Spear-Phishing zählt zu den gefährlichsten Angriffsformen im Unternehmen. Anders als Massen-Phishing zielt es gezielt auf einzelne Personen — Geschäftsführung, Buchhaltung, Vorstandsassistenz, IT-Administration. Die Angreifer recherchieren tagelang, kennen interne Strukturen und schreiben Mails, die sich von echter Korrespondenz kaum unterscheiden lassen.
Die gute Nachricht: Selbst die professionellsten Spear-Phishing-Mails folgen wiederkehrenden Mustern. Wer fünf typische Warnzeichen kennt, kann die meisten Angriffe rechtzeitig stoppen. Diese Checkliste eignet sich auch als Aushang für die Buchhaltung oder als Folie in der nächsten Awareness-Schulung.
1. Künstliche Dringlichkeit ohne nachvollziehbaren Grund
„Bitte heute noch freigeben.“ „Nur noch 30 Minuten Zeit.“ „Der Notar wartet bereits.“ Echte Geschäftsprozesse haben fast immer Puffer. Künstlicher Zeitdruck ist eines der zuverlässigsten Phishing-Signale überhaupt — er soll Rückfragen verhindern und kritisches Denken aushebeln.
Was tun? Bei jedem als dringend markierten Vorgang gilt: kurz innehalten, telefonisch über eine bekannte Nummer rückversichern. Lieber zehn Minuten Verzögerung als ein sechsstelliger Schaden.
2. Wechsel des Kommunikationskanals
Der vermeintliche CEO schreibt plötzlich aus seiner privaten Gmail-Adresse. Der bekannte Lieferant kontaktiert die Buchhaltung über eine neue Mail-Adresse mit der Begründung „IT-Umstellung“. Eine Anwaltskanzlei meldet sich erstmals per WhatsApp.
Jede Verlagerung weg vom etablierten Kanal ist ein Warnsignal — gerade wenn gleichzeitig eine Aktion verlangt wird, die normalerweise im Standardprozess läuft. Etablieren Sie als Regel: Sensible Vorgänge laufen ausschließlich über offizielle Kanäle.
3. Aufforderung zur Geheimhaltung
Die Mail enthält die Bitte, niemanden weiter zu informieren — angeblich wegen einer M&A-Transaktion, einer Sonderprüfung oder einer vertraulichen Personalentscheidung. Genau diese Aufforderung ist ein klassisches Manipulationsmuster, um interne Vier-Augen-Prinzipien auszuhebeln.
Echte Geheimhaltung funktioniert anders: über schriftliche NDAs, klar definierte Kommunikationskreise und vorab abgestimmte Prozesse — nicht über eine spontane Bitte in einer einzelnen Mail.
4. Eingebettete Login-Aufforderung auf externer Seite
Die Mail enthält einen Link zu einem angeblich internen Tool — etwa „Bitte loggen Sie sich hier ein, um den Vertrag freizugeben“. Auch wenn die Seite auf den ersten Blick wie ein bekanntes Tool aussieht, lohnt sich ein zweiter Blick.
Hier setzt eine technische Schutzschicht im Browser an: Phishgate prüft automatisch, ob die Domain in der Unternehmens-Whitelist oder in der globalen Phishgate-Whitelist enthalten ist. Ist sie unbekannt und erscheint ein Passwortfeld, warnt die Extension den Mitarbeitenden direkt im Browser. Im FULL Mode wird der Zugriff stärker eingeschränkt.
5. Subtile Domain-Variationen
Aus microsoft.com wird microsott-secure.com. Aus sap.com wird sap-portal-eu.com. Aus ihr-unternehmen.de wird ihr-unternehmen-login.de. Solche Domain-Varianten sind im Stress kaum zu erkennen — gerade dann nicht, wenn die Seite optisch perfekt nachgebaut wurde.
Mitarbeitende sollten sich vor jeder Eingabe von Zugangsdaten angewöhnen, einen kurzen Blick in die Adresszeile zu werfen. Eine Browser-Warnschicht wie Phishgate übernimmt diese Prüfung automatisch — und reduziert damit die Belastung der Mitarbeitenden.
Was Mitarbeitende bei Verdacht tun sollten
Bei einem Phishing-Verdacht gelten zwei einfache Regeln:
- Nicht klicken, nicht antworten, nicht weiterleiten.
- Sofort an den definierten internen Meldekanal weitergeben — IT-Helpdesk, Security-Postfach oder eine entsprechende Browser-Funktion.
Wichtig ist die Kultur dahinter: Eine falsche Verdachtsmeldung darf nie peinlich sein. Im Gegenteil — jeder Mitarbeiter, der lieber einmal zu viel meldet, schützt das ganze Unternehmen.
Warum Erkennen allein nicht reicht
Selbst geschulte Mitarbeitende treffen unter Zeitdruck und am Freitagnachmittag falsche Entscheidungen. Studien zeigen, dass auch nach intensiven Awareness-Programmen 5 bis 10 Prozent der Mitarbeitenden auf gut gemachte Phishing-Mails reagieren. Genau deshalb braucht es eine zweite, technische Schutzschicht.
Phishgate setzt genau dort an: als Warnung im Browser, sobald ein Passwortfeld auf einer nicht freigegebenen Domain erscheint. Kombiniert mit Awareness-Schulungen — auf Wunsch direkt durch unsere Trainer in Ihrem Unternehmen — entsteht ein robustes Schutzkonzept, das Wissen und Technik verbindet.
Fazit
Spear-Phishing lässt sich nicht vollständig verhindern, aber zuverlässig erschweren. Die Kombination aus den fünf Warnzeichen, einer klaren Meldekultur und einer Browser-Warnschicht reduziert das Risiko deutlich. Wer Awareness und Technik gemeinsam denkt, ist gegen die meisten Spear-Phishing-Versuche gut aufgestellt.