SPONSORED CONTENT - Phishing-Angriffe: neue Methoden, alte Gefahren

Dieser Inhalt wurde von NZZ Story Lab im Auftrag von Swisscom erstellt. Der Auftraggeber trägt die redaktionelle Verantwortung für diesen Beitrag. Hier geht es zu den NZZ-Richtlinien für Native Advertising.

Eine Rentnerin, die auf eine gefälschte SMS im Namen der Post hereinfällt. Ein Vater, der nach einer täuschend echt aussehenden E-Mail eine «Zollgebühr» bezahlt. Ein Student, der sein Instagram-Passwort auf einer nachgebauten Login-Seite eingibt: Phishing trifft nicht eine bestimmte Gruppe. Das häufigste Einfallstor ist zwar nach wie vor die klassische E-Mail, aber SMS, WhatsApp, soziale Medien und gefälschte QR-Codes gewinnen an Bedeutung. Denn das Vertrauen in persönliche Kanäle ist höher als in anonyme E-Mails. Studien zeigen sogar, dass gerade junge, technikaffine Menschen häufiger auf Täuschungsversuche hereinfallen als erwartet.

Doch es werden nicht nur Privatpersonen attackiert, auch in der Arbeitswelt zeigen sich klare Muster. Personen, die im Homeoffice oder in kleinen Teams arbeiten, sind überdurchschnittlich häufig Ziel von Phishing-Versuchen. Die Gründe dafür sind strukturell bedingt: Fehlendes Vier-Augen-Prinzip und weniger formalisierte Prozesse führen nicht nur zu mehr Eigenverantwortung, sondern auch zu häufigeren Fehlern. Der finanzielle Schaden ist schwer zu beziffern und die Dunkelziffer ist enorm. Analytiker schätzen, dass Cyberkriminalität die Schweiz jährlich mehrere Milliarden Franken kostet. Für Betroffene kann der Schaden im schlimmsten Fall existenzbedrohend sein.

Was Phishing so gefährlich macht, ist keine technische Raffinesse – es ist das gezielte Ausnutzen menschlicher Reflexe. Die Vortäuschung von Dringlichkeit ist dabei der wirksamste Hebel: «Ihr Konto wird gesperrt», «letzte Mahnung» oder «sofort handeln». Solche Formulierungen reduzieren kritisches Denken. Denn wer unter Zeitdruck steht, prüft weniger. Hinzu kommt der Autoritätsreflex: Nachrichten, die scheinbar von einer Bank, einer Behörde oder dem eigenen Vorgesetzten stammen, lassen viele Menschen sorgloser werden. Gleichzeitig spielt die Gewohnheit eine Rolle. Wer täglich Benachrichtigungen abarbeitet oder sich bei digitalen Diensten einloggt, tut das irgendwann auch zur falschen Zeit am falschen Ort.

Noch gezielter wird Phishing, wenn Angreifer auf bestimmte Daten zurückgreifen können. Name, E-Mail-Adresse, letzte Bestellungen, Informationen zu Stellenwechseln oder Projekterfolgen: Solche Informationen stammen aus Datenlecks oder öffentlichen Jobportalen wie etwa LinkedIn oder sind auf kriminellen Marktplätzen erhältlich. Sie ermöglichen sogenanntes Spear-Phishing. Das sind hochpersonalisierte Nachrichten, die auf den ersten Blick absolut legitim wirken. Ähnlich funktioniert sogenannter CEO-Fraud. Dabei imitieren Täter den direkten Vorgesetzten, um Zahlungsanweisungen oder Zugangsdaten zu erschleichen. Typisch ist auch hier die Kombination aus Dringlichkeit, Geheimhaltung und Eskalation: «Ich bin in einer Sitzung. Bitte sofort überweisen, und sag niemandem etwas.» Unternehmen ohne klare Freigabeprozesse sind stärker betroffen.

Was diese Angriffe bisher oft erkennbar machte, war die Sprache: holpriges Deutsch, generische Anreden, verdächtige Formulierungen. Damit ist es vorbei. Künstliche Intelligenz (KI) verändert Phishing nicht grundlegend, aber sie macht die Angriffe massiv effizienter. KI-Sprachmodelle generieren fehlerfreie, stilistisch überzeugende Nachrichten in Sekundenbruchteilen. Und das in jeder Sprache, für jede Zielgruppe, in beliebig vielen Varianten.

Die nächste Stufe sind Deepfakes. KI-generierte Stimmen imitieren bereits heute Vorgesetzte oder Familienmitglieder in Echtzeit. Videocalls mit gefälschten Gesichtern sind technisch möglich und werden in Hochrisiko-Szenarien bereits eingesetzt. Autonome Angriffsagenten, die ohne menschliche Steuerung ganze Phishing-Kampagnen planen und durchführen, gelten als nächste Entwicklungsstufe.

Übergeordnet bekämpfen Anbieter Phishing, bevor eine Nachricht den Posteingang erreicht. Swisscom allein blockiert jeden Monat über 1500 Phishing-Kampagnen. Arbeitsgrundlage ist eine schweizerische Datenbank, in der Phishing-URLs unter Providern geteilt und danach blockiert werden. Ausserdem hilft künstliche Intelligenz in der Verteidigung: KI-gestützte Systeme analysieren Anomalien im Netzwerkverkehr und erkennen Angriffsmuster frühzeitig.

Trotzdem landen Phishing-Nachrichten im Posteingang, weil keine technische Abwehr lückenlos ist. Wie also lassen sich Phishing-Nachrichten noch erkennen, wenn nicht mehr an der Sprache? Fünf Fragen helfen, verdächtige Nachrichten zu beurteilen:

• Stimmt die Absenderadresse wirklich, nicht nur der Anzeigename?
• Wohin führen der Link oder QR-Code tatsächlich?
• Wird Druck, Dringlichkeit oder Geheimhaltung erzeugt?
• Werden persönliche Daten oder eine Zahlung verlangt?
• Sind Kanal oder Zeitpunkt ungewöhnlich?

Wenn auch nur eine dieser Fragen mit «Ja» beantwortet wird, gilt: Vorsichtig sein und nicht klicken. Und auf einem anderen Kanal, zum Beispiel per Telefon, beim vermeintlichen Absender nachfragen, ob die Nachricht echt ist. Wer trotz allem auf eine Nachricht hereingefallen ist, sollte schnell handeln. Das betroffene Passwort ändern, die Bank oder den betroffenen Dienst kontaktieren und den Vorfall dem Bundesamt für Cybersicherheit unter report.ncsc.admin.ch melden. Das hilft, Phishing-Kriminelle schneller zu identifizieren und andere zu schützen.

Weitere Schutzmassnahmen für Privatpersonen sind niederschwellig: Im E-Mail-Programm Spam- und Phishing-Filter aktivieren, Zwei-Faktor-Authentifizierung (2FA) bei Logins einschalten und Passwort-Manager-Tools einsetzen. In Unternehmen helfen Trainings, die die Aufmerksamkeit für diese Themen adressieren. Wirksam sind Schulungen dann, wenn sie regelmässig, kurz und praxisnah sind. Der wichtigste Indikator für deren Wirkung ist nicht die Klickrate, sondern die Melderate: Wie schnell und wie oft melden Mitarbeitende verdächtige Nachrichten? Eine positive Fehlerkultur ist dabei entscheidend.

Respekt vor Phishing-Angriffen ist sinnvoll. Angst ist es nicht. Wer die richtigen Fragen stellt, bevor er klickt, hat den wichtigsten Schritt bereits getan.