Phishing erkennen 2025 – Das Playbook für IT-Teams

Phishing erkennen 2025 - Das Playbook für IT-Teams - IT-Glossary

Phishing ist heute der schnellste Weg in dein Netzwerk. Angreifer setzen auf Eile, Neugier und Vertrauen. Sie imitieren Marken, Vorgesetzte oder Lieferanten und locken über E-Mail, SMS, Messenger oder Anrufe. 2025 siehst du vermehrt QR-Phishing, MFA-Prompt-Bombing und Consent-Phishing über schadhafte OAuth-Apps.

Die gute Nachricht: Mit einem klaren Playbook erkennst du verdächtige Nachrichten früh, dämpfst Schäden und lernst aus jedem Vorfall. Dieser Leitfaden zeigt dir kompakt, worauf du achten musst, welche technischen Signale zählen und wie du eine stabile Erkennungs- und Reaktionskette aufbaust.

Was Phishing ist – kurz und praxisnah

Phishing sind betrügerische Kontaktaufnahmen, die dich zu Klicks, Eingaben oder Dateidownloads bewegen sollen. Ziele sind Zugangsdaten, Zahlungen, Malware-Installationen oder Account-Übernahmen. Entscheidend ist, Erkennung und Reaktion zu standardisieren, damit niemand improvisieren muss.

Erkennungsmerkmale – woran du Phishing erkennst

Technische Signale

Achte auf SPF, DKIM und DMARC Ergebnisse im Header. Fehlende oder fehlerhafte Prüfungen, From-Domain passt nicht zur Envelope-Domain, ungewöhnliche Return-Path Adressen oder Sende-IP aus einem fremden Netz sind starke Hinweise. URL-Umleitungen, Link-Shortener und Data-URIs sind weitere Red Flags.

Inhaltliche Signale

Typisch sind Druck und Dringlichkeit: Konto gesperrt, Lieferung blockiert, Frist läuft ab. Häufige Muster sind Rechtschreibfehler, falsche Tonalität für angebliche Absender, ungewöhnliche Dateiformate wie .iso, .img oder .scr sowie QR-Codes in PDFs, die auf Fake-Logins führen.

Kanäle und Varianten 2025

Neben E-Mail sind SMS und Messenger verbreitet. Vishing kombiniert E-Mail mit Anruf. MFA-Prompt-Bombing bombardiert Nutzer mit Login-Bestätigungen. Consent-Phishing bittet um OAuth-Zustimmung für scheinbar legitime Apps. Behandle alle Kanäle in einem Playbook.

Dein Playbook – von der Meldung bis zur Bereinigung

1. Eingang und Triage

Richte einen einheitlichen Meldeweg ein, z. B. phishing@deinefirma.tld oder einen Report-Button. Sammle Originalnachrichten als .eml oder .msg samt Header. Bewerte in Minuten: hoch, mittel, niedrig. Kriterien sind Anzahl Empfänger, Executive-Targets, aktive Klicks und angetäuschte Marke.

2. Schnellanalyse

Öffne Header und prüfe SPF, DKIM, DMARC. Entschärfe Links in einer isolierten Umgebung. Vergleiche Ziel-Domain mit der echten Domain (Typosquatting wie paypa1.com). Lade verdächtige Anhänge nur in einer Sandbox. Suche im Mail-Log, wer die Nachricht noch bekam, und markiere die betroffenen User.

3. Eindämmen

Erstelle Transportregeln oder Blocklisten für Absender, Domains und IP-Ranges. Retracte Mails aus Postfächern, falls deine Plattform das kann. Deaktiviere verdächtige OAuth-Consents. Setze Passwort-Reset für betroffene Konten und widerrufe Tokens. Härte MFA und sperre Weiterleitungsregeln im Postfach, wenn missbraucht.

4. Ursachenanalyse

Finde das Erstereignis. Prüfe Login-Logs auf Atypical Travel, unbekannte Geräte oder ungewöhnliche IPs. Suche in Proxy und EDR nach Hash, Domain, Path und Commandline Artefakten. Dokumentiere IOCs zentral und teile sie mit Mail-Gateway, EDR und DNS-Filter.

5. Aufräumen

Entferne Persistenz: Postfachregeln, bösartige Add-ins, OAuth-Apps, geplante Tasks, Autostarts. Stelle Benutzerrechte wieder her. Schließe Lücken in SPF, DKIM, DMARC und aktiviere Alignment. Ergänze Blocklisten und URL-Rewrite Policies.

6. Kommunikation

Informiere Betroffene und bei größeren Vorfällen alle Mitarbeitenden mit einer kurzen Warnung und Screenshots typischer Merkmale. Kein Blaming. Hebe Lernpunkte hervor und erkläre die nächsten Schritte.

7. Lessons Learned

Aktualisiere Playbook, Erkennungssignaturen und Awareness-Material. Erhebe KPIs wie Report-Rate, Click-Rate, MTTD und MTTR. Plane Simulationskampagnen zu den neuen Mustern, z. B. QR-Phishing oder OAuth-Consent.

Bausteine für zuverlässige Erkennung

Mail-Authentifizierung richtig setzen

Konfiguriere SPF mit nur nötigen Sendern, signiere ausgehende Mails mit DKIM und setze DMARC auf quarantine bis reject, sobald validiert. Nutze Berichte zur Sichtbarkeit. Das senkt Spoofing und verbessert Klassifizierung.

SIEM und Regeln

Leite Mail-Gateway-Logs, Proxy-Logs und IdP-Events an dein SIEM. Erstelle Regeln für Massenzustellung einer neuen Domain, Login nach Linkklick aus neuer ASN, Mehrfach-MFA-Requests und neue Weiterleitungsregeln im Postfach.

Schutz am Endpunkt und im Browser

Setze EDR für Makroblockierung, Script-Überwachung und Anomalien in Office-Prozessen. Im Browser helfen Safe-Browsing, Download-Quarantäne und zusätzliche Warnbanner bei externen Absendern.

Mensch als Sensor

Schule Mitarbeitende auf 3 Kernfragen: Kenne ich den Absender. Erwartete ich die Nachricht. Würde ich das auch ohne Druck tun. Mache Melden einfach und bedanke dich sichtbar.

Beispiele aus der Praxis

Beispiel 1 – QR-Phishing im Versandlabel

Eine Mail behauptet eine fehlgeschlagene Zustellung. PDF mit QR-Code führt zu Fake-Login. Erkennung: Externes Banner, DMARC fail, Domain neu registriert, URL weicht subtil ab. Reaktion: Retract, Block, User-Reset, Awareness-Post mit Screenshot.

Beispiel 2 – Consent-Phishing über OAuth-App

User soll einer App Zugriff auf Mail und Drive geben. Erkennung: Unübliche Berechtigungen, Publisher unverifiziert. Reaktion: Consent widerrufen, Tokens killen, App blockieren, IdP-Richtlinie auf nur geprüfte Publisher.

Beispiel 3 – MFA-Prompt-Bombing

Viele Push-Anfragen kurz nacheinander. Erkennung: Anomalie-Alarm im IdP. Reaktion: Temporär Passwort zurücksetzen, MFA von Push auf TOTP oder Security Key umstellen, Nutzer aufklären.

Checkliste für dein Team

  • Meldeweg und SLA fixieren.
  • SPF, DKIM, DMARC korrekt, Berichte lesen.
  • SIEM-Regeln für gängige Muster aktiv.
  • EDR und Safe-Browsing aktiv, Makros blockiert.
  • Retract und URL-Entschärfung verfügbar.
  • Awareness quartalsweise, Simulationen zweimal pro Jahr.
  • KPIs messen und im Review besprechen.

Fazit

Phishing bleibt 2025 die häufigste Eintrittstür. Mit klarer Erkennung, schneller Eindämmung und gelerntem Verhalten machst du Angriffe langweilig und teuer für Gegner. Sorge für saubere Mail-Authentifizierung, sichtbare Meldewege, Technik plus Training und verankere einen lernenden Prozess. So schützt du dein Team und deine Systeme verlässlich im Alltag.

weitere Inhalte:

  1. Multi-Faktor-Authentifizierung (MFA)
    Multi-Faktor-Authentifizierung (MFA) ist eine Sicherheitsmethode, bei der mindestens zwei verschiedene Faktoren zur Identitätsprüfung verwendet werden. Dies erhöht die Sicherheit von Online-Konten und Systemzugriffen erheblich, indem es Angreifern erschwert wird, unbefugt auf geschützte Ressourcen zuzugreifen....

  2. Phishing
    Phishing ist eine Form des digitalen Betrugs, bei der Angreifer versuchen, sich als vertrauenswürdige Quelle auszugeben, um an sensible Informationen wie Benutzernamen, Passwörter oder Bankdaten zu gelangen. Der Begriff leitet sich vom englischen Wort „fishing“ (Angeln) ab, da Betrüger versuchen,...

  3. DNS (Domain Name System)
    Das Domain Name System (DNS) ist ein fundamentales Element des Internets und dient dazu, Domainnamen (wie z.B. www.example.com) in IP-Adressen (wie 192.0.2.1) umzuwandeln, die von Computern verwendet werden, um miteinander zu kommunizieren. DNS ist vergleichbar mit einem Telefonbuch, in dem...

  4. MFA einführen: Strategie, Richtlinien, Fallbacks
    Mehrfaktor-Authentifizierung (MFA) schützt Konten auch dann, wenn ein Passwort bekannt wird. Für Einsteiger klingt das oft kompliziert, in der Praxis ist ein Rollout aber gut beherrschbar – wenn du schrittweise vorgehst, klare Richtlinien definierst und einen sauberen Fallback planst. In...

  5. Phishing 2.0: Warum klassische Schutzmaßnahmen nicht mehr ausreichen
    Phishing ist eine der ältesten und bekanntesten Methoden von Cyberkriminellen, um persönliche Daten wie Passwörter, Kreditkartennummern oder sogar Identitäten zu stehlen. In den letzten Jahren hat sich die Phishing-Technik jedoch erheblich weiterentwickelt. Phishing 2.0 ist die nächste Stufe dieser Angriffe...

/0 Kommentare/von
0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert