Phishing ist der betrügerische Versuch, Menschen über E-Mail, SMS, Telefon oder gefälschte Websites zur Preisgabe von Zugangsdaten, Zahlungsinformationen oder anderen sensiblen Daten zu verleiten. Für NIS2-betroffene Unternehmen bedeutet Phishing, dass ein einzelner Klick, Anruf oder Login-Versuch genügen kann, um Identitäten zu kompromittieren, Malware einzuschleusen oder geschäftskritische Systeme zu gefährden.
Was ist Phishing?
Phishing ist eine Form des digitalen Betrugs, die auf Täuschung statt auf rein technische Schwachstellen setzt. Angreifer geben sich etwa als Bank, Paketdienst, Geschäftsführung, IT-Abteilung oder vertrauenswürdiger Dienstleister aus, um Druck, Vertrauen oder Dringlichkeit zu erzeugen. Das Ziel ist meist sogenanntes Credential Harvesting, also das Abgreifen von Passwörtern, Sitzungsdaten oder Zahlungsinformationen.
In der Praxis tritt Phishing in mehreren Varianten auf. Klassisches Massen-Phishing verschickt standardisierte Nachrichten an viele Empfänger. Spear-Phishing ist gezielter und nutzt Informationen über einzelne Personen, Abteilungen oder Lieferantenbeziehungen. Smishing erfolgt per SMS, Vishing per Telefonanruf. Inhaltlich ist Phishing eng mit Social Engineering verbunden, weil nicht die Technik allein, sondern die Manipulation menschlicher Entscheidungen im Mittelpunkt steht.
Typische Erkennungsmerkmale sind ungewöhnliche Absenderadressen, leicht verfälschte Domains, künstlicher Zeitdruck, unerwartete Anhänge, Login-Aufforderungen oder Bitte um Umgehung normaler Prozesse. Besonders gefährlich ist, dass moderne Phishing-Kampagnen sprachlich sauber wirken und reale Geschäftsabläufe nachahmen. Deshalb reicht reine Aufmerksamkeit nicht aus; Unternehmen brauchen dokumentierte Regeln, Meldewege und Security Awareness.
Warum ist Phishing für NIS2 wichtig?
Phishing ist für NIS2 relevant, weil viele erhebliche Sicherheitsvorfälle mit kompromittierten Identitäten beginnen. Art. 21 Abs. 2 Buchst. g der NIS2-Richtlinie verlangt als Mindestmaßnahme grundlegende Cyberhygiene und Cybersicherheitsschulungen. Dazu gehört in der Sache, dass Mitarbeitende Phishing erkennen, melden und keine sensiblen Daten auf gefälschten Seiten eingeben.
Für betroffene Einrichtungen ist das nicht nur ein Schulungsthema, sondern Teil des Risikomanagements. Wer Phishing nicht beherrscht, erhöht das Risiko für unbefugte Zugriffe, Datenabfluss, Ransomware-Befall und Ausfälle in kritischen Abläufen. Das passt auch zu §§ 263 und 263a StGB: Phishing dient häufig dazu, Vermögensschäden durch Täuschung oder manipulative Nutzung von Datenverarbeitung vorzubereiten oder auszulösen.
Das BSI behandelt Phishing im Lagebericht als fortlaufend relevantes Angriffsfeld und beschreibt zugleich Schutzmaßnahmen auf Infrastrukturebene. Im IT-Grundschutz empfiehlt das BSI für E-Mail-Sicherheit ausdrücklich SPF, DKIM und DMARC, damit versendete Nachrichten authentisiert und gefälschte Absender leichter erkannt oder abgewiesen werden. Technische Maßnahmen ersetzen aber keine Schulung, sondern ergänzen sie.
Praxisbeispiel für ein deutsches Unternehmen
Ein deutsches Maschinenbauunternehmen mit 220 Mitarbeitenden erhält eine E-Mail, die scheinbar vom Microsoft-365-Team stammt. Die Nachricht behauptet, das Passwort laufe innerhalb von 30 Minuten ab, und verlinkt auf eine täuschend echte Anmeldeseite. Eine Mitarbeiterin aus dem Einkauf meldet sich dort an. Kurz darauf greifen Angreifer auf ihr Postfach zu, lesen laufende Lieferantenkommunikation mit und versenden anschließend eine glaubwürdige Zahlungsanweisung an die Buchhaltung.
Der Schaden entsteht nicht nur durch den möglichen Fehltransfer. Über das kompromittierte Konto können weitere Phishing-Mails intern verbreitet, vertrauliche Dokumente abgegriffen oder Malware nachgeladen werden. Wenn daraus eine Verschlüsselung oder ein Betriebsstillstand folgt, kann der Vorfall in Richtung Ransomware eskalieren. Genau deshalb verlangen NIS2-nahe Sicherheitsprogramme klare Meldewege, Mehr-Faktor-Authentifizierung, technische E-Mail-Prüfungen und regelmäßige Übungen.
Schutzmaßnahmen gegen Phishing
Wirksamer Phishing-Schutz kombiniert Organisation, Technik und Training. Organisatorisch brauchen Unternehmen klare Freigabeprozesse, insbesondere bei Zahlungsanweisungen, Kontoänderungen und Passwort-Resets. Personell brauchen sie wiederkehrende Awareness-Maßnahmen, kurze Lernimpulse und einfache Meldewege für verdächtige Nachrichten. Technisch sind E-Mail-Filter, Mehr-Faktor-Authentifizierung, URL-Prüfung und die BSI-nahen Standards SPF, DKIM und DMARC zentral.
Entscheidend ist die Kombination: Wenn eine Mitarbeiterschulung erklärt, woran sich Spear-Phishing erkennen lässt, und die Mail-Infrastruktur gefälschte Absender technisch erschwert, sinkt das Risiko deutlich. Für Unternehmen unter NIS2 ist Phishing daher kein Randthema, sondern ein praktischer Prüfstein für gelebte Cyberhygiene.
Häufig gestellte Fragen
Was ist Phishing?
Phishing ist ein digitaler Betrugsversuch, bei dem Angreifer mit gefälschten Nachrichten oder Websites sensible Informationen abgreifen wollen. Typische Ziele sind Passwörter, Zahlungsdaten, Sitzungs-Cookies oder interne Unternehmensinformationen.
Warum ist Phishing für NIS2 wichtig?
Phishing ist für NIS2 wichtig, weil der Angriffsweg häufig am Menschen ansetzt und schwere Sicherheitsvorfälle auslösen kann. Art. 21 Abs. 2 Buchst. g NIS2 verlangt deshalb Cyberhygiene und Cybersicherheitsschulungen, damit Unternehmen genau solche Risiken organisatorisch beherrschen.
Wenn Sie Phishing-Risiken, Rollenverantwortung und Schulungsnachweise strukturiert aufbauen wollen, ist unsere NIS2-Schulung der passende nächste Schritt.