Unabhängiger Cyberversicherungs-Vergleich für Unternehmen
    Alle Cybergefahren
    Cyberbedrohung
    Bedrohungslevel: Kritisch

    Phishing-Angriffe

    Phishing bezeichnet den Versuch, über gefälschte E-Mails, Webseiten oder Nachrichten an vertrauliche Daten wie Passwörter, Bankdaten oder Zugangsdaten zu gelangen. Die Angreifer geben sich dabei als vertrauenswürdige Absender aus – zum Beispiel als Bank, Behörde oder Geschäftspartner. Für Unternehmen ist Phishing besonders gefährlich, weil ein einziger Klick eines Mitarbeiters ausreicht, um das gesamte Netzwerk zu kompromittieren.

    90 %aller Cyberangriffe beginnen mit einer Phishing-E-Mail

    Wie funktioniert Phishing-Angriffe?

    Phishing-Angriffe folgen einem bewährten Muster: Zunächst recherchieren die Angreifer ihr Ziel. Bei gezielten Angriffen auf Unternehmen – dem sogenannten Spear-Phishing – informieren sie sich über Mitarbeiter, Geschäftspartner und interne Abläufe. Quellen sind LinkedIn-Profile, Firmenwebseiten, Handelsregistereinträge oder auch Datenlecks aus früheren Angriffen. Je mehr Informationen die Angreifer sammeln, desto überzeugender wird die spätere Nachricht.

    Im zweiten Schritt erstellen die Angreifer eine täuschend echte E-Mail oder Webseite. Moderne Phishing-Mails sind kaum noch von echten Nachrichten zu unterscheiden: Logos, Schriftarten, Farben und sogar der Absendername werden perfekt kopiert. Häufig wird psychologischer Druck aufgebaut – etwa durch eine angebliche Kontosperrung, eine dringende Rechnung oder eine vermeintliche Steuernachzahlung. Dieses Gefühl der Dringlichkeit soll dazu verleiten, ohne gründliche Prüfung zu handeln.

    Klickt ein Mitarbeiter auf den Link und gibt Zugangsdaten ein, gelangen die Angreifer sofort in Besitz dieser Credentials. Mit gestohlenen Zugangsdaten können sie sich in Firmensysteme einloggen, im Netzwerk ausbreiten, weitere Schadsoftware installieren oder Überweisungen auf eigene Konten umleiten. Besonders im Gesundheitswesen und bei Kanzleien sind die Folgen dramatisch: Patientendaten oder Mandanteninformationen werden kompromittiert, und die DSGVO-Meldepflicht greift.

    Besonders perfide ist CEO-Fraud, auch Business Email Compromise (BEC) genannt: Hier geben sich Angreifer als Geschäftsführer oder leitende Mitarbeiter aus und weisen Kollegen per E-Mail an, hohe Geldbeträge zu überweisen. Da die Anweisung scheinbar vom Chef kommt, wird sie oft ohne Rückfrage ausgeführt. Angreifer warten dabei häufig auf günstige Momente – wenn die Führungskraft auf Reisen ist und eine persönliche Rückfrage schwierig erscheint.

    Neben dem klassischen E-Mail-Phishing gibt es mittlerweile weitere Varianten: Smishing (Phishing per SMS), Vishing (Phishing per Telefon) und Quishing (Phishing über QR-Codes). All diese Methoden zielen auf das schwächste Glied in der Sicherheitskette ab: den Menschen. Technische Schutzmaßnahmen allein reichen nicht aus – regelmäßige Schulungen und simulierte Phishing-Tests sind unverzichtbar.

    Phishing-Angriffe in Zahlen

    90 %
    aller erfolgreichen Cyberangriffe beginnen mit Phishing (BSI Lagebericht 2025)
    31 Mrd. €
    Schaden durch Phishing und Social Engineering in Deutschland pro Jahr (Bitkom 2025)
    62 %
    der deutschen Unternehmen waren bereits von Phishing betroffen (Bitkom Research)
    4,3 Mio. €
    durchschnittlicher Schaden pro erfolgreichem Phishing-Angriff auf ein mittelständisches Unternehmen (GDV)
    Echte Schadensfälle

    So trifft Phishing-Angriffe Unternehmen

    Maschinenbau

    CEO-Fraud bei Mittelständler aus NRW

    1,8 Mio. €
    3 Wochen eingeschränkter Betrieb

    Ein Mitarbeiter der Buchhaltung erhielt eine E-Mail, die scheinbar vom Geschäftsführer stammte und eine dringende Überweisung an einen neuen Zulieferer anordnete. Die E-Mail-Adresse war bis auf einen Buchstaben identisch mit der echten. Der Betrag von 1,8 Mio. Euro wurde auf ein Konto in Osteuropa überwiesen. Erst nach drei Tagen fiel der Betrug auf – das Geld war nicht mehr rückholbar. Die Cyberversicherung übernahm einen Teil des Schadens, verlangte aber den Nachweis, dass kein Vier-Augen-Prinzip implementiert war.

    Gesundheitswesen

    Phishing-Angriff auf Arztpraxis in Bayern

    380.000 €
    2 Wochen Praxisausfall

    Eine Mitarbeiterin einer Gemeinschaftspraxis klickte auf einen Link in einer vermeintlichen E-Mail der KV Bayern. Über die gefälschte Login-Seite gelangten die Angreifer an die Zugangsdaten zum Praxisverwaltungssystem. Die Patientendaten von über 12.000 Patienten wurden verschlüsselt, und die Praxis musste zwei Wochen auf Papier arbeiten. Neben den IT-Kosten kamen DSGVO-Meldepflichten an den Landesdatenschutzbeauftragten und erhebliche Reputationsschäden hinzu.

    Steuerberatung

    Spear-Phishing gegen Steuerberatungskanzlei

    95.000 €
    5 Tage

    Eine Kanzlei erhielt eine täuschend echte E-Mail vom vermeintlichen Finanzamt mit einer Anfrage zur Nachreichung von Belegen. Der eingebettete Link führte auf eine gefälschte ELSTER-Seite. Die eingegebenen Zugangsdaten wurden gestohlen und für den Zugriff auf Mandantenkonten genutzt. Neben dem direkten Schaden musste die Kanzlei alle betroffenen Mandanten über den Vorfall informieren und eine aufwendige forensische Analyse in Auftrag geben.

    Schutzmaßnahmen gegen Phishing-Angriffe

    Technische Maßnahmen

    • E-Mail-Filter mit KI-basierter Phishing-Erkennung einsetzen
    • Multi-Faktor-Authentifizierung (MFA) für alle Zugänge aktivieren
    • DMARC, SPF und DKIM für die eigene E-Mail-Domain konfigurieren
    • Webfilter zum Blockieren bekannter Phishing-Seiten einrichten
    • Automatische Warnung bei externen E-Mails im Posteingang anzeigen
    • Regelmäßige Sicherheitsupdates für E-Mail-Clients und Browser
    • Passwort-Manager unternehmensweit einführen
    • Browser-Isolation für risikoreiche URLs aktivieren

    Organisatorische Maßnahmen

    • Regelmäßige Phishing-Simulationen für alle Mitarbeiter durchführen
    • Awareness-Schulungen mindestens zweimal pro Jahr anbieten
    • Vier-Augen-Prinzip bei Überweisungen über einem Schwellenwert einführen
    • Klare Meldewege für verdächtige E-Mails etablieren
    • Rückruf-Pflicht bei ungewöhnlichen Zahlungsanweisungen per E-Mail
    Versicherungsschutz

    Was die Cyberversicherung bei Phishing-Angriffe abdeckt

    Abgedeckte Leistungen

    • Kosten für IT-Forensik zur Aufklärung des Angriffs
    • Betriebsunterbrechungsschäden durch den Ausfall
    • Kosten für Datenwiederherstellung und Systemreinigung
    • Haftpflichtansprüche bei Datenschutzverletzungen (DSGVO)
    • Kosten für Krisenkommunikation und PR-Beratung
    • Rechtsberatungskosten im Zusammenhang mit dem Vorfall
    • Lösegeldzahlungen bei anschließender Ransomware-Attacke
    • Kosten für Benachrichtigung betroffener Personen nach DSGVO

    Typische Ausschlüsse

    • Schäden durch vorsätzliches Handeln von Mitarbeitern
    • Bereits vor Vertragsbeginn bekannte Sicherheitslücken
    • Reputationsschäden, die nicht direkt bezifferbar sind
    • Bußgelder durch Aufsichtsbehörden (je nach Tarif)
    • Schäden an Dritten durch weitergeleitete Phishing-Mails ohne eigene Schutzmaßnahmen

    Schützen Sie Ihr Unternehmen vor Phishing-Angriffe

    Vergleichen Sie jetzt die besten Cyberversicherungs-Tarife und finden Sie den passenden Schutz für Ihr Unternehmen.

    JETZT TARIFE VERGLEICHEN
    Häufige Fragen

    FAQ zu Phishing-Angriffe

    Normales Phishing wird massenhaft an tausende Empfänger verschickt – wie ein Fischernetz. Spear-Phishing hingegen zielt auf eine bestimmte Person oder ein bestimmtes Unternehmen ab. Die Angreifer nutzen persönliche Informationen, um die Nachricht besonders glaubwürdig zu gestalten. Spear-Phishing ist deutlich gefährlicher, weil es schwerer zu erkennen ist.
    Achten Sie auf Rechtschreibfehler, ungewöhnliche Absenderadressen und dringliche Aufforderungen. Seriöse Unternehmen fragen niemals per E-Mail nach Passwörtern oder Zugangsdaten. Fahren Sie mit der Maus über Links, ohne zu klicken – die angezeigte URL verrät oft die Fälschung. Im Zweifelsfall: Absender direkt per Telefon kontaktieren.
    Ja, die meisten Cyberversicherungen decken CEO-Fraud und Business Email Compromise ab. Voraussetzung ist in der Regel, dass grundlegende Sicherheitsmaßnahmen wie das Vier-Augen-Prinzip bei Überweisungen implementiert waren. Einige Tarife haben spezielle Sublimits für Betrugsschäden.
    Experten empfehlen mindestens zwei Schulungen pro Jahr plus regelmäßige Phishing-Simulationen. Viele Cyberversicherer bieten diese Schulungen als Teil des Versicherungspakets an oder gewähren Rabatte, wenn Unternehmen nachweislich Awareness-Programme durchführen.
    Sofort betroffene Systeme vom Netzwerk trennen und den Vorfall intern melden. Bei Datenschutzverletzungen ist die zuständige Datenschutzbehörde innerhalb von 72 Stunden zu informieren (DSGVO Art. 33). Anschließend Cyberversicherer und ggf. Strafverfolgungsbehörden benachrichtigen. Eine professionelle IT-Forensik sichert Beweise und verhindert Folgeschäden.

    Verwandte Bedrohungen

    Ransomware-AngriffeBusiness Email Compromise (BEC)Malware-Angriffe

    Cookie-Einstellungen

    Wir verwenden Cookies, um Ihre Browsing-Erfahrung zu verbessern und unseren Traffic zu analysieren. Durch Klicken auf „Akzeptieren" stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.