergänzt der Admin im Dashboard, der LOW Mode lässt das Überspringen bewusst zu, der FULL Mode schränkt stärker ein.
Schicht 3: Phishing-resistente MFA für sensible Konten
Selbst wenn ein Passwort durchrutscht, sollte FIDO2 oder Number-Matching-MFA den Schaden verhindern. Privilegierte Konten — Admins, Geschäftsführung, Buchhaltung — sollten ohne Ausnahme phishing-resistente MFA-Methoden nutzen.
Schicht 4: Reaction-Workflow und Audit-Log
Wenn ein Vorfall passiert, zählt jede Minute. Ein klar definierter Reaction-Workflow — wer wird informiert, wer setzt Passwörter zurück, wer prüft Konten — entscheidet darüber, ob ein Klick zu einem Datenleck wird oder folgenlos bleibt. Phishgate liefert dafür das zentrale Audit-Log: Welche Domain, welcher Mitarbeitender, welche Reaktion, welche Folgen.
Was bei isolierten Maßnahmen schiefgeht
Wer nur einzelne Schichten umsetzt, hat typische Schwachstellen:
- Nur Awareness: Funktioniert bei perfekten KI-Mails nicht mehr zuverlässig. Mitarbeitende treffen unter Zeitdruck falsche Entscheidungen.
- Nur MFA: Push-Bombing und MFA-Fatigue zeigen, dass auch MFA umgangen werden kann, wenn das Passwort bereits beim Angreifer ist.
- Nur Mail-Gateway: Lässt 8-12 % der gewarnten Mails trotzdem zum Klick durch — ohne Telemetrie über das, was im Browser passiert.
- Nur Browser-Warnschicht: Schützt im Login-Moment, aber ohne ergänzende Awareness und einen sauberen Reaction-Workflow bleibt Potenzial liegen.
Erst die Kombination aller vier Schichten ergibt einen robusten Schutz. Genau diese Kombination ist die Phishgate-Philosophie.
Konkreter Einstieg: Schritt für Schritt
Unternehmen, die heute starten, sollten in dieser Reihenfolge vorgehen:
- Quick Win in Woche 1-2: Phishgate-Pilotrollout in IT, Buchhaltung und Geschäftsführung. LOW Mode, um Akzeptanz zu sichern. Erste Telemetrie sammeln.
- Woche 3-4: Awareness-Auftaktschulung. Wir kommen vor Ort, schulen rollenbasiert, dokumentieren die Teilnahme.
- Woche 5-6: Vollrollout der Browser-Warnschicht inkl. FULL Mode für sensible Bereiche. Eskalations- und Reaction-Workflow finalisieren.
- Ab Monat 2: KPIs etablieren — Reporting-Quote, Time-to-Report, Repeat-Offender-Rate. DSB einbinden, falls noch nicht vorhanden.
Phishgate-Konzept: Mehr als nur eine Extension
Phishgate ist als integriertes Konzept ausgelegt: Browser-Extension, Admin-Dashboard, Awareness-Schulungen vor Ort und auf Wunsch externer Datenschutzbeauftragter. Das Ziel ist nicht, einzelne Tools zu verkaufen, sondern Unternehmen einen abgestimmten Schutz am kritischen Punkt zu liefern — am Login.
Fazit
Credential Phishing verhindern bedeutet, den Login-Moment ernst zu nehmen — als den eigentlichen Verteidigungspunkt. Awareness, Browser-Warnschicht, phishing-resistente MFA und ein klarer Reaction-Workflow greifen dort ineinander. Wer dieses Konzept umsetzt, reduziert das Risiko erfolgreichen Credential Phishings um Größenordnungen — und schafft gleichzeitig die Dokumentationsgrundlage, die im DSGVO-Audit zählt.