Frau sitzt an Laptop – von oben ragt symbolisch ein Haken an einer Schnur ins Bild, an dem ein Bildschirm hängt.
Security

Spear Phishing erkennen und sich schützen: Darauf kommt es an

E-Mails mit Gewinnbenachrichtigungen oder Gratisangebote in schlechtem Deutsch: Auf solche Phishing-Attacken fallen viele Internetnutzer:innen nicht mehr herein. Deswegen haben Cyberkriminelle aufgerüstet und lauern ihren Opfern mittels Spear Phishing auf. Wie das funktioniert und wie Sie sich, Ihre Mitarbeiter:innen und Ihr Unternehmen davor schützen, erfahren Sie hier.

Clevere Attacken: Beim sogenannten Spear Phishing spionieren Kriminelle ihre Zielpersonen teilweise monatelang aus – um dann bei passender Gelegenheit blitzschnell zuzuschlagen. Meist merken die Betroffenen erst, dass sie Opfer eines Spear-Phishing-Betrugs geworden sind, wenn es bereits zu spät ist. Doch es gibt Warnhinweise, die Sie kennen sollten.

Inhaltsverzeichnis

Was ist Spear Phishing? – Die Definition

Wörtlich übersetzt bedeutet „Spear Phishing“ so viel wie „Speerfischen“. Beim Speerfischen abseits der virtuellen Welt lauern Angler:innen geduldig am oder im Wasser auf ihre Beute. Schwimmt ein Fisch vorbei, stoßen sie blitzschnell mit dem Speer zu. Das Tier hat in den meisten Fällen keine Chance.
Ähnlich verhält es sich beim Spear Phishing: Diese Sonderform der Hackingtechnik Phishing beruht darauf, dass Angreifer:innen sich zunächst detailliert über ihr potenzielles Opfer informieren und dessen Gewohnheiten aufzeichnen. Häufig handelt es sich bei den Opfern um Führungskräfte der mittleren oder oberen Managementebene in Unternehmen. Aber auch kaufkräftige Privatpersonen sind gängiges Ziel solcher Angriffe.
Nach der Spionagephase versuchen die Angreifer:innen, ihre Opfer durch geschickte und möglichst unverdächtig wirkende Aktionen wie personalisierte E-Mails zum Anklicken gefährlicher Links zu bewegen. Diese E-Mails sind im Gegensatz zu vielen primitiven Phishing-Mails in fehlerfreier, gut lesbarer Sprache verfasst. So wirken sie wie echte Anfragen von Kund:innen, Kolleg:innen oder Geschäftspartner:innen. Schon deshalb sind sie oft nur schwer als Phishing zu erkennen.
Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

  • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
  • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
  • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Hinter Links in den E-Mails verbergen sich oft Malware-Downloads oder Eingabeformulare für Kreditkartendaten und andere vertrauliche Informationen. Erkennt ein Opfer Spear Phishing nicht und bricht den Vorgang nicht rechtzeitig ab, folgt meist umgehend der Missbrauch der eingegebenen Zahlungsdaten oder es kommt beispielsweise zu einer Lösegelderpressung (sogenannte Ransomware-Attacken).
In einer IDC-Untersuchung aus dem Jahr 2021 kam Phishing als Oberbegriff, zu dem auch Spear Phishing gehört, auf Platz Vier der häufigsten Cyberattacken gegen Unternehmen. Das Perfide: Dadurch, dass ein solcher Angriff gezielt und unvermittelt erfolgt, sind die Opfer meist ahnungslos und bemerken das Problem oft erst Tage später. Das macht es schwierig, Spuren zurückzuverfolgen und die Täter:innen zu ermitteln.
Statistik zeigt die anteilsmäßige Entwicklung der einzelnen Arten von Cyberangriffen zwischen 2019 und 2021 in Unternehmen.
Cyberangriffe sind kein seltenes Phänomen mehr. Sie betreffen nahezu jedes Unternehmen heutzutage.
Besonders gefährdet und häufige Ziele von Spear-Phishing-Attacken sind:
  • Führungskräfte oder leitende Angestellte in Unternehmen
  • Administrator:innen mit besonderen Berechtigungen
  • Vertreter:innen von Banken und Kreditinstituten
  • Behördenvertreter:innen
  • Vermögende Privatpersonen

Spear Phishing und künstliche Intelligenz

Sicherheitsexpert:innen warnen davor, dass Kriminelle beim Spear Phishing zunehmend auf künstliche Intelligenz (KI) setzen. Sie sammeln per KI gezielt Informationen über ihre Opfer aus Social Media, Internetforen und weiteren Online-Quellen. Dieses Wissen nutzen sie anschließend, um besonders glaubhafte E-Mails zu formulieren – etwa mit inhaltlichem Bezug auf eine Social-Media-Kampagne des anzugreifenden Unternehmens.
Mittels KI ist es zudem sehr einfach, echt wirkende Rechnungen für Logistikdienstleistungen, IT-Hardware oder anwaltliche Beratung aufzusetzen, ohne die Fachbegriffe, Lieferkonditionen und Geschäftsgepflogenheiten dieser Branchen überhaupt zu kennen.
Der Kölner IT-Sicherheitsdienstleister SoSafe warnt, dass Hacker:innen mittels KI ihre kriminelle Produktivität erheblich steigern können. Es ist also zukünftig mit deutlich mehr Phishing- und Spear-Phishing-Attacken zu rechnen.
Automatisiertes Phishing per Chatbot und Telefonroboter könnte schon bald die bisher noch sehr leicht zu enttarnenden Phishing-Anrufe ersetzen, in denen sich Personen zum Beispiel als Microsoft-Mitarbeiter:innen ausgeben („Tech Support Scam“).
Besonders heikel: Findet eine KI im Internet eine mindestens 3-sekündige Sprachaufzeichnung, beispielsweise aus einer Unternehmenspräsentation oder der Vorstandsrede zur letzten Hauptversammlung, dann kann sie die Stimme des/der CEO am Telefon täuschend echt nachmachen. Es kursieren beispielsweise bereits zahlreiche KI-generierte Videos, in denen Tesla-CEO Elon Musk scheinbar Finanzprodukte von zweifelhafter Qualität empfiehlt.
Mehrere Roboter mit Headsets sitzen vor Laptops an einem Tisch.
Am Telefon die Stimmen der Vorgesetzten nachmachen, eine Überweisung auf ein Auslandskonto beauftragen und sich dabei auf echte Geschäftsvorgänge beziehen? Beim Spear Phishing mittels künstlicher Intelligenz geht das sogar automatisiert.

Wie funktioniert Spear Phishing? – Ablauf einer Attacke

Spear Phishing – kleiner Anteil, hohe Erfolgsrate

Spear Phishing ist eine extrem effiziente Cyberattacke, obwohl sie nur 0,1 Prozent der gesamten Phishing-Attacken ausmacht. Trotzdem macht Spear Phishing 66 Prozent aller erfolgreichen Phishing-Angriffe aus. (Quelle: Top Phishing Statistics for 2024, CyberX)

Damit eine Spear-Phishing-Attacke erfolgreich ist, brauchen die Angreifer:innen zunächst ein Einfallstor in die Datenwelt ihres Opfers. Im Gegensatz zu einer herkömmlichen Phishing-Attacke, bei der Kriminelle E-Mails häufig wahllos an tausende potenzielle Opfer versenden, richtet sich der E-Mail-Scam (Betrug) konsequent und direkt an eine bestimmte Person oder eine ausgewählte Personengruppe.
Meist enthalten diese Mails sowohl die korrekten Namen der Adressat:innen, als auch persönliche Daten, etwa deren Aufgabenbereiche in ihren Unternehmen, Personalnummern oder Ähnliches.
Teilweise beziehen kriminelle Angreifer:innen persönliche Interessen der Opfer in die Phishing-Attacke mit ein und nutzen öffentlich einsehbare Informationen wie eine mögliche Vereinszugehörigkeit, den Wohnsitz oder den Familienstand einzubeziehen.
Ein typisches Beispiel für eine Phishing-Attacke auf ein potenzielles Opfer (wir nennen ihn zur Veranschaulichung Constantin) ist dieser Text:
„Hallo Constantin, anbei findest Du den Entwurf für einen möglichen neuen Webshop. Wir findest Du ihn? – Viele Grüße, Felix“
Klickt der Empfänger nun das Wort „Webshop“ an, landet er auf einer eigens vorbereiteten Malware-Seite, auf der etwas herunterzuladen ist. Das kann beispielsweise eine ZIP-Datei sein, die angeblich Dateien zum neuen Webshop enthält. Tatsächlich enthält die Datei jedoch ein Schadprogramm, nach dessen Installation der oder die Angreifer:in im schlimmsten Fall sämtliche Tastatureingaben (also auch Passwörter) mitlesen kann – und so Vollzugriff auf den Rechner des Opfers erhält.
Klickt der oder die Empfänger:in nun das Wort "Webshop" an, landet er auf einer eigens vorbereiteten Malware-Seite, auf der etwas herunterzuladen ist. Das kann beispielsweise eine ZIP-Datei sein, die angeblich Dateien zum neuen Webshop enthält. Tatsächlich enthält die Datei jedoch ein Schadprogramm, nach dessen Installation der oder die Angreifer:in im schlimmsten Fall sämtliche Tastatureingaben (also auch Passwörter) mitlesen kann und Vollzugriff auf den Rechner des Opfers erhält.
Spear-Phishing-E-Mails sind aus gleich mehreren Gründen nur schwer als Phishing-Mails zu erkennen:
  • Der Name des Empfängers oder der Empfängerin ist normalerweise korrekt.
  • Die E-Mail ist normalerweise in fehlerfreiem Deutsch (oder ggf. Englisch) verfasst.
  • Die Angreifer:innen wissen, dass Constantin in einer Firma arbeitet, die einen Webshop anbietet und dass sein direkter Vorgesetzter Felix heißt.
  • Der Link zum angeblichen Webshop ist nicht im Klartext angegeben, sondern offenbart sich häufig erst durch Anklicken.
  • Die E-Mail weckt Neugierde auf eine bislang unbekannte Information und fordert gleichzeitig zu einer scheinbar unverfänglichen Handlung auf.

Unterschiede zwischen Phishing, Spear Phishing und Whaling

Allgemein geht es beim Phishing stets darum, einen Köder auszulegen, den potenzielle Opfer „schlucken“ sollen. Die Kommunikation erfolgt meist per E-Mail und über Links zu schädlichen Webseiten. Phishing ist ein Massenphänomen. Kriminelle versenden jeden Tag Millionen meist schlecht formulierte und nicht persönlich adressierte Phishing-Mails in der Hoffnung, dass einige davon trotzdem ihre Opfer finden.
Beim Spear Phishing sammeln Kriminelle hingegen zuerst Informationen über ihr Opfer und versenden keine Massen-E-Mails, sondern fahren gezielte Angriffe gegen Einzelpersonen oder ausgesuchte Personengruppen.
Beim sogenannten Whaling wiederum versuchen Angreifer:innen, gezielt „dicke Fische“ in Unternehmen wie Führungskräfte auf C-Level-Ebene und höher anzusprechen. Whaling wird deshalb auch als Big Phishing oder „CEO fraud“ bezeichnet. Der Aufwand ist hier nochmals höher. Aber auch die Chancen auf besonders hohe Diebstahlssummen sind entsprechend größer - immerhin haben Führungskräfte oft die entsprechenden Vollmachten, um sogar zweistellige Millionenbeträge ohne weitere Prüfung zu überweisen.
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

Checkliste: So erkennen Sie einen Angriff

Eine Spear-Phishing-E-Mail ist gleich aus mehreren Gründen nur schwer als Phishing-Mail zu erkennen:
  • Die Mail ist an eine konkrete Person adressiert, die es im Unternehmen tatsächlich in der entsprechenden Abteilung gibt. Vor- und Nachname sind richtig geschrieben.
  • Die E-Mail ist in der Regel in fehlerfreier Landessprache oder in gehobenem Business-Englisch formuliert und nicht bloß maschinell erstellt oder übersetzt.
  • Die Angreifer:innen wissen außerdem, dass die adressierte Person zum Beispiel in einer Firma arbeitet, die einen Webshop betreibt. Sie kennen auch die Namen und korrekten Mail-Signaturen der Vorgesetzten dieser Person.
  • Links in der E-Mail sind nicht im Klartext angegeben, sondern zum Bespiel als Kurzlink eingebaut oder hinter einem harmlosen Link-Text wie „Besprechungsvorlage“ versteckt.
  • Die E-Mail weckt Neugierde auf eine bislang unbekannte Information und fordert gleichzeitig zu einer scheinbar unverfänglichen Handlung auf.
Ganz klar: Verdächtige Links sollten Sie auf keinen Fall anklicken und die zugehörige E-Mail oder Messenger-Nachricht am besten sofort löschen. Doch wie erkennen Sie verdächtige Inhalte in der Praxis? Es gibt Hinweise, mit denen Sie auch besonders perfide getarnte und lange vorbereitete Spear-Phishing-Mails als solche entlarven können:
  • Fehlender Bezug: Die E-Mail wirkt „aus dem Kontext gerissen“, das heißt es gab normalerweise keine vorhergehende Diskussion zum selben Thema oder einen Geschäftsvorgang mit derselben Person.
  • Merkwürdiger Link: Der Link führt zu einer nur scheinbar unverdächtigen Seite: Welche Zielseite aufgerufen werden soll, können Sie in vielen E-Mailprogrammen herausfinden, indem Sie mit der Maus über den Link fahren und dort eine Zeit lang verweilen. Hier steht meist rechts unten im Fenster die Zielseite. Entscheidend ist die Endung: Führt diese auf eine Webseite, die nicht ganz hinten mit einer der üblichen Endungen „.de“, „.com“ oder „.net“ versehen ist, ist bereits eine gewisse Vorsicht geboten. Häufig führen die verdächtigen Links nur scheinbar auf bekannte Seiten und verwirren durch gezieltes Ersetzen von Bindestrichen durch Punkte und umgekehrt. Angreifer:innen verwenden gerne auch Abkürzungsdienste wie bit.ly um verdächtige Adressen und Links zu tarnen. Oder sie kaufen Domains, die an echte Firmennamen erinnern. So ist beispielsweise die Domain mercedes-kundendienst.de bisher frei und könnte jederzeit von Kriminellen registriert werden.
  • Knappe Formulierungen: Um sich nicht selbst zu enttarnen, halten Kriminelle ihre Spear-Phishing-Mails meistens kurz. Oft enthalten die E-Mails nur eine einzige Aufforderung. Denn ansonsten wächst für die Täter:innen die Gefahr, dass sie sich durch falsche Informationen oder zu viele Aufforderungen und Links selbst entlarven.

Beispiele für Spear Phishing

Obwohl die Gefahr des Spear Phishing bekannt ist, kommt es regelmäßig zu erfolgreichen Attacken mit Millionenschäden für die betroffenen Unternehmen. Häufig nutzen die Angreifer:innen dabei bewusst oder unbewusst interne Sicherheitslücken aus, die es selbst in vielen großen Firmen immer noch gibt.

FACC

Rund 90mal überwies eine Mitarbeiterin des österreichischen Flugzeugausrüsters FACC im Jahr 2015 gutgläubig Geld auf anonyme Auslandskonten. Unbekannte hatten ihr mittels angeblicher E-Mails aus der FACC-Vorstandsetage die Anweisung hierzu erteilt. Weil der Betrug monatelang unentdeckt blieb, summierte sich der Gesamtschaden schließlich auf rund 50 Millionen Euro. Ein kleiner Teil des Geldes konnte im Ausland später wieder aufgespürt werden. Der Betrug gehört zur Kategorie „Fake President Fraud“ – frei übersetzt etwa: „Betrug durch falschen Vorstand“. Zwei Mitglieder des Unternehmensvorstandes mussten die Firma verlassen, weil sie kein Kontrollsystem installiert hatten, das den Betrug hätte verhindern können.

Pathé

Rund 20 Millionen Euro kostete den französischen Kinobetreiber Pathé ein ähnlicher Betrugsfall im Jahr 2018. Auch hier hatten Kriminelle mit fingierten Vorstands-Mails insgesamt vier Auslandsüberweisungen autorisiert. Der Unternehmensbuchhaltung war eine anstehende und vertraulich zu behandelnde Fusion mit einem Unternehmen aus Dubai als Grund genannt worden. Ohne sich beim Vorstand rückzuversichern, tätigten die Mitarbeiter:innen die fatalen Überweisungen.

Facebook und Google

Selbst Internet-Firmen mit großen IT- und Sicherheitsabteilungen sind nicht gegen Spear-Phishing-Attacken gefeit. So wurden der Social-Media-Dienst Facebook und der Suchmaschinenanbieter Google 2017 Opfer einer Hacking-Attacke, bei der die Unternehmen um insgesamt mehr als 100 Millionen US-Dollar betrogen wurden. Der litauische Einzeltäter gab sich als Mitarbeiter eines taiwanischen Hardwareausrüsters aus und legte seinen Opfern zahlreiche Rechnungen vor, die diese häufig ohne weitere Überprüfung beglichen.

So können sich Unternehmen schützen

Wie oben beschrieben, können Sie viele Spear-Phishing-Versuche bereits an der Art und den Formulierungen in E-Mails erkennen. Doch was, wenn die E-Mails derart gut gemacht sind, dass Sie den Betrug einfach nicht als solchen erkennen?
Moderne Security-Lösungen arbeiten mit riesigen Datenbanken bekannter Bedrohungen. Sie enthalten beispielsweise verdächtige Links, Schlüsselwörter oder häufig verwendete Formulierungen aus bekannten Phishing-E-Mails.
Eine solche Software kann Ihr Eingangs-Postfach überwachen. Dabei filtert sie erkannte Phishing-E-Mails selbständig aus, bevor die Gefahr besteht, dass Sie oder Ihre Mitarbeiter:innen auf darin enthaltene Links klicken.
Ein ideales Sicherheitskonzept besteht immer aus mehreren Ebenen. Entweder decken Sie diese selbst ab (inhouse), oder nutzen dafür einen oder mehrere Anbieter. Zu den Ebenen gehören:
  1. Firewall: Mithilfe einer optimal konfigurierten Firewall verhindern Sie, dass schädliche Programme auf Rechner in Ihrem Firmennetzwerk zugreifen oder Daten „nach draußen“ übermitteln. Selbst scheinbar harmlose Informationen wie die Listen interner Telefondurchwahlen oder E-Mail-Funktionsadressen können beim Spear Phishing gegen Sie verwendet werden.
  2. Virenscanner: Sämtliche Arbeitsplatzrechner sollten einen aktuellen Virenscanner nutzen. Dieser prüft das System sowohl in Echtzeit als auch in regelmäßigen Abständen auf versteckte Bedrohungen. Meist bietet er auch die Möglichkeit an, diese direkt zu entfernen.
  3. Managed-Security-Lösung: Mithilfe einer verwalteten Security-Lösung sorgen Sie für zusätzliche Sicherheit. Dabei kümmert sich ein Team von Cyber-Expert:innen rund um die Uhr darum, dass keine aktuellen Bedrohungen für Ihr Unternehmen zum Risiko werden.
  4. Schulung und Sensibilisierung: Führen Sie regelmäßige Schulungen durch – auf Wunsch auch über einen unserer Partner. So sorgen Sie dafür, dass Ihre Mitarbeiter:innen gängige Cyber-Risiken kennen – und zum Beispiel nicht leichtfertig Links anklicken, deren Zielseite sie nicht kennen.
  5. Vier-Augen-Prinzip: Lassen Sie größere Überweisungen immer von mindestens zwei Personen autorisieren. Kennen beide Personen den zugehörigen Geschäftsvorgang nicht, sollten Sie die Überweisung zurückstellen, bis alle Unklarheiten beseitigt sind.
  6. Zwei-Faktor-Authentifizierung: Lassen Sie sich sensible Vorgänge immer noch einmal von der beauftragenden Abteilung bestätigen, beispielsweise die Herausgabe vertraulicher Geschäftsdaten an eine unbekannte Anwaltskanzlei oder eine größere Überweisung an unbekannte Firmen im Ausland. Diese Bestätigung einer verdächtigen E-Mail sollte immer auf einem anderen Verbindungsweg erfolgen, beispielsweise per Telefon oder über einen firmeninternen Kurznachrichtendienst.
Junger Mann im Home Office schaut auf seinen Notebook-Bildschirm

Identitätsprüfung leicht gemacht

Nicht sicher, ob eine Person die ist, für die sie sich ausgibt? Mit den Vodafone Identity Verification Services haben Cyber-Kriminelle beim Identitätsbetrug keine Chance.

  • Unrechtmäßige Zugriffe entdecken
  • Identitätsdiebstähle aufdecken
  • Konten und Daten wirksam schützen

Spear Phishing: Das Wichtigste in Kürze

Beim Spear Phishing handelt es sich um eine besonders perfide und zielgerichtete Variante der sogenannten Phishing-Attacken:
  • Angreifer:innen legen virtuelle Köder aus, um ahnungslose Opfer dazu zu bringen, Links in E-Mails oder Messenger-Nachrichten anzuklicken.
  • Die Köder sind auf das mögliche Opfer speziell zugeschnitten und normalerweise nicht Teil eines massenhaften E-Mail-Versands.
  • In der Folge gelangt entweder Malware auf die Rechner der Opfer; oder die Opfer werden auf manipulierenden Webseiten zur Eingabe sensibler Daten aufgefordert.
  • Ein gewisser Schutz ist möglich, indem eingehende Nachrichten auf bestimmte Merkmale hin untersucht werden, die diese als Köder entlarven.
  • Managed-Security-Lösungen filtern Phishing-Köder häufig bereits heraus, bevor diese Schaden anrichten können
Das könnte Sie auch interessieren:
Security
Digitale Darstellung eines trojanischen Pferds vor einer dreidimensionalen Unicode-Darstellung als Symbol für einen Trojaner.

Was ist ein Trojaner? Definition & Funktionsweise

Der Trick stammt vom berühmten „trojanischen Pferd“ aus der griechischen Mythologie und ist längst zum geflügelten Wort geworden: Ein Trojaner schleicht sich meist unter dem Deckmantel einer nützlichen Anwendung in ein geschlossenes IT-System ein und greift es von innen heraus an. Für Unternehmen stellen Trojaner eine enorme Gefahr dar: Vom Diebstahl über die Systemübernahme bis hin zur Zerstörung kompletter Datenbestände ist dabei erheblicher Schaden möglich. Anwender:innen bekommen meist nichts von einem Trojaner-Angriff mit – bis es zu spät ist. Selbst wenn Sie dann den Trojaner nach der Entdeckung vom Rechner löschen, können die durch ihn installierten Schadprogramme oft weiterhin unbemerkt ihren Aufgaben nachgehen. Doch im Gegensatz zur Bevölkerung der antiken Stadt Troja sind Sie dem Angreifer nicht schutzlos ausgeliefert: In diesem Artikel erfahren Sie, welche Arten von Trojanern es gibt, wie diese vorgehen und wie Sie Ihr Unternehmen gegen die Schädlinge schützen können.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

0800 505 4512

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort