Was ist Spear Phishing? Erkennung und Schutz für KMU

Spear Phishing ist gezielter Betrug per E-Mail, Chat oder Telefon. Anders als beim klassischen Massenphishing recherchieren Angreifer vorab konkrete Personen, Rollen und Abläufe, bevor sie eine Nachricht senden. Laut der europäischen Cybersicherheitsbehörde ENISA bleibt Phishing 2025 mit rund 60 Prozent der beobachteten Fälle der häufigste Einstiegspunkt für Cyberangriffe (ENISA Threat Landscape 2025).

Was ist Spear Phishing?

Spear Phishing ist eine personalisierte Form von Phishing, die sich gegen eine bestimmte Person oder eine konkrete Funktion im Unternehmen richtet. Der Kern ist nicht die breite Streuung, sondern die glaubwürdige Täuschung einer ausgewählten Person.

Angreifer nutzen dafür Informationen von Websites, aus dem Firmenbuch, von LinkedIn, aus öffentlichen Ausschreibungen oder aus früheren Datenlecks. Daraus entsteht eine Nachricht, die zu einer echten Situation passt, etwa eine Rechnung, eine IBAN-Änderung, eine Bewerbung, ein Supportfall oder eine angebliche Anweisung der Geschäftsführung.

Für KMU ist das besonders heikel, weil viele Abläufe auf kurzen Wegen und persönlichem Vertrauen beruhen. Genau dieses Vertrauen wird ausgenutzt: Die Buchhaltung kennt die Geschäftsführung persönlich, die Assistenz die wichtigsten Lieferanten, die IT reagiert rasch auf Zugriffsprobleme. Sobald eine Nachricht zur tatsächlichen Rolle passt, fällt das natürliche Misstrauen oft weg.

Warum ist Spear Phishing für österreichische KMU relevant?

In einer Erhebung der WKO Wien gemeinsam mit KPMG gaben 68 Prozent der befragten Wiener Unternehmen an, bereits Phishing über E-Mail-Links erlebt zu haben, 60 Prozent berichteten von Business E-Mail Compromise oder CEO-Fraud (WKO Wien/KPMG, 2025). Beide Begriffe bezeichnen im Kern Spear Phishing in seiner geschäftlichen Ausprägung. Beim Business E-Mail Compromise wird ein Geschäftskonto übernommen oder ein Absender überzeugend imitiert, um Zahlungen, sensible Dokumente oder Zugangsdaten zu erlangen. Die bekannteste Form ist CEO-Fraud, bei der Angreifer eine angebliche Anweisung der Geschäftsführung vortäuschen, um eine eilige Überweisung zu erwirken.

Spear Phishing trifft daher nicht nur die IT, sondern alle Personen mit Zugang zu Geld, Daten oder Kundenbeziehungen, also z.b. Geschäftsführung, Buchhaltung, Vertrieb, Assistenz und Einkauf. Wie gut diese Methode aufgeht, zeigt eine Auswertung des Sicherheitsanbieters Proofpoint: Gezielte Angriffe sind mit 66 Prozent Erfolgsquote mehr als doppelt so erfolgreich wie nicht zielgerichtete Massenkampagnen mit 29 Prozent (Proofpoint, 2026). Je präziser eine Nachricht zur Rolle passt, desto eher wird geklickt, geantwortet oder freigegeben.

Wie erkennt man Spear Phishing im Alltag?

Spear Phishing erkennt man selten an Rechtschreibfehlern oder klobigen Formulierungen. Moderne Angreifer schreiben fehlerfrei und passen Sprache, Zeichensetzung und Branchenkontext genau an. Was bleibt, sind Abweichungen vom üblichen Prozess.

Achten Sie auf neue Bankdaten in laufenden Rechnungen, eine ungewöhnliche Geheimhaltungsbitte ("Bitte niemanden einbinden, der Deal ist vertraulich"), unerwartete MFA-Anfragen, Links zu Login-Seiten, die zur Eingabe von Zugangsdaten auffordern, sowie Druck durch knappe Fristen. Auch eine korrekte Absenderadresse ist kein Beweis für Echtheit, denn bei einem bereits übernommenen Konto stimmt die Adresse zwar, aber nicht die Absicht hinter der Nachricht. Im Zweifel hilft ein einziger Schritt: kurz innehalten und die Anfrage über einen bekannten zweiten Kanal prüfen.

Wie schütze ich mich vor Spear Phishing?

Wirksamer Schutz braucht zwei Dinge: technische Kontrollen und überprüfbare Entscheidungswege. Technik filtert vieles weg, ersetzt aber keine klaren Freigaberegeln, weil Spear Phishing genau dort ansetzt, wo Menschen entscheiden. Die wichtigsten Maßnahmen für KMU sind überschaubar.

• Phishing-resistente Mehr-Faktor-Authentifizierung: Hardware-Sicherheitsschlüssel, Passkeys oder moderne Authentifizierungs-Apps für E-Mail, VPN und Administrationskonten.
• Vier-Augen-Prinzip bei Geld und Daten: Neue IBANs, eilige Zahlungen und ungewöhnliche Dokumentenanforderungen über bekannte Telefonnummern aus dem eigenen Stammdatensatz prüfen, nicht über die Nummer in der verdächtigen Mail.
• DMARC, SPF und DKIM aktivieren: Diese drei E-Mail-Authentifizierungsverfahren reduzieren Absenderfälschung und verbessern die automatische Erkennung.
• Posteingangsregeln überwachen: Heimliche Weiterleitungen, neu hinzugefügte MFA-Methoden und auffällige Filterregeln sind typische Kennzeichen übernommener Konten.
• Kontinuierliche Awareness-Übungen: Regelmäßige Phishing-Simulationen im Arbeitsalltag bauen einen Erkennungsreflex auf, den eine einmalige Jahresschulung oder ein einzelner Test nicht erzeugen kann.
• Codewort für eilige Anweisungen: Bei Anrufen oder Sprachnachrichten, die Druck aufbauen, hilft ein vereinbartes Codewort oder ein zweiter Kanal, um die Identität zu überprüfen.

Keine dieser Maßnahmen wirkt isoliert. Erst das Zusammenspiel aus technischen Kontrollen, klaren Freigabeprozessen und einer aufmerksamen Belegschaft macht Spear Phishing zu einem beherrschbaren Risiko.

Häufige Fragen zu Spear Phishing

Ist Spear Phishing dasselbe wie CEO-Fraud?

Nein, aber CEO-Fraud ist eine Variante von Spear Phishing. Dabei imitieren Angreifer eine Führungskraft, um eine eilige Überweisung oder eine Datenfreigabe zu erwirken. Spear Phishing ist der Oberbegriff und umfasst zusätzlich Lieferantenbetrug, Kontoübernahmen und gefälschte IT-Anfragen.

Reicht ein Spamfilter gegen Spear Phishing?

Nein. Ein Filter ist eine wichtige erste Verteidigungslinie, kann gezielte Nachrichten aber nicht zuverlässig erkennen, weil sie sprachlich, technisch und inhaltlich kaum von legitimen E-Mails zu unterscheiden sind. Ein Filter ersetzt weder einen Rückrufprozess noch Mehr-Faktor-Authentifizierung oder klare Zahlungsfreigaben.

Wer ist im KMU besonders gefährdet?

Gefährdet sind alle Personen, die mit Geld, sensiblen Daten oder Kundenbeziehungen arbeiten, also typischerweise Geschäftsführung, Buchhaltung, Assistenz, IT und Vertrieb. Je nach Angriffsmuster sind auch Einkauf und Personalabteilung betroffen, etwa bei gefälschten Bewerbungen mit Schadcode im Anhang.

Wie sensibilisiert man Mitarbeitende für Spear Phishing?

Sensibilisierung entsteht nicht durch eine einmalige Schulung, sondern durch wiederholte Auseinandersetzung mit aktuellen Angriffsmustern. Realistische Simulationen aus dem eigenen Arbeitsalltag, verbunden mit einer kurzen Nachbesprechung, schärfen das Erkennungsgefühl nachhaltiger als ein jährliches Seminar.

Was Sie als Nächstes tun sollten

Spear Phishing lässt sich nicht mit einer einzigen Maßnahme abwehren. Wirksamer Schutz entsteht aus dem Zusammenspiel von klaren Prozessen, technischen Kontrollen und einer aufmerksamen Belegschaft.

Drei Schritte helfen für den Einstieg:

1. Freigaben klar regeln: Halten Sie schriftlich fest, wer Zahlungen freigeben darf, wie neue Bankdaten geprüft werden und wohin Mitarbeitende verdächtige Nachrichten melden.
2. Identitäten technisch absichern: Aktivieren Sie phishing-resistente Mehr-Faktor-Authentifizierung für E-Mail, VPN und Administrationskonten und richten Sie DMARC, SPF und DKIM für Ihre Domain ein.
3. Awareness laufend aufbauen: Etablieren Sie regelmäßige, kurze Übungen mit Beispielen aus Ihrem eigenen Arbeitsalltag, statt sich auf eine einmalige Jahresschulung zu verlassen.

Künstliche Intelligenz macht Täuschungen überzeugender und gleichzeitig billiger. Robust wird Ihr Schutz erst dann, wenn Vertrauen nicht mehr von einzelnen Personen abhängt, sondern an überprüfbare Prozesse gebunden ist.