Phishing: Der häufigste Initial-Access-Vektor weltweit

Phishing ist seit Jahren laut Verizon DBIR der dominierende Initial-Access-Vektor für Cyberangriffe. Klassisches Massen-Phishing zielt auf Credentials, AI-Phishing perfektioniert die Personalisierung, und Spear-Phishing greift gezielt die Geschäftsleitung an. Diese Seite zeigt die Mechanik, dokumentierte Trends und die mehrschichtige Verteidigung aus SPF, DKIM, DMARC, URL-Defense, MFA und Awareness.

Phishing-Schutz prüfen Plattform entdecken
Bedrohung · MITRE T1566
Von Wolf-Agents Security Team · Aktualisiert: 13. Mai 2026
Definition

Was ist Phishing?

Phishing ist der Massen-Versand betrügerischer E-Mails mit gefälschten Links zu Credential-Harvesting-Sites oder Malware-Downloads. Verizon DBIR identifiziert Phishing seit Jahren als häufigsten Initial-Access-Vektor weltweit, der BSI-Lagebericht 2025 stuft Phishing als hochrelevante DACH-Bedrohung ein. Im MITRE ATT&CK-Framework ist Phishing die übergeordnete Initial-Access-Technik T1566; die gezielte Link-Variante ist die Sub-Technik T1566.002 (Spearphishing Link). Klassisches Phishing ist breit gestreut, AI-gestütztes Phishing perfektioniert seit 2023 die Personalisierung und nähert sich damit dem Spear-Pattern.

Phishing-Erfolg setzt eine gefälschte Identität voraus. Wer keine SPF/DKIM/DMARC-Authentifizierung veröffentlicht, ist die einfachste Vorlage für Imitation — der Angreifer versendet einfach im Namen der Marke, weil keine technische Hürde existiert. Wolf-Agents prüft im Email Security Check alle drei Authentifizierungs-Schichten und alarmiert über das Monitoring bei Konfigurations-Drift, der eine neue Phishing-Vektor-Lücke öffnet.

Phishing in einem Satz

Phishing ist Social Engineering mit technischer Email-Lieferung. Die Verteidigung ist deshalb mehrschichtig: SPF/DKIM/DMARC gegen Marken-Imitation, URL-Defense gegen Link-Klicks, MFA gegen Credential-Diebstahl, Awareness-Training gegen die soziale Vorbedingung.

Angriffs-Mechanik

Vom Massen-Versand zur AI-Personalisierung

Phishing-Angriffe folgen einem klaren Ablauf: Kit-Beschaffung (Phishing-as-a-Service-Marktplätze liefern fertige Templates für gängige Marken), Domain-Registrierung (Look-Alike oder Typosquat), Versand-Infrastruktur (Bulletproof-Hoster oder Hijacked-Cloud-Tenants), Versand und Credential-Sammlung. Die letzten 18 Monate haben mit AI-gestützter Personalisierung eine neue Stufe gebracht — grammatikalisch perfekte, kontextuell passende Mails ohne klassische Rechtschreibfehler.

1

Phishing-Kit + Domain

PhaaS-Marktplätze liefern fertige Templates. Look-Alike-Domain wird registriert (typosquat oder Unicode-Variante).

2

Versand-Infrastruktur

Bulletproof-Hosting, gestohlene Cloud-Tenants oder kompromittierte SMTP-Konten. Häufig: Massen-Versand über Open-Relays oder fehlkonfigurierte SPF-Records.

3

Versand + Klick-Tracking

Mail wird verschickt, der Angreifer trackt Öffnungs- und Klick-Raten. Bei AI-Phishing: dynamische Anpassung des Templates auf höhere Klickrate.

4

Credential-Sammlung + Monetarisierung

Eingegebene Credentials landen beim Angreifer. Schnelle Monetarisierung: Konto-Übernahme, BEC-Lateralbewegung, Verkauf im Underground-Markt.

AI-Phishing-Beispiel (anonymisiert) Phishing-Pattern 
From: Microsoft 365 Support <security@m1crosoft365-alerts.com>
Subject: Ungewöhnliche Anmeldeaktivität — Verifizierung erforderlich

Sehr geehrte/r {Vorname Nachname aus LinkedIn},

bei einer Anmeldung an Ihrem Konto am 12. Mai 2026, 14:23 UTC, wurde
ein bisher unbekanntes Gerät (Apple Mac, Berlin, DE) festgestellt.

Aus Sicherheitsgründen haben wir Ihren Zugriff temporär eingeschränkt.
Bitte verifizieren Sie sich innerhalb der nächsten 24 Stunden unter:

  https://login.m1crosoft365-alerts.com/verify?token=eyJ...

Andernfalls wird Ihr Konto am 13. Mai 2026 deaktiviert.

Mit freundlichen Grüßen,
Microsoft 365 Security Team
Dokumentierte Trends

Phishing-Trends 2023–2026

Die APWG Phishing Activity Trends Reports zeichnen den Phishing-Verlauf vierteljährlich auf. Verizon DBIR und der BSI-Lagebericht 2025 ergänzen das Bild um Branchen-Verteilungen und DACH-spezifische Lage. Der dominante Trend ab 2023: AI-gestützte Personalisierung, MFA-Bypass-Kits und stärkere Konzentration auf Cloud-Identitäten (M365, Google Workspace, Okta).

2024+

APWG Q2 2025 — 1.130.393 Phishing-Angriffe, höchstes Quartal seit Q2 2023

APWG dokumentierte in Q1 2025 1.003.924 Phishing-Angriffe, in Q2 2025 sogar 1.130.393 — höchster Q-Wert seit Q2 2023. Q4 2024 lag bei 989.123 mit einem 30 %-Anstieg an gebrandeten Imitations-Zielen. BEC-Durchschnitts-Wire-Transfer Q4 2024: 128.980 USD, nahezu doppelt so hoch wie Q3 2024 (67.145 USD). Quellen: APWG Q2 2025 (PDF) + APWG Q4 2024 (PDF).

2025

Verizon DBIR 2025 — Phishing nicht mehr alleiniger Top-Vektor

Der Verizon DBIR 2025 dokumentiert eine Trendwende: 22 % aller Breaches starten mit Credential Abuse (gestohlene Anmeldedaten), 16 % mit Phishing (in EMEA 19 %). Der menschliche Faktor (Fehler, Social Engineering, Missbrauch) ist bei 60 % aller Breaches beteiligt. Datensatz: 22.000 Incidents, 12.195 bestätigte Breaches — der größte DBIR-Datensatz aller Zeiten. Phishing bleibt einer der Top-3 Vektoren, hat aber Credential Abuse den ersten Platz abgegeben. Quelle: Verizon DBIR 2025 (PDF).

2025

BSI + KnowBe4 — 82,6 % aller Phishing-Mails AI-generiert

Der BSI-Lagebericht 2025 (Berichtszeitraum 1. Juli 2024 bis 30. Juni 2025) zitiert KnowBe4-Daten: 82,6 % aller Phishing-Mails sind heute AI-generiert; Deepfake-Angriffe gegen Unternehmen sind über 300 % gestiegen. Die klassische Rechtschreibfehler-Heuristik in Awareness-Trainings ist damit obsolet — moderne Schulungen müssen auf Kontext-Anomalien (ungewöhnlicher Auftraggeber, Bypass-Aufforderungen, Eile-Druck) zielen. Quelle: BSI-Lagebericht 2025.

2025

PCI DSS v4.0 + Microsoft — DMARC wird Pflicht

Seit März 2025 verlangt PCI DSS v4.0 DMARC für alle Organisationen, die Karten-Daten verarbeiten. Microsoft begann am 5. Mai 2025 mit der Ablehnung nicht-konformer Hochvolumen-Mails (≥ 5.000 Mails/Tag) an Outlook-/Hotmail-/Live-Empfänger mit SMTP-Status 550; 5.7.515. DMARC ist damit nicht mehr Best Practice, sondern operativer Compliance-Mindeststandard für Phishing-Schutz. Quellen: Proofpoint „From Best Practice to Must-Have“ Mai 2025 (PCI DSS) + Microsoft Tech Community „Outlook's New Requirements for High-Volume Senders“ (2025) (Microsoft-Reject).

Erkennung

Wie erkenne ich Phishing-Versuche?

Phishing-Erkennung ist mehrstufig: Technische Indikatoren (Authentication-Results, Link-Targets, Domain-Alter), Inhalt-Indikatoren (Dringlichkeit, Generizität, Misalignment zwischen Anbieter und Versand-Domain) und Verhaltens-Indikatoren (unerwartete Aufforderung zur Credential-Eingabe). Awareness-Trainings adressieren alle drei Ebenen — die durchschnittliche Klickrate sinkt in trainierten Belegschaften auf wenige Prozent.

Technische Indikatoren

  • Authentication-Results: dmarc=fail
  • Link-Target weicht von Linktext ab (Hover-Test)
  • Look-Alike-Domain in Sender oder Linkziel
  • Junge Domain-Registrierung (whois prüfen)
  • Versand-IP nicht im SPF-Record des angegebenen Absenders

Inhalt-Indikatoren

  • Dringlichkeit („innerhalb 24h“, „letzte Mahnung“)
  • Generischer Anredestil („Sehr geehrter Kunde“)
  • Anbieter-Logo, aber fremde Versand-Domain
  • Aufforderung zur Credential-Eingabe per Link
  • Angedrohte Konto-Sperrung oder -Löschung

Wolf-Agents-USP für Phishing

Der Wolf-Agents Email Security Check bewertet die technische Vorbedingung für Phishing: Ist Ihre eigene Domain für Marken-Imitation missbrauchbar (kein DMARC, p=none)? Wolf-Agents prüft SPF-Lookup-Limit (max. 10 nach RFC 7208), DKIM-Schlüssellängen (≥ 2048 Bit), DMARC-Policy-Stufe und Alignment-Modus. Eine schwache Konfiguration ist die einfachste Phishing-Angriffsfläche gegen Ihre Marke.

Schutzmaßnahmen

Wie schütze ich mich vor Phishing?

Phishing-Schutz ist mehrschichtig. Die Email-Authentifizierungs-Trias (SPF, DKIM, DMARC) verhindert direkte Marken-Imitation. URL-Defense und Browser-Phishing-Schutz prüfen Link-Ziele zur Klick-Zeit. MFA mit FIDO2 macht gestohlene Credentials wertlos. Awareness-Training reduziert die menschliche Klickrate. Jede Schicht allein ist unzureichend — zusammen reduzieren sie die Phishing-Erfolgsquote drastisch.

1

SPF konfigurieren

SPF-Record (RFC 7208) gegen direktes Domain-Spoofing. Wolf-Agents zählt Lookups zeichengenau gegen das 10er-Limit und bewertet Qualifier-Strenge.

2

DKIM signieren

DKIM (RFC 6376) liefert kryptografische Signatur. Ohne privaten Schlüssel kann kein Angreifer eine gültige DKIM-Signatur erzeugen.

3

DMARC + Reporting

DMARC (RFC 7489) macht Imitations-Versuche sichtbar — Aggregat-Reports zeigen alle IPs, die Ihre Domain im Header-From verwenden.

4

URL-Defense (Gateway)

Microsoft Defender Safe Links, Proofpoint URL Protection, Mimecast: Links werden zur Klick-Zeit gegen Threat-Intel geprüft — auch nachträglich aktivierte Phishing-Seiten.

5

FIDO2-MFA

Hardware-MFA (YubiKey, Apple Touch ID, Windows Hello) macht Credential-Diebstahl wertlos — der zweite Faktor lässt sich nicht abfischen.

6

Awareness-Training

Quartalsweise Phishing-Simulationen, Feedback an Klicker, Eskalations-Training für die Geschäftsleitung. NIS2 Art. 21 Abs. 2 lit. g (Cyberhygiene + Schulung).

Incident-Response

Was tun bei einem Phishing-Vorfall?

Bei erfolgreichem Phishing-Klick zählen die ersten Stunden. Konto-Reset (Passwort, Sessions, OAuth-Tokens) verhindert Lateralbewegung. Forensik (welche Daten waren im kompromittierten Konto?) bestimmt die Meldepflicht. Bei DACH-Unternehmen mit NIS2-Anwendbarkeit greift die 24-Stunden-Frühwarnpflicht für erhebliche Vorfälle.

  1. Konto-Reset — Passwort, alle aktiven Sessions terminieren, OAuth-App-Berechtigungen prüfen, MFA-Geräte rotieren. M365 + Google bieten Admin-Console-Wrapper für „Compromised Account“-Workflows.
  2. Forensik des Kontos — welche Emails wurden gelesen oder weitergeleitet? Audit-Log auf Mailbox-Regeln prüfen (häufige Angreifer-Spur). Folgenabschätzung für betroffene Daten.
  3. Lateralbewegungs-Check — wurde von dem Konto aus weitere Email verschickt? Reply-Chain-Hijacking? OAuth-Consent für neue Apps?
  4. Aggregat-Phishing-Wave? — wenn mehrere Konten gleichzeitig betroffen: gemeinsame Phishing-Quelle suchen, ggf. Mail-Gateway-Regel ergänzen.
  5. DSGVO Art. 33 + 34 — bei personenbezogenen Daten im kompromittierten Konto: 72h-Meldung an die Datenschutz-Aufsicht, ggf. Benachrichtigung der Betroffenen.
  6. NIS2 Art. 23 — bei erheblichem Vorfall (Anzahl Betroffener, Schadenshöhe, Branche): 24h-Frühwarnung, 72h-Meldung, 1-Monats-Bericht.
Compliance

Phishing-Schutz nach NIS2, BSI und DSGVO

Phishing ist die häufigste Auslöser-Kategorie für regulatorische Vorfälle. NIS2 Art. 21 Abs. 2 lit. b (Vorfall-Bewältigung), lit. g (Cyberhygiene + Schulung) und lit. h (Kryptografie via DKIM) greifen alle. Die DSGVO Art. 32 verlangt technische Maßnahmen, Art. 33/34 die Meldung bei Datenpannen. BSI TR-03108 ist der DACH-Standard für sicheren Email-Transport.

NIS2 Art. 21 Abs. 2 lit. b + g + h

lit. b verlangt Incident-Response-Plan für Phishing-Vorfälle. lit. g verlangt Cyberhygiene-Schulungen (Awareness-Training). lit. h verlangt Kryptografie — DKIM gehört dazu.

BSI TR-03108

Die BSI Technische Richtlinie für sicheren Email-Transport fordert SPF, DKIM und DMARC. Sie ist die DACH-Referenz für Email-Sicherheit nach dem Stand der Technik.

DSGVO Art. 32/33/34

Art. 32: technische Maßnahmen. Art. 33: 72h-Meldung an Aufsichtsbehörde bei Datenpannen aus Phishing. Art. 34: Benachrichtigung der Betroffenen bei hohem Risiko.

Der Wolf-Agents Email Security Check bewertet alle drei Compliance-Säulen automatisch. Das Monitoring erkennt DMARC-Drift, der eine neue Phishing-Vektor-Lücke öffnen könnte.

Wie steht Ihre Domain bei Phishing?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten

Häufig gestellte Fragen

Was ist Phishing?

Phishing ist der Massen-Versand betrügerischer E-Mails, die den Empfänger zum Klick auf einen gefälschten Link bewegen sollen — entweder zu einer Credential-Harvesting-Site (gefälschte Login-Seite einer Bank, eines Cloud-Dienstes etc.) oder zu einer Malware-Download-Seite. Verizon DBIR identifiziert Phishing seit Jahren als häufigsten Initial-Access-Vektor weltweit, der BSI-Lagebericht 2025 stuft Phishing als hochrelevante DACH-Bedrohung ein.

Was unterscheidet Phishing von Spear-Phishing?

Klassisches Phishing ist Massen-Versand mit niedriger Personalisierung — der Angreifer streut breit und hofft auf eine kleine Erfolgsquote. Spear-Phishing ist die gezielte Variante: Der Angreifer recherchiert eine spezifische Person oder Organisation und konstruiert eine maßgeschneiderte Nachricht. BEC (siehe eigene Seite) ist die extremste Form von Spear-Phishing — ohne Link, rein sozial. Whaling ist Spear-Phishing gegen die Geschäftsleitung.

Wie verändert AI die Phishing-Landschaft?

AI-Phishing nutzt LLM-Texte zur Erstellung grammatikalisch perfekter, kontextuell passender Phishing-Mails — die klassischen Rechtschreibfehler als Erkennungssignal sind weitgehend verschwunden. Laut BSI-Lagebericht 2025 (Berichtszeitraum 1. Juli 2024 bis 30. Juni 2025) sind 82,6 % aller Phishing-Mails bereits AI-generiert (Datenbasis KnowBe4); Deepfake-Angriffe gegen Unternehmen sind über 300 % gestiegen. Klassische Awareness-Heuristiken (Rechtschreibfehler, falsche Grammatik) sind damit obsolet — moderne Schulungen müssen auf Kontext-Anomalien zielen: ungewöhnlicher Auftraggeber, Bypass-Aufforderungen („nicht mit X sprechen“), Eile-Druck und Reply-To-Drift.

Wie verhindern SPF, DKIM und DMARC Phishing?

Sie verhindern direktes Domain-Spoofing — der Angreifer kann nicht mehr E-Mails mit IHRER Domain im Header-From versenden, sofern Sie DMARC mit p=reject veröffentlicht haben. Das stoppt eine ganze Klasse von Phishing-Angriffen, die Ihre Marke imitieren. Es stoppt NICHT: Phishing aus Look-Alike-Domains (mircosoft.com), Display-Name-Spoofing (legitime Domain, gefälschter Anzeigename) oder Phishing-Kampagnen, die Ihre Domain gar nicht imitieren wollen.

Welche zusätzlichen Schutz-Schichten gegen Phishing gibt es?

URL-Defense (Microsoft Defender Safe Links, Proofpoint URL Protection) ersetzt Links durch eine Scan-Wrapper-URL und prüft die Ziel-Seite zum Klick-Zeitpunkt — auch nachträglich aktivierte Phishing-Seiten werden erkannt. MFA mit FIDO2 macht gestohlene Credentials wertlos, da der Hardware-Schlüssel nicht abgefischt werden kann. Awareness-Training reduziert die Klickrate signifikant. Phishing-resistente MFA (Hardware-Schlüssel) ist NIS2 Art. 21 Abs. 2 lit. j konform.

Wie hoch ist die Phishing-Erfolgsquote in Unternehmen?

Schwankt nach Branche und Zielgruppe. Branchen-Reports der großen Awareness-Anbieter (KnowBe4, Proofpoint, Cofense) dokumentieren typische Klickraten zwischen 3 % und 30 % in untrainierten Belegschaften — nach 12 Monaten Training oft im niedrigen einstelligen Prozentbereich. Verizon DBIR 2025 dokumentiert konkret: Phishing leitete 16 % aller untersuchten Breaches ein, in EMEA sogar 19 % — und der menschliche Faktor (Fehler, Social Engineering, Missbrauch) war bei 60 % aller Breaches beteiligt. Der finanzielle Aggregat-Schaden steht im FBI IC3 Annual Report 2024 (16,6 Mrd. USD Cybercrime-Gesamtschaden, davon 2,77 Mrd. USD BEC).

Welche Anti-Phishing-Bewertung liefert Wolf-Agents?

Der Email Security Check bewertet die technische Phishing-Vorbedingung: SPF (Lookup-Limit, Qualifier), DKIM (Signatur-Stärke 2048 Bit Mindestlänge), DMARC (Policy + Alignment + Subdomain-Override) zusammen 79 von 165 Punkten. Eine schwache Konfiguration ist die einfachste Angriffsfläche. Das Monitoring (alle 6 Stunden) erkennt Drift, der Phishing-Angreifern eine neue Eintritts-Vektor öffnet — etwa nach einem Hosting-Wechsel oder einer Marketing-Tool-Integration.