IT Service Wagner LogoIT Service Wagner
02635 788886-0
Zurückit-sicherheit 3.5.2026 8 Min. Lesezeit IT Service Wagner

Phishing im Unternehmen: Warum Schulung allein nicht reicht

Phishing im Unternehmen: Warum Schulung allein nicht reicht

Phishing ist längst kein Randthema der IT mehr. Eine gut gemachte E-Mail kann Rechnungswesen, Geschäftsführung, Vertrieb oder Personalabteilung gleichermaßen treffen. Mal geht es um gestohlene Zugangsdaten, mal um eine manipulierte Rechnung, mal um Schadsoftware im Anhang. Besonders kritisch wird es, wenn ein Angriff nicht sofort auffällt und sich aus einer einzelnen E-Mail ein größerer Sicherheitsvorfall entwickelt. Viele Unternehmen reagieren darauf mit Awareness-Schulungen. Das ist richtig und wichtig. Mitarbeitende müssen Warnzeichen kennen, etwa ungewöhnliche Absender, dringliche Zahlungsaufforderungen, gefälschte Login-Seiten oder unerwartete Anhänge. Auch das BSI weist regelmäßig darauf hin, wie verbreitet Spam, Phishing und Schadprogramme sind und wie wichtig Aufmerksamkeit im Umgang mit E-Mails bleibt. Trotzdem reicht Schulung allein nicht aus. Wer den Phishing Schutz im Unternehmen ernst meint, braucht eine Kombination aus Technik, Prozessen und Verhalten. Menschen machen Fehler, Angreifer wissen das sehr genau. Gute Sicherheitskonzepte rechnen deshalb nicht mit perfektem Verhalten, sondern mit realistischen Arbeitsbedingungen.

Warum Phishing für Unternehmen so gefährlich ist

Phishing funktioniert, weil es Arbeitsalltag nachahmt. Eine Nachricht sieht aus wie eine Paketbenachrichtigung, eine Microsoft-365-Anmeldung, eine Bankinformation, eine Lieferantenrechnung oder eine interne Freigabeanfrage. Je besser Angreifer Sprache, Layout und Kontext treffen, desto schwerer ist die E-Mail auf den ersten Blick zu erkennen. Im Unternehmen kommt ein weiterer Faktor hinzu: Zeitdruck. Viele Beschäftigte bearbeiten täglich Dutzende oder Hunderte E-Mails. Rechnungen müssen geprüft, Angebote beantwortet, Bewerbungen geöffnet und Kundenanfragen weitergeleitet werden. Genau dort setzen Angriffe an. Die möglichen Folgen sind erheblich:

  • Zugangsdaten für Microsoft 365, VPN, Cloud-Dienste oder Fachanwendungen werden abgegriffen.
  • Angreifer lesen E-Mails mit und nutzen echte Kommunikationsverläufe für weitere Täuschungen.
  • Rechnungen werden manipuliert oder Zahlungen auf falsche Konten umgeleitet.
  • Schadsoftware oder Ransomware gelangt ins Netzwerk.
  • Kundendaten, Verträge oder interne Dokumente werden kompromittiert.
  • Der Geschäftsbetrieb wird unterbrochen, weil Systeme gesperrt oder bereinigt werden müssen. Gerade im Mittelstand ist Phishing oft das Einfallstor für größere Angriffe. Ransomware-Kampagnen beginnen nicht selten mit einer scheinbar harmlosen E-Mail. Deshalb sollte Phishing nicht als Schulungsthema der Personalabteilung behandelt werden, sondern als Teil der gesamten IT-Sicherheitsstrategie.

Schulung ist wichtig, aber sie hat Grenzen

Awareness-Maßnahmen schaffen ein gemeinsames Grundverständnis. Sie helfen, typische Muster zu erkennen und Unsicherheit früh zu melden. Sinnvoll sind kurze, regelmäßige Schulungseinheiten, praxisnahe Beispiele aus dem Arbeitsalltag und simulierte Phishing-Mails. Solche Übungen werden auch in vielen Empfehlungen für den Mittelstand genannt, weil sie Verhalten messbar machen und Diskussionen anstoßen. Die Grenze liegt jedoch dort, wo der Mensch zur letzten Verteidigungslinie wird. Das ist zu riskant. Auch gut geschulte Mitarbeitende klicken gelegentlich auf einen Link, öffnen einen Anhang oder geben Zugangsdaten auf einer täuschend echten Seite ein. Gründe dafür gibt es viele: Routine, Stress, Vertretungssituationen, mobile Arbeit, kleine Displays oder eine sehr professionell gefälschte Nachricht. Hinzu kommt: Phishing verändert sich. Früher waren viele Angriffe an schlechter Sprache und auffälligem Design zu erkennen. Heute sind E-Mails oft sprachlich sauber, personalisiert und technisch besser vorbereitet. Teilweise werden echte gehackte Postfächer verwendet. Dann kommt die Nachricht nicht von einer Fantasieadresse, sondern aus einem realen Geschäftskontakt. Ein wirksames Konzept muss deshalb verhindern, dass eine einzelne Fehlentscheidung direkt zum Schaden führt.

Typische Fehler beim Phishing Schutz im Unternehmen

In der Praxis begegnen IT-Dienstleister immer wieder ähnlichen Schwachstellen. Viele davon entstehen nicht aus Nachlässigkeit, sondern aus historisch gewachsenen Systemen und unklaren Zuständigkeiten.

1. E-Mail-Filter laufen mit Standardeinstellungen

Viele Unternehmen nutzen zwar Spamfilter oder Sicherheitsfunktionen ihres Maildienstes, lassen diese aber weitgehend in der Grundkonfiguration. Das ist selten ausreichend. Moderne E-Mail-Sicherheit braucht angepasste Regeln, Prüfung von Anhängen und Links, Schutz vor Absenderfälschung, Quarantäneprozesse und regelmäßige Auswertung. Besonders wichtig sind Standards wie SPF, DKIM und DMARC. Sie helfen, gefälschte Absender zu erkennen und den Missbrauch der eigenen Domain zu erschweren. Entscheidend ist jedoch die korrekte Konfiguration. Eine halb eingerichtete DMARC-Richtlinie ohne Überwachung bringt deutlich weniger Schutz als viele Unternehmen erwarten.

2. Multifaktor-Authentifizierung fehlt oder ist lückenhaft

Wenn Phishing Zugangsdaten abgreift, entscheidet häufig die zweite Anmeldekomponente über den weiteren Verlauf. Multifaktor-Authentifizierung, kurz MFA, sollte für E-Mail, Cloud-Dienste, VPN, Administratorzugänge und kritische Fachanwendungen verpflichtend sein. Lücken entstehen oft bei Ausnahmen. Externe Dienstleister, alte Protokolle, gemeinsam genutzte Konten oder administrative Notfallzugänge bleiben ungeschützt. Genau solche Ausnahmen sind für Angreifer interessant. MFA ist kein Allheilmittel, aber ohne MFA ist der Schaden nach einem Passwortdiebstahl meist deutlich wahrscheinlicher.

3. Es gibt keinen klaren Meldeweg

Viele Mitarbeitende erkennen verdächtige E-Mails durchaus, wissen aber nicht, wohin sie diese melden sollen. Oder sie haben Sorge, für einen Klick kritisiert zu werden. Das verzögert die Reaktion. Ein guter Meldeprozess ist einfach: verdächtige E-Mail per Meldebutton oder definierter Adresse weiterleiten, keine langen Formulare, keine Schuldzuweisung. Wichtig ist auch eine Rückmeldung. Wer meldet, sollte erfahren, ob es sich tatsächlich um Phishing handelte. So wird aus jedem Vorfall ein Lerneffekt.

4. Berechtigungen sind zu großzügig

Phishing wird besonders gefährlich, wenn ein kompromittiertes Konto Zugriff auf viele Daten und Systeme hat. Deshalb gehören Berechtigungen regelmäßig geprüft. Benötigt jeder Mitarbeitende Zugriff auf alle Projektordner? Dürfen normale Benutzer Makros ausführen? Haben alte Konten noch Zugriff auf E-Mail-Postfächer oder Cloud-Daten? Das Prinzip der geringsten Rechte ist unbequem, aber wirksam. Es begrenzt den Schaden, wenn ein Konto übernommen wird.

5. Reaktion und Wiederherstellung sind nicht geübt

Ein Phishing-Vorfall ist kein theoretisches Szenario. Unternehmen sollten wissen, was in den ersten 30 Minuten passiert: Konto sperren, Sitzungen beenden, Kennwort zurücksetzen, MFA prüfen, Weiterleitungsregeln kontrollieren, betroffene E-Mails suchen, ähnliche Nachrichten entfernen, Protokolle sichern und gegebenenfalls Datenschutz oder Geschäftsführung informieren. Wenn diese Schritte erst im Ernstfall diskutiert werden, geht wertvolle Zeit verloren.

Technische Maßnahmen, die Phishing-Risiko deutlich senken

Ein tragfähiger Phishing Schutz im Unternehmen besteht aus mehreren Schichten. Keine Maßnahme ist perfekt, zusammen reduzieren sie das Risiko aber deutlich.

E-Mail-Security-Gateway oder erweiterter Cloud-Schutz

Ein professionelles E-Mail-Security-Gateway prüft eingehende und ausgehende E-Mails. Es bewertet Absender, Links, Anhänge, Reputation, Malware-Indikatoren und verdächtige Muster. Je nach Lösung werden gefährliche Anhänge isoliert, Links beim Klick erneut geprüft oder E-Mails in Quarantäne verschoben. Für Microsoft 365 oder Google Workspace gibt es zusätzlich erweiterte Schutzfunktionen. Wichtig ist nicht nur die Lizenz, sondern die saubere Einrichtung. Regeln müssen zur Organisation passen, sonst entstehen entweder zu viele Fehlalarme oder gefährliche Lücken.

SPF, DKIM und DMARC konsequent umsetzen

Diese drei Verfahren stärken die Vertrauenswürdigkeit der eigenen E-Mail-Domain. SPF legt fest, welche Server E-Mails für eine Domain versenden dürfen. DKIM versieht Nachrichten mit einer Signatur. DMARC definiert, wie empfangende Server mit nicht bestandenen Prüfungen umgehen sollen. Für Unternehmen ist das doppelt relevant: Es schützt die eigene Domain vor Missbrauch und verbessert die Zustellbarkeit legitimer E-Mails. Die Einführung sollte kontrolliert erfolgen, zuerst mit Monitoring, danach mit schärferen Richtlinien.

MFA und moderne Authentifizierung

MFA sollte möglichst phishing-resistent umgesetzt werden, etwa mit Authenticator-Apps, FIDO2-Sicherheitsschlüsseln oder passwortlosen Verfahren, wo es sinnvoll ist. Gleichzeitig sollten veraltete Authentifizierungsprotokolle abgeschaltet werden, da sie Sicherheitsfunktionen umgehen können. Auch Conditional Access ist hilfreich: Anmeldungen aus ungewöhnlichen Ländern, von unbekannten Geräten oder mit riskantem Verhalten können blockiert oder zusätzlich geprüft werden.

Endgeräteschutz und Patchmanagement

Phishing führt häufig zu Schadsoftware. Deshalb müssen Endgeräte geschützt sein. Aktuelle Schutzsoftware, zentrale Verwaltung, zeitnahe Updates und eingeschränkte Benutzerrechte gehören dazu. Besonders wichtig ist ein funktionierendes Patchmanagement für Betriebssysteme, Browser, Office-Anwendungen und PDF-Programme. Ein veralteter Rechner macht aus einem Klick schneller einen erfolgreichen Angriff.

Backup und Wiederherstellung testen

Backups verhindern Phishing nicht, aber sie entscheiden über die Erholungsfähigkeit nach einem Angriff. Sicherungen sollten getrennt, geschützt und regelmäßig getestet werden. Ein Backup, das nie zurückgespielt wurde, ist im Ernstfall eine Hoffnung, keine belastbare Absicherung.

Awareness richtig aufbauen: kurz, regelmäßig, arbeitsnah

Gute Awareness hat wenig mit jährlichen Pflichtfolien zu tun. Besser sind kurze Einheiten, die zu den Rollen im Unternehmen passen. Die Buchhaltung braucht andere Beispiele als der Vertrieb oder die Geschäftsführung. Bewährt haben sich:

  • kurze Schulungen mit realistischen E-Mail-Beispielen
  • simulierte Phishing-Kampagnen mit Auswertung
  • klare Regeln für Zahlungsänderungen und Freigaben
  • Meldebutton im E-Mail-Client
  • interne Warnhinweise bei aktuellen Angriffswellen
  • Nachbesprechungen ohne Bloßstellung einzelner Personen Wichtig ist die Kultur. Wenn Mitarbeitende Angst haben, einen Fehler zu melden, bleibt ein Angriff länger unentdeckt. Sicherheitsbewusstsein entsteht nicht durch Druck, sondern durch klare Abläufe und Vertrauen.

Organisatorische Regeln gegen CEO-Fraud und Zahlungsbetrug

Viele Phishing-Angriffe zielen nicht auf Technik, sondern auf Prozesse. Ein Klassiker ist der angebliche Auftrag der Geschäftsführung, kurzfristig Geld zu überweisen. Auch Änderungen von Bankverbindungen bei Lieferanten sind ein beliebtes Ziel. Hier helfen einfache, verbindliche Regeln:

  • Zahlungsfreigaben ab bestimmten Beträgen immer nach Vier-Augen-Prinzip
  • Änderung von Kontodaten nur über bekannten Rückkanal bestätigen
  • keine Freigabe ausschließlich per E-Mail
  • Vertretungsregeln schriftlich festlegen
  • ungewöhnliche Dringlichkeit als Warnsignal behandeln Diese Maßnahmen kosten wenig, verhindern aber viele teure Fehler.

Wann externe IT-Hilfe sinnvoll ist

Viele Unternehmen haben interne IT-Kompetenz, aber nicht immer die Zeit oder Spezialisierung für E-Mail-Sicherheit. Externe Unterstützung ist besonders sinnvoll, wenn mehrere der folgenden Punkte zutreffen:

  • Microsoft 365 oder ein anderer Maildienst wurde schnell eingeführt und nie sicherheitstechnisch überprüft.
  • SPF, DKIM und DMARC sind unklar oder nur teilweise eingerichtet.
  • Es gab bereits Phishing-Vorfälle oder verdächtige Anmeldungen.
  • MFA ist nicht flächendeckend aktiv.
  • Niemand wertet Quarantäne, Logs und Sicherheitsmeldungen regelmäßig aus.
  • Es fehlen Meldeprozess, Notfallplan oder Awareness-Konzept.
  • Die interne IT ist im Tagesgeschäft ausgelastet. Ein IT-Dienstleister kann hier pragmatisch unterstützen: Ist-Zustand prüfen, E-Mail-Sicherheitsfunktionen konfigurieren, Domains absichern, MFA sauber ausrollen, Benutzerrechte prüfen, Awareness-Maßnahmen planen und Reaktionsabläufe dokumentieren. IT Service Wagner begleitet Unternehmen dabei mit dem Schwerpunkt E-Mail-Sicherheit und Awareness. Sinnvoll ist ein gestuftes Vorgehen: zuerst die größten Risiken schließen, danach Prozesse stabilisieren und Schulungen etablieren. So entsteht keine Papierstrategie, sondern ein Schutz, der im Alltag funktioniert.

Fazit: Phishing-Schutz ist Teamarbeit aus Technik, Prozess und Verhalten

Schulungen bleiben ein wichtiger Baustein. Sie reichen aber nicht aus, wenn E-Mail-Filter schwach konfiguriert sind, MFA fehlt, Berechtigungen zu weit gefasst sind oder niemand weiß, was nach einem Klick zu tun ist. Wirksamer Phishing Schutz im Unternehmen entsteht durch mehrere Schutzschichten: sichere E-Mail-Infrastruktur, klare Authentifizierung, aktuelle Endgeräte, geübte Meldewege, robuste Zahlungsprozesse und regelmäßige Awareness. Unternehmen müssen nicht alles auf einmal perfektionieren. Entscheidend ist, die wahrscheinlichsten Einfallstore konsequent zu schließen und die Reaktion auf Vorfälle vorzubereiten. Wer Phishing nur als Schulungsthema betrachtet, macht es Angreifern zu leicht. Wer Technik, Menschen und Prozesse zusammenbringt, senkt das Risiko spürbar und erhöht die Cyber-Resilienz des gesamten Unternehmens.

Weiterführende Hinweise

Wenn Sie Hilfe brauchen

So unterstützt Sie IT Service Wagner

Das, was unsere Kunden uns immer wieder zurückspiegeln, in vier Punkten.

Direkter Ansprechpartner

Sie sprechen direkt mit Justin Wagner und seinem Team. Kein Callcenter, kein Ticket-Pingpong.

Regional zwischen Koblenz, Neuwied und Bonn

Persönlich erreichbar im Mittelrhein-Korridor, mit Sitz in Rheinbrohl.

Vor Ort oder per Fernwartung

Je nach Problem kommen wir zu Ihnen oder helfen direkt online, ohne Anfahrt.

Transparente Diagnose und Preislogik

Ehrliche Einschätzung statt Pauschalpreis-Glücksspiel. Sie wissen vorher, was Sie erwartet.

Sie beschreiben kurz Ihr Problem. Wir melden uns mit Einschätzung, möglichem nächsten Schritt und realistischer Kostenlogik.

    Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung auf unserer Website zu bieten und unseren Datenverkehr zu analysieren. Datenschutzerklärung