Unabhängiger Cyberversicherungs-Vergleich für Unternehmen
    Alle Cybergefahren
    Cyberbedrohung
    Bedrohungslevel: Kritisch

    Phishing-Angriffe

    Phishing bezeichnet den Versuch, über gefälschte E-Mails, Webseiten oder Nachrichten an vertrauliche Daten wie Passwörter, Bankdaten oder Zugangsdaten zu gelangen. Die Angreifer geben sich dabei als vertrauenswürdige Absender aus – zum Beispiel als Bank, Behörde oder Geschäftspartner. Für Unternehmen ist Phishing besonders gefährlich, weil ein einziger Klick eines Mitarbeiters ausreicht, um das gesamte Netzwerk zu kompromittieren.

    90 %aller Cyberangriffe beginnen mit einer Phishing-E-Mail

    Wie funktioniert Phishing-Angriffe?

    Phishing-Angriffe folgen einem bewährten Muster: Die Angreifer recherchieren zunächst ihr Ziel. Bei gezielten Angriffen auf Unternehmen (sogenanntes Spear-Phishing) informieren sie sich über Mitarbeiter, Geschäftspartner und interne Abläufe – oft über LinkedIn, die Firmenwebseite oder öffentliche Handelsregistereinträge.

    Im nächsten Schritt erstellen die Angreifer eine täuschend echte E-Mail oder Webseite. Moderne Phishing-Mails sind kaum noch von echten Nachrichten zu unterscheiden: Logos, Schriftarten und sogar der Absendername werden perfekt kopiert. Häufig wird Zeitdruck erzeugt – etwa durch eine angebliche Kontosperrung oder eine dringende Rechnung.

    Klickt ein Mitarbeiter auf den Link und gibt Daten ein, haben die Angreifer sofort Zugriff. Mit gestohlenen Zugangsdaten können sie sich in Firmensysteme einloggen, weitere Schadsoftware installieren oder Überweisungen auf eigene Konten umleiten.

    Besonders perfide ist CEO-Fraud (auch Business Email Compromise genannt): Hier geben sich Angreifer als Geschäftsführer aus und weisen Mitarbeiter per E-Mail an, hohe Geldbeträge zu überweisen. Da die Anweisung scheinbar vom Chef kommt, wird sie oft ohne Rückfrage ausgeführt.

    Phishing-Angriffe in Zahlen

    90 %
    aller erfolgreichen Cyberangriffe beginnen mit Phishing (BSI Lagebericht 2025)
    31 Mrd. €
    Schaden durch Phishing und Social Engineering in Deutschland pro Jahr (Bitkom 2025)
    62 %
    der deutschen Unternehmen waren bereits von Phishing betroffen (Bitkom Research)
    4,3 Mio. €
    durchschnittlicher Schaden pro erfolgreichem Phishing-Angriff auf ein mittelständisches Unternehmen (GDV)
    Echte Schadensfälle

    So trifft Phishing-Angriffe Unternehmen

    Maschinenbau

    CEO-Fraud bei Mittelständler aus NRW

    1,8 Mio. €
    3 Wochen eingeschränkter Betrieb

    Ein Mitarbeiter der Buchhaltung erhielt eine E-Mail, die scheinbar vom Geschäftsführer stammte. Darin wurde eine dringende Überweisung an einen neuen Zulieferer angeordnet. Die E-Mail-Adresse war bis auf einen Buchstaben identisch mit der echten. Der Betrag von 1,8 Mio. Euro wurde auf ein Konto in Osteuropa überwiesen. Erst nach drei Tagen fiel der Betrug auf – das Geld war nicht mehr rückholbar.

    Gesundheitswesen

    Phishing-Angriff auf Arztpraxis in Bayern

    380.000 €
    2 Wochen Praxisausfall

    Eine Mitarbeiterin einer Gemeinschaftspraxis klickte auf einen Link in einer vermeintlichen E-Mail der KV Bayern. Über die gefälschte Login-Seite gelangten die Angreifer an die Zugangsdaten zum Praxisverwaltungssystem. Die Patientendaten von über 12.000 Patienten wurden verschlüsselt, und die Praxis musste zwei Wochen lang auf Papier arbeiten. Neben den IT-Kosten kamen DSGVO-Meldepflichten und Reputationsschäden hinzu.

    Schutzmaßnahmen gegen Phishing-Angriffe

    Technische Maßnahmen

    • E-Mail-Filter mit KI-basierter Phishing-Erkennung einsetzen
    • Multi-Faktor-Authentifizierung (MFA) für alle Zugänge aktivieren
    • DMARC, SPF und DKIM für die eigene E-Mail-Domain konfigurieren
    • Webfilter zum Blockieren bekannter Phishing-Seiten einrichten
    • Automatische Warnung bei externen E-Mails im Posteingang anzeigen
    • Regelmäßige Sicherheitsupdates für E-Mail-Clients und Browser
    • Passwort-Manager unternehmensweit einführen

    Organisatorische Maßnahmen

    • Regelmäßige Phishing-Simulationen für alle Mitarbeiter durchführen
    • Awareness-Schulungen mindestens zweimal pro Jahr anbieten
    • Vier-Augen-Prinzip bei Überweisungen über einem Schwellenwert einführen
    • Klare Meldewege für verdächtige E-Mails etablieren
    • Rückruf-Pflicht bei ungewöhnlichen Zahlungsanweisungen per E-Mail
    Versicherungsschutz

    Was die Cyberversicherung bei Phishing-Angriffe abdeckt

    Abgedeckte Leistungen

    • Kosten für IT-Forensik zur Aufklärung des Angriffs
    • Betriebsunterbrechungsschäden durch den Ausfall
    • Kosten für Datenwiederherstellung und Systemreinigung
    • Haftpflichtansprüche bei Datenschutzverletzungen (DSGVO)
    • Kosten für Krisenkommunikation und PR-Beratung
    • Rechtsberatungskosten im Zusammenhang mit dem Vorfall
    • Lösegeldzahlungen bei anschließender Ransomware-Attacke
    • Kosten für Benachrichtigung betroffener Personen nach DSGVO

    Typische Ausschlüsse

    • Schäden durch vorsätzliches Handeln von Mitarbeitern
    • Bereits vor Vertragsbeginn bekannte Sicherheitslücken
    • Reputationsschäden, die nicht direkt bezifferbar sind
    • Bußgelder durch Aufsichtsbehörden (je nach Tarif)
    • Schäden an Dritten durch weitergeleitete Phishing-Mails ohne eigene Schutzmaßnahmen

    Schützen Sie Ihr Unternehmen vor Phishing-Angriffe

    Vergleichen Sie jetzt die besten Cyberversicherungs-Tarife und finden Sie den passenden Schutz für Ihr Unternehmen.

    JETZT TARIFE VERGLEICHEN
    Häufige Fragen

    FAQ zu Phishing-Angriffe

    Normales Phishing wird massenhaft an tausende Empfänger verschickt – wie ein Fischernetz. Spear-Phishing hingegen zielt auf eine bestimmte Person oder ein bestimmtes Unternehmen ab. Die Angreifer nutzen persönliche Informationen, um die Nachricht besonders glaubwürdig zu gestalten. Spear-Phishing ist deutlich gefährlicher, weil es schwerer zu erkennen ist.
    Achten Sie auf Rechtschreibfehler, ungewöhnliche Absenderadressen und dringliche Aufforderungen. Seriöse Unternehmen fragen niemals per E-Mail nach Passwörtern oder Zugangsdaten. Fahren Sie mit der Maus über Links, ohne zu klicken – die angezeigte URL verrät oft die Fälschung.
    Ja, die meisten Cyberversicherungen decken CEO-Fraud und Business Email Compromise ab. Voraussetzung ist in der Regel, dass grundlegende Sicherheitsmaßnahmen wie das Vier-Augen-Prinzip bei Überweisungen implementiert waren. Einige Tarife haben spezielle Sublimits für Betrugsschäden.
    Experten empfehlen mindestens zwei Schulungen pro Jahr plus regelmäßige Phishing-Simulationen. Viele Cyberversicherer bieten diese Schulungen als Teil des Versicherungspakets an oder gewähren Rabatte, wenn Unternehmen nachweislich Awareness-Programme durchführen.
    Ja, Phishing ist in Deutschland strafbar. Es fällt unter mehrere Straftatbestände wie Computerbetrug (§ 263a StGB), Ausspähen von Daten (§ 202a StGB) und Fälschung beweiserheblicher Daten (§ 269 StGB). Die Strafen reichen von Geldstrafen bis zu mehreren Jahren Freiheitsentzug.
    Handeln Sie sofort: Trennen Sie das betroffene Gerät vom Netzwerk, ändern Sie alle potenziell kompromittierten Passwörter und informieren Sie Ihre IT-Abteilung. Melden Sie den Vorfall Ihrem Cyberversicherer – viele bieten eine 24/7-Notfall-Hotline. Bei Datenschutzverletzungen müssen Sie innerhalb von 72 Stunden die zuständige Aufsichtsbehörde informieren.

    Verwandte Bedrohungen

    Social EngineeringRansomwareTrojanerMalware & Schadsoftware

    Cookie-Einstellungen

    Wir verwenden Cookies, um Ihre Browsing-Erfahrung zu verbessern und unseren Traffic zu analysieren. Durch Klicken auf „Akzeptieren" stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.