Phishing: Warum ein einziger Klick teuer werden kann – und wie man ihn verhindert

Eine E-Mail mit dem Swisscom-Logo, eine angebliche Sprachnachricht, ein Klick – und schon haben Betrüger Zugang zu den Unternehmensdaten. Phishing-Angriffe treffen heute nicht mehr nur unvorsichtige Einzelpersonen. Sie treffen Mitarbeitende in Buchhaltungsabteilungen, Assistentinnen der Geschäftsleitung und IT-Verantwortliche. Der Mensch ist das schwächste Glied in der Sicherheitskette – und genau da setzen die Angreifer an.

Im Jahr 2024 verzeichnete das Bundesamt für Cybersicherheit (BACS) rund 63’000 Cybervorfälle, fast eine Verdoppelung gegenüber 2023. Phishing gehört dabei laut BACS-Halbjahresbericht 2024 konstant zu den meistgemeldeten Kategorien. Für Unternehmen bedeutet das: Kein Betrieb in der Schweiz ist zu klein, um zum Ziel zu werden.

Was Phishing ist – und warum es heute so schwer zu erkennen ist

Phishing ist der Versuch, über gefälschte E-Mails, SMS oder Websites an vertrauliche Daten zu gelangen – Passwörter, Zugangsdaten, Kreditkarteninformationen oder Zwei-Faktor-Authentifizierungscodes. Der Name leitet sich aus den englischen Wörtern „Password“ und „Fishing“ ab. Was früher wie ein schlecht formuliertes Schreiben eines nigerianischen Prinzen wirkte, ist heute kaum mehr von einer echten Unternehmensnachricht zu unterscheiden. Das BACS identifizierte im Jahr 2024 über 20’000 tatsächliche Phishing-Webseiten – eine Steigerung von 108 Prozent im Vergleich zum Vorjahr. Dabei missbrauchten Cyberkriminelle laut BACS 338 verschiedene Markennamen, wobei über 63 Prozent der Phishing-Webseiten Schweizer Markennamen verwendeten.

Die häufigsten Angriffsmuster im Unternehmenskontext

Im Unternehmensumfeld sind drei Phishing-Varianten besonders häufig:

• Standard-Phishing – Massenmails, die aussehen, als kämen sie von bekannten Unternehmen wie Swisscom, der Schweizerischen Post, Banken oder Behörden. Sie leiten auf gefälschte Login-Seiten um und erfassen dort Zugangsdaten.
• Spear-Phishing – Gezielte Angriffe auf eine bestimmte Person oder Abteilung. Die E-Mails enthalten den Namen, den Jobtitel und manchmal sogar aktuelle Projekte des Empfängers – Informationen, die Angreifer aus LinkedIn, der Unternehmenswebseite oder früheren Datenlecks beziehen.
• CEO-Fraud – Beim CEO-Fraud geben sich Kriminelle als Unternehmensleitung oder Mitglied der Geschäftsleitung aus und weisen Mitarbeitende in der Finanzabteilung per E-Mail an, eine Zahlung auf das Konto der Kriminellen zu tätigen. Beim CEO-Betrug verzeichnete das BACS im Jahr 2025 eine Zunahme auf 970 gemeldete Fälle gegenüber 719 im Vorjahr.

Dazu kommt eine neue Dimension: KI-gestützte Angriffe. Angreifer nutzen öffentlich zugängliche Informationen über Mitarbeitende, formulieren daraus massgeschneiderte Nachrichten und kombinieren sie mit gefälschten Anrufen. Deepfake-Videocalls sind keine Science-Fiction mehr – im Februar 2024 überwies ein Finanzangestellter in Hongkong rund 25 Millionen Dollar, nachdem er in einer Videokonferenz mit vermeintlichen Kollegen gesprochen hatte, die alle KI-generierte Deepfakes waren.

---

---

Was passiert, wenn ein Mitarbeitender klickt

Ein einziger Klick kann weitreichende Konsequenzen haben. Je nach Art des Angriffs drohen:

• Kompromittierte Zugangsdaten, die Angreifern Zugang zu E-Mail-Konten, Cloud-Diensten oder dem internen Netzwerk verschaffen
• Installation von Schadsoftware oder Ransomware, die Unternehmensdaten verschlüsselt und Lösegeld erpresst
• Übernahme von Geschäftskonten für weitere Betrugsversuche gegenüber Kunden und Partnern
• Datenverluste, die unter dem Schweizer Datenschutzgesetz (revDSG) meldepflichtig sein können

Entscheidend ist dabei: Technische Schutzmassnahmen allein genügen nicht. Spam-Filter, Firewalls und Antivirensoftware fangen einen Grossteil ab – aber wer psychologisch gut manipuliert ist, klickt trotzdem. Dringlichkeit, Autorität, Angst und Neugier sind die vier stärksten Hebel, die Phishing-Mails bewusst einsetzen.

Video-Tipp: Phishing – der gefälschte digitale Kontaktversuch

Dieses Video erklärt, wie Phishing-Angriffe funktionieren, welche Tricks Betrüger einsetzen und wie man sich schützt – gut verständlich aufbereitet auch für Mitarbeitende ohne IT-Hintergrund.

---

---

Wie Mitarbeitende Phishing-Mails erkennen

Phishing-E-Mails haben typische Merkmale, die man erkennen kann – auch wenn sie täuschend echt wirken. Das BACS und das BSI empfehlen folgende Prüfpunkte:

• Absenderadresse genau prüfen: Der angezeigte Name stimmt mit dem Unternehmen überein, die tatsächliche E-Mail-Adresse dahinter ist aber eine fremde Domain. Beispiel: „Swisscom Support“ kommt von einer @gmail.com-Adresse.
• Keine Links aus E-Mails anklicken: Stattdessen die URL manuell im Browser eintippen oder die offizielle Website direkt besuchen. Hover-Vorschau im E-Mail-Programm zeigt die echte Zieladresse an.
• Druck und Dringlichkeit als Warnsignal: „Ihr Konto wird in 24 Stunden gesperrt“ ist ein klassisches Phishing-Muster. Seriöse Unternehmen setzen keine Ultimaten per E-Mail.
• Ungewöhnliche Anfragen sofort hinterfragen: Auch wenn eine Nachricht scheinbar vom Vorgesetzten oder der IT-Abteilung kommt – bei ungewöhnlichen Aufforderungen wie Überweisungen oder Passworteingaben immer telefonisch verifizieren.
• 2FA-Codes niemals weitergeben: Kein seriöser Anbieter fragt telefonisch oder per E-Mail nach einem Einmalcode.

---

---

Was Unternehmen organisatorisch tun können

Technologie schützt – aber Sicherheitskultur schützt mehr. Unternehmen, die ihre Mitarbeitenden regelmässig schulen, senken die Anfälligkeit für Phishing nachweislich. Laut dem Phishing by Industry Benchmarking Report von KnowBe4 haben Mitarbeitende in Europa ohne Phishing-Schulung eine Anfälligkeit von rund 32,5 Prozent. Nach 90 Tagen kontinuierlicher Schulung sinkt dieser Wert auf rund 20 Prozent, nach einem Jahr auf rund 5 Prozent. Entscheidend dabei: Eine einmalige Jahresschulung bringt wenig. Wirksam sind kurze, regelmässige Trainingseinheiten kombiniert mit realistischen Phishing-Simulationen, bei denen Mitarbeitende fingierte Angriffe erleben und unmittelbares Feedback erhalten. Swisscom bietet für Schweizer KMU ein Security Awareness Training inklusive Phishing-Simulation direkt über sein Businessportal an.

Ergänzend lohnen sich folgende organisatorische Massnahmen:

• Vier-Augen-Prinzip bei Überweisungen ab einem definierten Betrag – unabhängig davon, von wem die Anfrage kommt
• Klare interne Meldewege: Wer bei einer verdächtigen E-Mail sofort wen informiert
• Regelmässige Überprüfung der E-Mail-Sicherheitseinstellungen (DMARC, DKIM, SPF)
• Verdächtige Mails direkt an reports@antiphishing.ch oder über cybercrimepolice.ch melden

Was seit April 2025 gilt: Meldepflicht für kritische Infrastrukturen

Seit dem 1. April 2025 sind die Betreiber kritischer Infrastrukturen in der Schweiz verpflichtet, jeden Cyberangriff innerhalb von 24 Stunden nach seiner Entdeckung an das BACS zu melden. Betroffen sind Energie, Trinkwasser, Verkehr, Gesundheitswesen, Kommunikation sowie kantonale und kommunale Verwaltungen. Ab Oktober 2025 gelten bei Nichteinhaltung Sanktionen. Für alle anderen Unternehmen gilt die Meldepflicht zwar nicht, aber die freiwillige Meldung über das Formular auf ncsc.admin.ch hilft dem BACS, Angriffsmuster frühzeitig zu erkennen und zu warnen.

Fazit

Phishing-Angriffe auf Unternehmen sind kein technisches Problem, das die IT-Abteilung alleine lösen kann. Sie sind ein menschliches Problem – und müssen deshalb auch menschlich beantwortet werden: mit Wissen, Wachsamkeit und einer Unternehmenskultur, in der das Melden verdächtiger E-Mails zur Selbstverständlichkeit gehört und nicht als Fehler gilt. Ein Klick kann teuer werden. Eine gut geschulte Belegschaft ist die günstigste Versicherung dagegen.

 

Bildquellen: Bild 1: Symbolbild © Lemonsoup14/Shutterstock.com; Bild 2: Symbolbild © U-STUDIOGRAPHY DD59/Shutterstock.com; Bild 3: Symbolbild © Summit Art Creations/Shutterstock.com