8
CV hochladen
Suche
CV hochladen
DE
Digitalisierung
| 10. 6. 2026 | 13 Min. Lesezeit

Phishing-Mails erkennen: Worauf IT-Fachkräfte wirklich achten müssen

Von Jakub Novák
Cybersicherheit

Ein Angreifer recherchiert sein Ziel. Studiert LinkedIn-Profile, liest sich in Projekte ein, formuliert jedes Wort. 34 Minuten Arbeit für eine einzige Phishing-Mail. Dann generiert eine KI ihre eigene Version. Unter 3 Minuten. Ergebnis: gleiche Klickrate (Heiding et al., Harvard Kennedy School, 2024). Der Mensch ist nicht besser – nur langsamer.
Das eigentliche Problem ist jedoch nicht die KI. Sondern die Tatsache, dass selbst erfahrene IT-Fachkräfte auf solche Angriffe hereinfallen. 65 Prozent der IT- und Security-Führungskräfte haben in den letzten 12 Monaten auf einen Phishing-Link geklickt (Arctic Wolf, 2025). Mehr als der Durchschnitt aller Mitarbeitenden.
Noch alarmierender: Jeder fünfte IT- und Security-Verantwortliche meldete den Vorfall nicht. Kein Ticket. Keine Eskalation. Keine Warnung ans Team. Ausgerechnet die Personen, die den Incident-Response-Prozess verantworten, umgingen ihn.

Verdächtige Phishing-Nachricht wird an einem digitalen Kontrollpunkt gestoppt. 

In diesem Artikel erfährst du:

    Das Wichtigste in Kürze

    • Phishing-Mails erkennen heißt: Absender, Kontext und Dringlichkeit prüfen, nicht Grammatik – KI-generierte Mails sind sprachlich fehlerfrei (Harvard Kennedy School, 2024)
    • 65 % der IT- und Security-Führungskräfte haben in den letzten 12 Monaten auf einen Phishing-Link geklickt – mehr als der Durchschnitt aller Mitarbeitenden (Arctic Wolf, 2025)
    • Phishing spielt in 36 % aller bestätigten Datenpannen eine Rolle – als direkter Einstiegsvektor in 16 % (Verizon DBIR 2025)
    • Versicherungsbranche hat mit 39,2 % die zweithöchste Phishing-Anfälligkeit aller Branchen (KnowBe4, 2025)
    • Nach einem Klick auf einen Phishing-Link: Netzwerk sofort trennen, IT-Sicherheitsteam informieren, Credentials ändern – je schneller, desto geringer der Schaden

    Warum Phishing IT-Fachkräfte härter trifft als alle anderen

    Das Paradox hat eine Erklärung. IT-Fachkräfte erhalten nicht weniger Phishing – sie erhalten besseres. Wer Admin-Rechte, Deployment-Pipelines oder Zugang zu Produktionsdatenbanken hat, ist für Angreifer wertvoller als ein Sachbearbeiter mit Leserechten. Die Angriffe sind entsprechend personalisiert: eine gefälschte Jira-Notification zum aktuellen Sprint, ein OAuth-Consent-Request für eine scheinbar interne App, ein Security-Advisory für ein Paket aus der eigenen Dependency-Liste. Zwischen zwanzig echten Benachrichtigungen am Tag fällt die einundzwanzigste nicht auf.

    In der Versicherungsbranche kommt ein weiterer Risikofaktor hinzu: Social Engineering funktioniert hier besonders gut. Im Juni 2025 kompromittierte die Gruppe Scattered Spider über Social-Engineering-Angriffe auf Helpdesks gleich drei US-Versicherer. Kein technischer Exploit – nur Anrufe bei Helpdesk-Mitarbeitern, die glaubten, mit Kollegen zu sprechen. Die Folgen waren erheblich: Bei Aflac waren 22,65 Millionen Personen betroffen, Allianz Life Insurance verlor 1,4 Millionen Datensätze und Erie Insurance musste den Betrieb zeitweise einschränken. Der Vorfall zeigt, wie wirksam gut vorbereitetes Social Engineering sein kann – selbst in Unternehmen mit etablierten Sicherheitsprozessen.

    Dass solche Angriffe zunehmen, belegen auch aktuelle Zahlen. CrowdStrike dokumentierte in der zweiten Jahreshälfte 2024 einen Anstieg von Vishing-Angriffen um 442 Prozent gegenüber dem ersten Halbjahr (Global Threat Report, 2025). Die Versicherungsbranche zählt inzwischen zu den am stärksten betroffenen Branchen. Laut KnowBe4 (2025) liegt ihre Phishing-Anfälligkeit bei 39,2 Prozent – nur das Gesundheitswesen verzeichnet höhere Werte.

    Die Frage ist nicht, ob IT-Fachkräfte in der Versicherungs-IT auf Phishing reinfallen. Sondern was passiert, wenn sie es tun – und was sie vorher dagegen tun können.

    Woran erkennt man eine Phishing-Mail? Die Checkliste für IT-Fachkräfte

    Die meisten Phishing-Ratgeber richten sich an Endverbraucher: „Prüfe die Rechtschreibung“, „Klicke nicht auf unbekannte Links“. Für IT-Profis reicht das nicht. Angreifer, die auf Entwickler, Admins oder QA-Engineers abzielen, verwenden andere Taktiken – und die Erkennungsmerkmale sind entsprechend technischer. Die folgende Checkliste konzentriert sich deshalb auf die Signale, die für IT-Fachkräfte tatsächlich relevant sind.

    Tipp

    Tipp:

    Phishing-Mails erkennen heißt 2026: Kontext vor Sprache prüfen. Stimmt der Absender – Domain nach dem @-Zeichen exakt korrekt? Passt die Anfrage zum Arbeitsablauf? Erzeugt die Mail künstliche Dringlichkeit? KI-generierte Mails sind sprachlich fehlerfrei – Grammatikfehler sind kein Indikator mehr. Bei Unsicherheit: Absender über einen zweiten, unabhängigen Kanal verifizieren.

    1. Kontext prüfen: Passt die Anfrage zum Prozess?

    Eine E-Mail vom „IT-Support“, die nach Anmeldedaten oder Zugangsdaten fragt, ist in den meisten Unternehmen kein legitimer Prozess. Eine Build-Notification für ein Projekt, an dem man nicht arbeitet, ebenfalls nicht. Abweichungen vom normalen Arbeitsablauf sind der stärkste Indikator – auch wenn die E-Mail technisch perfekt aussieht.

    2. Absenderadresse prüfen – nicht den Anzeigenamen.

    Der Anzeigename lässt sich beliebig fälschen. Entscheidend ist die Domain nach dem @-Zeichen. Prüfe: Stimmt die Domain exakt mit der bekannten Unternehmensdomain überein? Ein Buchstabe Unterschied (msg-1ife.sk statt msg-life.sk) ist kein Tippfehler – es ist ein Angriff.

    3. Dringlichkeit hinterfragen.

    „Dein Account wird in 24 Stunden gesperrt“, „Dringendes Security-Update erforderlich“, „Critical vulnerability – patch now“. Zeitdruck ist das effektivste Werkzeug im Phishing – weil er die Prüfschritte 1–4 überspringt.

    4. OAuth-Consent-Anfragen kritisch prüfen.

    Statt Credentials direkt abzufragen, fordern Angreifer OAuth-Berechtigungen für eine „App“ an – mit Zugriff auf E-Mails, Kalender oder Cloud-Speicher. Prüfe: Welche Berechtigungen werden angefordert? Von welchem Publisher stammt die App? Unbekannte Publisher = ablehnen. Phishing-resistente MFA-Verfahren wie FIDO2 schützen auch dann, wenn der Login über die echte Microsoft-Seite läuft.

    5. Links per Mouseover prüfen – ohne zu klicken.

    Fahre mit der Maus über jeden Link und prüfe die tatsächliche Ziel-URL. Achte auf die Domain vor dem ersten Schrägstrich. Typische Fälschung: login.microsoft-security-update.com sieht plausibel aus – die Domain ist aber microsoft-security-update.com, nicht microsoft.com.

    6. Anhänge mit Vorsicht behandeln – besonders .html, .exe, .iso, .zip.

    Über 80 Prozent aller Zustellungen schädlicher Dateien erfolgen per E-Mail (Check Point, 2024/2026). HTML-Anhänge sind besonders tückisch: Sie umgehen viele Scanner und öffnen im Browser eine Credential-Harvesting-Seite, die von einem legitimen Login kaum zu unterscheiden ist.

    7. E-Mail-Header analysieren.

    SPF, DKIM und DMARC geben Auskunft darüber, ob die E-Mail tatsächlich vom angegebenen Server gesendet wurde. Die genaue Vorgehensweise unterscheidet sich je nach Mail-Client. Ein fehlendes DKIM-Feld oder ein SPF-Fail ist ein eindeutiger Indikator.

    8. Bei Unsicherheit: zweiter Kanal.

    Absender über Telefon, Slack oder Teams verifizieren – über einen anderen Kanal als den, über den die Anfrage kam. Nicht auf die E-Mail antworten, nicht auf den Link klicken, um „nachzusehen“. Besonders im Homeoffice fehlt dieser kurze Gegencheck beim Kollegen, weshalb Cybersicherheit im Homeoffice konsequent auf unabhängige Rückbestätigung statt auf den ursprünglichen Kommunikationsweg setzt.

    Moderne E-Mail-Gateways und KI-basierte Filter blockieren einen Großteil der Angriffe bereits vor dem Posteingang. Sie reduzieren das Risiko erheblich, ersetzen aber keine manuelle Prüfung – insbesondere bei OAuth-Consent-Phishing oder Angriffen über kompromittierte legitime Domains. Die Checkliste beginnt dort, wo der Filter aufhört.

    Warum klassische Erkennungsmerkmale 2026 nicht mehr reichen

    „Prüfe die Rechtschreibung“ war jahrelang der Standardtipp gegen Phishing. 2026 ist dieser Rat gefährlich – weil er eine falsche Sicherheit erzeugt. Moderne KI-Systeme erstellen E-Mails, die grammatikalisch korrekt, stilistisch konsistent und auf die jeweilige Zielperson zugeschnitten sind. Wer Phishing noch immer anhand von Tippfehlern erkennen will, sucht oft an der falschen Stelle.

    Eine Studie der Harvard Kennedy School (Heiding et al., 2024) verglich vollautomatisch generierte Spear-Phishing-Mails mit Angriffen erfahrener Cybersecurity-Experten. Das Ergebnis: Die KI-Mails erzielten mit 54 Prozent nahezu dieselbe Klickrate wie menschlich erstellte Angriffe. Generisches Massen-Phishing kam dagegen nur auf 12 Prozent. Die Kosten pro KI-Mail: 5 Minuten und 0,04 US-Dollar, statt 16 Stunden manueller Arbeit.

    Auch andere Studien zeigen denselben Trend. Bis März 2025 zeigte ein Hoxhunt-Test unter Enterprise-Nutzern, dass KI-Phishing rund 24 Prozent häufiger angeklickt wurde als Mails von menschlichen Red Teams – bei insgesamt niedrigen absoluten Klickraten unter 3 Prozent. Phishing-as-a-Service-Kits senken die Einstiegshürde zusätzlich: Barracuda beziffert den Anteil solcher Kits an Credential-Diebstählen 2025 auf über 50 Prozent – bis Ende 2026 könnten es 90 Prozent sein.

    KI verändert nicht nur Phishing-Mails. Immer häufiger kombinieren Angreifer täuschend echte Texte mit gefälschten Stimmen oder Videos, um Vertrauen aufzubauen und Sicherheitsprozesse zu umgehen. Wie solche Angriffe funktionieren und woran sie sich erkennen lassen, erklärt unser Artikel Deepfakes erkennen.

    Die Frage lautet deshalb nicht mehr: „Sieht die E-Mail verdächtig aus?“ Sondern: „Verhält sie sich verdächtig?“

    Erkennungsmerkmale im Wandel: Alte Phishing-Indikatoren vs. neue Prüfmuster für IT-Teams
    Altes Merkmal Warum es nicht mehr reicht Neues Erkennungsmuster
    Grammatik- und Rechtschreibfehler KI-Mails erreichen 54 % Klickrate – sprachlich fehlerfrei, stilistisch angepasst (Harvard Kennedy School, 2024) Kontext prüfen: Passt die Anfrage zum aktuellen Arbeitsablauf?
    Allgemeine Anrede („Sehr geehrter Kunde“) Angreifer nutzen persönliche Daten aus LinkedIn und Firmenwebseiten für Spear-Phishing Inhaltliche Plausibilität: Kennt der Absender Details, die nur intern bekannt sein sollten?
    Offensichtlich falsche Absenderdomain Homograph-Angriffe nutzen visuell identische Unicode-Zeichen (z. B. kyrillisches „a“) E-Mail-Header analysieren: SPF/DKIM/DMARC-Ergebnisse prüfen
    Verdächtige Anhänge (.exe, .zip) HTML-Anhänge umgehen Scanner; 88 % schädlicher Dateien kommen per E-Mail (Check Point, 2024) Jeden Anhang hinterfragen – auch .html, .pdf mit eingebetteten Links, .ics-Kalendereinladungen
    Links zu unbekannten Domains Angreifer nutzen kompromittierte legitime Domains oder URL-Shortener mit Redirects Ziel-URL vollständig prüfen (nicht nur den sichtbaren Text); bei Shortlinks: nicht klicken

    Die Angreifer nutzen KI – aber die Verteidigung auch. Technische Schutzmechanismen entwickeln sich ebenfalls weiter. Moderne E-Mail-Security-Lösungen analysieren heute nicht nur Absender und Anhänge, sondern auch Kommunikationsmuster, Kontext und Anomalien im Nutzerverhalten.

    Für IT-Fachkräfte ändert das jedoch nichts an der zentralen Erkenntnis: Die Verantwortung verschiebt sich von der Sprachprüfung zur Kontextprüfung. Nicht die Grammatik entscheidet, ob eine Nachricht legitim ist – sondern ob sie zum Prozess, zur Rolle und zur konkreten Situation passt.

    Die Checkliste aus dem vorherigen Abschnitt beginnt genau dort, wo klassische Phishing-Merkmale aufhören. Für IT-Teams heißt das: Technische Schutzschichten ergänzen die Checkliste, ersetzen sie aber nicht.

    Die häufigsten Phishing-Szenarien für IT-Teams

    Phishing auf IT-Teams folgt anderen Mustern als Massenangriffe auf Endverbraucher. Angreifer nutzen das Wissen, dass IT-Fachkräfte an automatisierte Benachrichtigungen gewöhnt sind – und dass sie unter Zeitdruck schneller klicken. Der Verizon DBIR 2025 zeigt: Bereits 30 Prozent aller bestätigten Datenpannen gehen auf Drittparteien zurück – doppelt so viele wie im Vorjahr. Phishing ist eine von zwölf gängigen Angriffsarten – einen Überblick über weitere Cyberangriffe und ihre Mechanismen gibt unser Leitfaden. Für IT-Dienstleister in der Versicherungsbranche bedeutet das: Du bist nicht nur Ziel – du bist Teil der Angriffsfläche deines Kunden.

    Nicht jedes Phishing-Szenario ist gleich aufgebaut oder gleich gefährlich. Für IT-Fachkräfte lassen sich die häufigsten Angriffe in drei Ebenen einteilen: Identity & Access, Kommunikationskanäle und Software-Supply-Chain. Jede dieser Ebenen zielt auf einen anderen Teil der Infrastruktur – und erfordert eine andere Art der Überprüfung.

    1. Identity & Access: der direkte Weg ins System

    Hier Angreier versuchen , Kontrolle über Accounts, Tokens oder Sessions zu übernehmen. Nicht das Passwort ist das eigentliche Ziel, sondern der dauerhafte Zugriff.

    OAuth-Consent-Phishing über Cloud-Dienste.

    Statt Passwort direkt abzufragen, fordert eine „App“ OAuth-Berechtigungen an – mit Zugriff auf E-Mails, Kalender, OneDrive. Proofpoint dokumentierte 2025 Angriffe auf knapp 3.000 Benutzerkonten in mehr als 900 Microsoft-365-Umgebungen – mit einer Erfolgsrate von über 50 Prozent. MFA bot keinen Schutz, weil der Login über die echte Microsoft-Seite lief. Selbst nach einem legitimen Login können Angreifer Session-Tokens stehlen und damit aktive Sitzungen übernehmen – ohne erneute Authentifizierung. Im März 2025 wurden über diesen Vektor auch 12.000 GitHub-Repositories angegriffen.

    Erkennung: Publisher der App, angeforderte Permissions und ungewöhnliche Consent-Flows prüfen. Unbekannte Publisher = ablehnen. Aktive Sessions regelmäßig prüfen, unbekannte Geräte sofort abmelden.

    Fake-Jira / Confluence / interne Tool-Benachrichtigung.

    Eine E-Mail mit Betreff „[PROJ-4521] Critical: Review required“ und einem Link zu einer Login-Seite, die Atlassian täuschend ähnlich sieht. Ziel: Atlassian-Credentials abgreifen.

    Erkennung: Domain nach dem @-Zeichen, nicht der Anzeigename. Besonders bei leicht abweichenden Subdomains oder Lookalike-Domains– die Domain vor dem ersten Schrägstrich muss atlassian.net sein, nicht atlassian-login.com.

    Fake-HR-Mail: Gehaltsabrechnung/Steuerformular.

    Eine E-Mail von „HR“ mit einem Link zu einer „aktualisierten Gehaltsabrechnung“ – besonders effektiv zum Jahresende oder nach Gehaltsverhandlungen.

    Erkennung: Prüfen, ob das Unternehmen solche Dokumente überhaupt per E-Mail-Link verteilt oder ausschließlich über interne Portale.

    Phishing über Bestandsführungssysteme und Maklerportale.

    Versicherungs-IT verwaltet Systeme, die in anderen Branchen nicht existieren: Bestandsführungssysteme, Schadenplattformen und Maklerportale mit Direktzugriff auf Kundendaten und Policen. Ein typischer Angriffsvektor: Eine E-Mail, die aussieht wie eine Systemmeldung der Bestandsführung – „Datenabgleich erforderlich: 47 Policen mit Inkonsistenzen“ – mit einem Link zu einer gefälschten Login-Seite. Wer täglich mit Systemmeldungen dieser Art arbeitet, klickt schneller als jemand, der die Anwendung nicht kennt. NIS2 verschärft das Risiko: Ein kompromittierter Zugang zu Versicherungskernprozessen löst Meldepflichten innerhalb von 24 Stunden aus (Art. 23). DORA geht noch weiter und verlangt von Versicherern und ihren IT-Dienstleistern nachweisbare Resilienz-Tests – inklusive Anti-Phishing-Fähigkeiten.

    Erkennung: URL und Login-Kontext prüfen – insbesondere bei Systemen, die außerhalb des Browsers nicht klar verifizierbar sind.

    2. Kommunikationskanäle: der Mensch im Prozess

    Diese Angriffe umgehen technische Systeme und setzen direkt am Verhalten im Team an.

    CEO-Fraud über Slack, Teams oder E-Mail.

    Eine typische Nachricht wirkt wie eine interne Ausnahme: Zugriff auf eine Testumgebung, kurzfristige Freigabe oder eine dringende Demo. Häufig erfolgt der Angriff über Slack, Teams oder kompromittierte Accounts. Ein besonders kritischer Untertyp ist der Missbrauch von Support-Prozessen: Angreifer geben sich als Mitarbeiter aus und kontaktieren den Helpdesk, um Passwörter zurückzusetzen oder MFA neu zu registrieren. Hier wird nicht die Führungsebene imitiert, sondern der interne IT-Prozess selbst. Der Erfolgsfaktor ist nicht Technik, sondern sozialer Druck.

    Erkennung: Jede Ausnahme vom Standardprozess über einen zweiten Kanal verifizieren – z. B. persönlich oder per Telefon. – unabhängig davon, ob die Anfrage „von oben“ oder „vom Support“ kommt.

    Smishing über gefälschte Service-Benachrichtigungen.

    Phishing per SMS nimmt zu – besonders in Form gefälschter Zustellbenachrichtigungen, Terminbestätigungen oder Sicherheitswarnungen. Für IT-Fachkräfte relevanter: SMS-basierte MFA-Codes, die in Echtzeit abgefangen und an Angreifer weitergeleitet werden.

    Erkennung: Keine Links aus SMS öffnen, MFA-Codes nur eingeben, wenn der Login selbst initiiert wurde.

    3. Software Supply Chain: Vertrauen in Updates

    Der Mensch wird nicht direkt angegriffen, sondern das Vertrauen in Entwickler-Ökosysteme und Abhängigkeiten.

    Supply-Chain-Phishing über npm oder PyPI-Notifications.

    Am 8. September 2025 führte eine einzige Phishing-Mail an den Maintainer der npm-Pakete chalk und debug (zusammen 2,6 Milliarden wöchentliche Downloads) zum größten npm-Supply-Chain-Angriff der Geschichte. 18 Pakete wurden für etwa zwei Stunden mit Crypto-Stealing-Malware kompromittiert. Sonatype identifizierte allein im ersten Quartal 2025 rund 18.000 schädliche Pakete – bis zur Jahresmitte hatte sich die Zahl nahezu verdreifacht.

    Erkennung: Security-Advisories immer direkt auf der offiziellen Plattform verifizieren, nie über Links aus E-Mails.

    Phishing-Mail geöffnet – was jetzt? Sofortmaßnahmen für IT-Fachkräfte

    Du hast auf einen Link geklickt, einen Anhang geöffnet oder bist dir nicht sicher, ob eine E-Mail legitim war. Je schneller du reagierst, desto geringer der Schaden. In vielen Fällen liegt die eigentliche Gefahr nicht im Moment des Klicks, sondern in den Minuten danach.

    Ein Datenleck im Finanzsektor kostet durchschnittlich 6,08 Millionen US-Dollar (IBM Cost of a Data Breach Report, 2024) – 22 Prozent über dem globalen Durchschnitt. Phishing-initiierte Breaches benötigen im Schnitt 261 Tage bis zur Identifikation und Eindämmung. In vielen Fällen endet ein erfolgreicher Phishing-Angriff in Ransomware – die Zahl der Ransomware-Payloads in Phishing-Mails stieg laut KnowBe4 (2025) um 22,6 Prozent innerhalb von sechs Monaten. In NIS2-pflichtigen Unternehmen läuft ab dem Moment der Erkennung eine Frühwarnfrist von 24 Stunden, gefolgt von einer Vorfallmeldung mit Erstbewertung innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats (NIS2 Art. 23).

    In Incident-Response-Szenarien ist eine schnelle, unvollständige Meldung besser als eine verzögerte, perfekte Analyse. Jeder Minutenverlust erhöht das Risiko von Persistenz im System. Entscheidend ist daher nicht die Frage, ob etwas passiert ist – sondern wie schnell und strukturiert reagiert wird.

    1. Internetverbindung trennen.

    LAN-Kabel ziehen oder WLAN deaktivieren. Ziel: Datenexfiltration stoppen und laterale Bewegung im Netzwerk verhindern. Gerät nicht ausschalten – forensische Spuren im RAM gehen sonst verloren. Phishing-Angriffe installieren häufig zusätzliche Schadsoftware – Trojaner, Backdoors oder Ransomware – die nicht sofort erkennbar ist.

    2. IT-Sicherheitsteam informieren.

    Sofort – nicht nach eigener Analyse. Melde was passiert ist: Zeitpunkt, welche Mail, was du geklickt oder geöffnet hast, welches Gerät. KnowBe4’s Phishing-by-Industry-Report 2025 zeigt: Regelmäßiges Training und Simulationen senken die Phishing-Anfälligkeit um 86 Prozent – von durchschnittlich 33,1 Prozent auf 4,1 Prozent nach 12 Monaten. Meldekultur ist trainierbar.

    3. Anmeldedaten und Zugangsdaten ändern.

    Passwörter für alle betroffenen Systeme ändern – über ein anderes, nicht kompromittiertes Gerät. Wer Anmeldedaten oder Credentials eingegeben hat, sollte auch alle anderen Systeme mit demselben oder ähnlichem Passwort ändern. Ein Passwort-Manager stellt sicher, dass jedes System ein eigenes, zufällig generiertes Passwort hat – und reduziert die Angriffsfläche bei künftigen Vorfällen.

    4. Nicht löschen – Beweise sichern.

    Die E-Mail ist Beweismittel. Nicht löschen, nicht weiterleiten (außer an das Sicherheitsteam). Screenshot der E-Mail und der vollständigen URL erstellen.

    5. Aktive Sessions und Integrationen überprüfen.

    In Microsoft 365, Google Workspace und anderen Cloud-Diensten: Aktive Sessions prüfen und unbekannte Geräte abmelden. Bei OAuth-Consent-Phishing: Verbundene Apps prüfen und verdächtige Berechtigungen widerrufen. Microsoft hat die Standard-Consent-Richtlinien im Juli 2025 verschärft – User-Level-Consent für Datei-Zugriff durch Drittanbieter-Apps ist seitdem standardmäßig blockiert.

    6. Kollegen warnen.

    Wenn die Phishing-Mail an mehrere Personen ging, ist die Wahrscheinlichkeit hoch, dass nicht nur eine Person darauf reagiert hat. Eine kurze Warnung an das Team spart dem Sicherheitsteam Zeit.

    Tipp

    Tipp:

    Petra Hajdušek, Information Security Officer bei msg life Slovakia:

    „Phishing-Simulationen sind kein Misstrauensbeweis – sie zeigen, dass ein Unternehmen seine Leute ernst nimmt. Frag im Bewerbungsgespräch, ob regelmäßig Phishing-Tests durchgeführt werden. Wer offen darüber spricht, hat eine reife Sicherheitskultur. Wer ausweicht, ist ein Warnsignal.“

    Phishing-Awareness im Bewerbungsgespräch prüfen

    Phishing ist kein individuelles Problem. Es ist ein Organisationsproblem. Selbst die beste Checkliste hilft nur begrenzt, wenn Sicherheitsprozesse fehlen, Vorfälle nicht gemeldet werden oder Mitarbeitende nie trainiert werden.

    Die meisten Phishing-Ratgeber enden bei „sei vorsichtig“. Für IT-Fachkräfte ergibt sich daraus eine oft übersehene Frage: Wie ernst nimmt ein potenzieller Arbeitgeber das Thema Cybersicherheit? Die Antwort lässt sich häufig bereits im Bewerbungsgespräch erkennen. In regulierten Branchen wie der Versicherungswirtschaft sind diese Fragen besonders relevant. NIS2 und DORA (Digital Operational Resilience Act) verpflichten Unternehmen inzwischen zu dokumentierten Sicherheitsmaßnahmen, klaren Meldewegen und regelmäßigen Resilienztests.

    Sicherheitskultur im Interview: Phishing-Fragen, gute Antworten und Warnsignale für IT-Fachkräfte
    Frage im Interview Gute Antwort Warnsignal
    Führen Sie regelmäßig Phishing-Simulationen durch? Ja, quartalsweise mit dokumentierten Ergebnissen und Follow-up-Schulungen für Mitarbeiter, die geklickt haben. „Wir vertrauen unseren Mitarbeitern“ oder „Das ist bei uns nicht nötig.“
    Wie sieht Ihr Incident-Response-Prozess bei einem Phishing-Vorfall aus? Dokumentierter Prozess mit klaren Eskalationsstufen, definierten Rollen und Meldefristen (z. B. 24h Frühwarnung gem. NIS2). „Das regelt die zentrale IT“ ohne Kenntnis der Details.
    Wie schnell werden kritische Security-Patches ausgerollt? Konkreter SLA in Stunden oder Tagen, z. B. „Kritische Patches innerhalb von 48 Stunden.“ „So schnell wie möglich“ ohne konkrete Zahl.
    Nutzen Sie Tools zur E-Mail-Authentifizierung (SPF, DKIM, DMARC)? Ja, alle drei konfiguriert und überwacht. DMARC-Policy auf reject oder quarantine. Keine Kenntnis der Begriffe oder „Das macht unser Provider.“

    Keine einzelne Antwort entscheidet darüber, ob ein Unternehmen sicher ist. Auffällig wird es jedoch, wenn mehrere Warnsignale zusammenkommen: keine Phishing-Tests, unklare Incident-Prozesse, fehlende Patch-Zyklen oder mangelnde Kenntnisse über grundlegende E-Mail-Schutzmechanismen.

    Sicherheitskultur zeigt sich selten in Hochglanz-Präsentationen. Sie zeigt sich in konkreten Prozessen.

    Wer im Bewerbungsgespräch gezielt nach Security-Prozessen fragt, erhält oft tiefere Einblicke als durch jede Karriereseite. Bei msg life Slovakia gehören dokumentierte Incident-Response-Prozesse, NIS2-konforme Meldeketten und Security-Awareness-Maßnahmen zum festen Bestandteil des Sicherheitskonzepts.

    Phishing-Mails erkennen und richtig reagieren

    Wie lassen sich Phishing-E-Mails am besten erkennen?

    Der wichtigste Indikator 2026 ist nicht mehr die Sprache, sondern der Kontext: Passt die Anfrage zum aktuellen Arbeitsablauf? KI-generierte Mails sind sprachlich fehlerfrei – die 9-Punkte-Checkliste in diesem Artikel zeigt, welche technischen und kontextuellen Prüfschritte stattdessen greifen.

    Welche vier Arten von Phishing-Angriffen gibt es?

    Mass-Phishing (breite Streuung, generische Mails), Spear-Phishing (gezielt auf eine Person oder Rolle), Whaling (Angriff auf Führungsebene) und Quishing (Phishing über QR-Codes). Für IT-Teams ist Spear-Phishing der relevanteste Vektor, weil Angreifer projektspezifische Details verwenden.

    Wie kann ich herausfinden, woher eine E-Mail kommt?

    Durch Analyse der E-Mail-Header. In Outlook: Datei → Eigenschaften → Internetkopfzeilen. Prüfe die Felder Received, SPF, DKIM und DMARC. Ein SPF-Fail oder fehlendes DKIM-Feld bedeutet, dass die E-Mail nicht vom angegebenen Server stammt – ein starker Phishing-Indikator.

    Was passiert, wenn ich versehentlich eine Phishing-Mail öffne?

    Das reine Öffnen einer E-Mail ist in modernen Clients in der Regel ungefährlich – Malware wird erst durch Anhänge oder Links aktiviert. Tracking-Pixel können allerdings bestätigen, dass die Adresse aktiv ist. Nach einem Klick auf einen Link oder Anhang: Netzwerk trennen, IT-Sicherheitsteam informieren, Credentials ändern. Auch ohne Dateneingabe kann ein Klick Tracking auslösen oder bei veralteter Software Drive-by-Downloads starten.

    Was passiert, wenn ich auf eine Phishing-E-Mail geklickt, aber keine Daten eingegeben habe?

    Ein Klick allein kann bereits Tracking auslösen oder – bei veralteter Software – Drive-by-Downloads starten. Wenn du keine Anmeldedaten eingegeben hast: Virenscanner laufen lassen, aktive Sessions prüfen, IT-Sicherheitsteam trotzdem informieren. Lieber einmal zu viel melden als einmal zu wenig.

    Welche Phishing-Risiken sind spezifisch für die Versicherungsbranche?

    Versicherer verwalten hochsensible Kundendaten und unterliegen strengen Meldepflichten: NIS2 verlangt eine Frühwarnung innerhalb von 24 Stunden, DORA fordert nachweisbare Resilienz-Tests. Die Branche hat mit 39,2 Prozent die zweithöchste Phishing-Anfälligkeit (KnowBe4, 2025). Angriffe zielen gezielt auf Bestandsführungssysteme und Maklerportale – Systeme, die in anderen Branchen nicht existieren.

    Phishing-Mails erkennen – und die entscheidende Minute danach

    34 Minuten Arbeit eines Menschen. Unter 3 Minuten einer KI. Gleiche Wirkung. Der Unterschied liegt heute nicht mehr in der Qualität des Angriffs, sondern in seiner Skalierbarkeit.

    Die Werkzeuge, um diese Mails zu erkennen, stehen in diesem Artikel – die Checkliste, die Szenarien, die Sofortmaßnahmen. Die Phishing-Erkennung ist dabei nur ein Baustein einer umfassenden Cybersecurity-Strategie.

    Der Trend in der IT-Sicherheit heißt Zero Trust – geh davon aus, dass jede Nachricht, jede Anfrage und jeder Login kompromittiert sein kann, bis das Gegenteil bewiesen ist. Für den Umgang mit Phishing bedeutet das: Vertrauen ist kein Ausgangszustand, sondern etwas, das bei jeder E-Mail neu verdient werden muss.

    Aber der wichtigste Schutz ist kein technischer. Entscheidend ist, wie auf einen Vorfall reagiert wird. 65 Prozent der IT- und Security-Führungskräfte haben in den vergangenen zwölf Monaten auf einen Phishing-Link geklickt. Nicht der Fehler entscheidet über das Ausmaß eines Vorfalls, sondern die Geschwindigkeit der Reaktion.

    Cybersicherheit entsteht nicht durch Tools allein. Unternehmen können Phishing nie vollständig verhindern. Sie können aber entscheiden, wie gut sie darauf vorbereitet sind – durch Prozesse, Training und eine Kultur, in der Vorfälle offen angesprochen werden.

    Genau deshalb investieren wir bei msg life Slovakia in Security Awareness, Incident Response und kontinuierliche Weiterbildung. Du arbeitest in der IT und suchst ein Umfeld, das Cybersicherheit ernst nimmt? Schau dir unsere offenen Stellen an.

    Der Unterschied zwischen einem Sicherheitsvorfall und einer Katastrophe ist nicht der Klick – sondern das, was in der Minute danach passiert.

    Jakub Novák

    System Engineer bei msg life Slovakia mit Schwerpunkt Infrastruktur, Endpoint Security und Automatisierung. Zuvor administrierte er als System Administrator über zwei Jahre die Hardware- und Endpoint-Infrastruktur des Unternehmens – inklusive Active Directory, BitLocker und Remote-Troubleshooting.

    Schließen

    Senden Sie Anhänge, die größer als 4 MB sind, an
    jobs.sk@msg-life.com

    Schließe dich unserem Team an!

      *

      *

      Der für die Verarbeitung Ihrer personenbezogenen Daten Verantwortliche ist msg life Slovakia s. r. o., Hraničná 18, 821 05 Bratislava, ID-Nr.: . Personenbezogene Daten im Rahmen des Lebenslaufs, der Bewerbung um eine Stelle, des Motivationsschreibens oder anderer Dokumente mit Ihren personenbezogenen Daten, die durch eventuelle Notizen aus dem Auswahlverfahren ergänzt werden, werden für die Zwecke des Auswahlverfahrens und der Erstellung einer Datenbank von Bewerbern für künftige Auswahlverfahren im oben genannten Rahmen für einen Zeitraum von 3 Jahren verarbeitet. Sie können Ihre Zustimmung zur Verarbeitung Ihrer personenbezogenen Daten jederzeit widerrufen, indem Sie sich an die folgende E-Mail-Adresse wenden: jobs.sk.life@msg.group oder durch schriftliche Mitteilung an die Adresse der Verantworlitchen. Der Widerruf der Einwilligung hat keine Auswirkungen auf die Verarbeitung personenbezogener Daten, die auf der Einwilligung vor deren Widerruf beruhen. Personenbezogene Daten können auch von einem vertraglich beauftragten Auftragsverarbeiter (Systemanbieter), der Firma recruitis.io s. r. o., Chmelova 357/2, 500 03 Hradec Králové, Tschechische Republik, ID-Nr.:27508391, verarbeitet werden. Weitere Informationen über die Verarbeitung von personenbezogenen Daten finden Sie hier>.

      Jobangebote

      Project Technical Lead
      Antrittsprämie bereits ab 3800 €
      Data Scientist (Datenwissenschaftler)
      Antrittsprämie ab 2 600 €
      Migrationsingenieur
      IT-Berater für Unternehmen – Prozessspezialist (m/w/d)
      Antrittsprämie ab 2 600 €
      IT Systems Integration Consultant
      Antrittsprämie ab 2 600 €
      Java Entwickler Experte
      Antrittsprämie ab 3 100 €
      IT Projekmanager Junior
      Alle Angebote anzeigen

      Ähnliche Artikel
      8. 6. 2026

      Cyberangriffe, Bedrohungen, ihre Arten und wie man sie verhindern kann
      Cybersicherheit
      23. 4. 2026

      Cybersicherheit im Homeoffice: Was IT-Profis wissen müssen
      Cybersicherheit
      13. 5. 2026

      Deepfakes erkennen: Wie Versicherer KI-Betrug in Schadenfällen und Voice-ID-Prozessen reduzieren
      Cybersicherheit
      19. 1. 2024

      Künstliche Intelligenz und Passwortsicherheit: KI kann jetzt deine Passwörter stehlen
      AI Künstliche IntelligenzCybersicherheit
      10. 5. 2024

      Sicherheitssoftware und Antivirenprogramme
      Cybersicherheit
      21. 4. 2026

      Was ist Cybersecurity? Definition, Bedrohungen und wirksame Schutzmaßnahmen
      Cybersicherheit
      26. 11. 2021

      Tipps, damit du online sicherer bist
      Cybersicherheit
      28. 4. 2026

      IT-Nachrichten aus der Welt der Technik