Phishing im KMU: konkrete Risiken und Sofortmaßnahmen

· Kristijan Erich

Mehr als 80 Prozent aller erfolgreichen Cyberangriffe beginnen mit einer E-Mail. Kein Zero-Day-Exploit, kein komplizierter Hack – jemand klickt auf einen Link. Phishing ist deshalb das größte IT-Sicherheitsrisiko für kleine Unternehmen im Rhein-Main-Gebiet: niedrige technische Hürde für den Angreifer, hohes Schadenspotenzial für den Betrieb. Dieser Artikel zeigt, wie Phishing im KMU-Alltag wirklich aussieht – und was konkret schützt.

Warum KMU bei Phishing besonders im Visier sind

Große Konzerne haben Security-Teams, E-Mail-Gateways und Awareness-Programme. Kleine Unternehmen haben meistens keines davon. Angreifer wissen das. Phishing-Angriffe laufen automatisiert und massenhaft – sie suchen nach dem einfachsten Einstieg, nicht nach dem größten Ziel.

Typische Schwachstellen in KMU ohne eigene IT-Abteilung:

  • Kein MFA auf Unternehmenskonten: Ein gestohlenes Passwort reicht aus, um vollständigen Zugriff auf E-Mail, Kalender und Dokumente zu bekommen.
  • Keine Schulung: Mitarbeitende erkennen Phishing-Mails nicht zuverlässig – nicht weil sie unachtsam sind, sondern weil sie nie gelernt haben, worauf sie achten müssen.
  • Kein Meldeprozess: Wenn jemand auf einen verdächtigen Link geklickt hat, weiß er oft nicht, an wen er sich wenden soll. Die Reaktion kommt zu spät oder gar nicht.
  • E-Mail-Schutz nicht konfiguriert: In Microsoft 365 und anderen Cloud-Diensten sind viele Sicherheitsfunktionen standardmäßig deaktiviert – und bleiben es, wenn niemand aktiv eingreift.

So läuft ein Phishing-Angriff in der Praxis ab

Phishing ist kein Zufallsprodukt. Ein typischer Angriff auf ein KMU sieht heute so aus:

  • Schritt 1 – Vorbereitung: Der Angreifer recherchiert Namen und E-Mail-Adressen aus der Unternehmenswebsite oder LinkedIn. Manchmal reichen öffentlich zugängliche Informationen.
  • Schritt 2 – Köder: Eine E-Mail landet im Postfach – scheinbar von Microsoft, einer Bank, einem Lieferanten oder sogar vom Geschäftsführer selbst. Betreff: „Ihre Rechnung", „Passwort läuft ab", „Dringende Überweisung erforderlich".
  • Schritt 3 – Einstieg: Der Link führt auf eine täuschend echte Kopie einer Login-Seite. Das Passwort wird eingegeben und direkt an den Angreifer übermittelt.
  • Schritt 4 – Ausbau: Mit dem kompromittierten Konto werden E-Mails durchsucht, Kontakte für weitere Angriffe genutzt oder direkt Geld transferiert. Bei Ransomware: Verschlüsselung des gesamten Netzlaufwerks.

Das Erschreckende: Zwischen Klick und vollständiger Kompromittierung können wenige Minuten liegen.

Die teuersten Phishing-Varianten für Unternehmen

Nicht jedes Phishing ist gleich gefährlich. Diese Varianten verursachen in KMU regelmäßig die größten Schäden:

  • Business Email Compromise (BEC): Der Angreifer gibt sich als Geschäftsführer oder Lieferant aus und fordert eine dringende Überweisung. Keine Schadsoftware – nur eine E-Mail. Durchschnittlicher Schaden laut FBI: über 120.000 Dollar pro Fall.
  • Credential Phishing: Zugangsdaten für Microsoft 365, VPN oder Banking werden gestohlen. Folge: Datenzugriff, Datenverlust, Kontomissbrauch.
  • Ransomware-Delivery via Phishing: Ein Anhang oder ein Link lädt Schadsoftware herunter, die alle Daten verschlüsselt. Ohne funktionierendes Backup gibt es keinen Weg zurück außer Lösegeld.
  • Spear Phishing: Gezielte Angriffe auf einzelne Personen – oft Buchhaltung oder Geschäftsführung – mit personalisierten Nachrichten, die schwer als Phishing erkennbar sind.

Sofortmaßnahmen mit hoher Wirkung

Die gute Nachricht: Die wirksamsten Schutzmaßnahmen sind weder teuer noch technisch komplex. Als IT-Sicherheitsdienstleister in Offenbach am Main empfehlen wir diesen Basis-Schutz als ersten Schritt.

Multi-Faktor-Authentifizierung (MFA) für alle Konten

MFA ist die Nummer-eins-Maßnahme gegen Credential Phishing. Selbst wenn das Passwort gestohlen wird, kommt der Angreifer ohne den zweiten Faktor nicht weiter. Sofort aktivieren für: Microsoft 365, E-Mail, Banking, Cloud-Dienste und alle Remote-Zugänge.

E-Mail-Schutz in Microsoft 365 aktivieren

Microsoft Defender for Office 365 filtert Phishing-Links und schadhafte Anhänge – ist in Business Premium enthalten, aber nicht automatisch aktiviert. Zusätzlich: Anti-Spoofing-Regeln (SPF, DKIM, DMARC) für die eigene Domain einrichten, damit die eigene Adresse nicht für Phishing missbraucht wird.

Zugriffsrechte beschränken

Least Privilege konsequent umsetzen: Jeder Nutzer bekommt nur die Rechte, die er wirklich braucht. Kein lokaler Administrator auf Standard-Arbeitsplätzen. Das begrenzt den Schaden, wenn ein Konto kompromittiert wird.

Backup – offline und getestet

Ein funktionierendes Backup ist die letzte Verteidigungslinie gegen Ransomware. Entscheidend: Das Backup darf nicht über das Netzwerk erreichbar sein – Ransomware verschlüsselt sonst auch verbundene Sicherungen. Mehr dazu im Artikel Backup & Disaster Recovery.

Mitarbeitende schulen – das unterschätzte Sicherheitsinstrument

Technische Maßnahmen allein reichen nicht. Phishing-Mails, die technische Filter passieren, treffen auf Menschen – und Menschen machen Fehler, wenn sie nicht vorbereitet sind. Was Mitarbeitende wissen müssen:

  • Absenderadresse genau prüfen – nicht nur den Anzeigenamen. „Microsoft Support" kann von jeder beliebigen Domain kommen.
  • Vor dem Klick hovern: Zeigt der Link wirklich auf die erwartete Domain? Ein einfacher Hover über den Link zeigt die echte Zieladresse.
  • Dringende Anfragen hinterfragen: „Sofortige Zahlung", „Passwort läuft heute ab" – das ist ein klassischer Druckmechanismus. Im Zweifel: Absender anrufen, nicht antworten.
  • Verdächtige E-Mails melden – nicht löschen. Nur so kann das Team gewarnt werden.

Kurze Trainings alle 2–3 Monate sind wirksamer als eine große Jahresschulung. Ein Managed IT Service kann regelmäßige Awareness-Updates fest in den Betriebsalltag integrieren.

Was konkret zu tun ist – die nächsten Schritte

Wenn Sie die eigene Phishing-Abwehr auf ein solides Fundament stellen wollen, sind das die konkreten ersten Schritte:

  • MFA in Microsoft 365 und allen Cloud-Diensten sofort aktivieren – das dauert unter 30 Minuten und ist die wirkungsvollste Einzelmaßnahme.
  • Prüfen, ob Microsoft Defender for Office 365 aktiv und konfiguriert ist – viele Schutzfunktionen sind standardmäßig deaktiviert.
  • SPF, DKIM und DMARC für die eigene Domain einrichten – damit Ihre Domain nicht für Phishing gegen Ihre eigenen Kunden missbraucht werden kann.
  • Backup-Status prüfen: Gibt es ein Offline-Backup? Wann wurde zuletzt ein Restore-Test durchgeführt?
  • Internen Meldeprozess definieren: Wo melden Mitarbeitende verdächtige E-Mails? Eine E-Mail-Adresse oder eine kurze Notiz reicht als Anfang.
  • IT-Sicherheitsberatung anfragen: Eine kostenlose Erstberatung zeigt, wo die größten Lücken sind – ohne Vertragsdruck.

IT-Sicherheit gegen Phishing in Offenbach am Main

Axion IT unterstützt kleine und mittlere Unternehmen im Rhein-Main-Gebiet bei der Absicherung gegen Phishing und andere Cyberangriffe – von der IT-Sicherheitsanalyse über die technische Konfiguration bis zur laufenden Überwachung. Auch schnelle Reaktion bei Vorfällen ist Teil des Leistungsangebots.

Wer seine IT insgesamt auf planbare Füße stellen will, findet im Artikel Managed IT Service für KMU: Kosten, Ausfälle und Planbarkeit im Griff einen guten Überblick, wie proaktive IT-Betreuung im Alltag aussieht.

Häufige Fragen zu Phishing im KMU

Wie erkenne ich eine Phishing-E-Mail?

Auf den Anzeigenamen nicht verlassen – die echte Absenderadresse prüfen. Links in E-Mails hovern, bevor man klickt: sieht die Ziel-URL vertrauenswürdig aus? Dringende Aufforderungen zur Passwort-Eingabe oder Zahlung sind ein klares Warnsignal. Im Zweifel: die bekannte Website direkt aufrufen, nicht den Link in der E-Mail nutzen.

Reicht ein Spam-Filter gegen Phishing?

Spam-Filter fangen einen Großteil ab – aber nicht alle Phishing-Mails. Besonders gezielte Angriffe (Spear Phishing) kommen oft durch. MFA und Mitarbeiterschulung sind deshalb genauso wichtig wie technische Filter. Kein einzelnes Tool schützt vollständig.

Was soll ich tun, wenn jemand auf eine Phishing-Mail geklickt hat?

Sofort das betroffene Gerät vom Netzwerk trennen, alle Passwörter der genutzten Konten ändern und den IT-Dienstleister informieren. Nicht abwarten und beobachten – je schneller reagiert wird, desto kleiner bleibt der Schaden. Bei Datenpannen: Meldepflicht an die Datenschutzbehörde innerhalb von 72 Stunden prüfen.

Brauche ich als kleines Unternehmen spezielle Sicherheitssoftware gegen Phishing?

Nicht unbedingt teuer. Microsoft 365 Business Premium enthält Defender for Office 365 – das filtert Phishing-Links und schadhafte Anhänge. Wichtiger als das Tool ist die Konfiguration: viele Sicherheitsfunktionen sind standardmäßig nicht aktiviert und müssen gezielt eingerichtet werden.

Wie oft sollte ich Mitarbeitende zum Thema Phishing schulen?

Kurze Trainings alle 2–3 Monate sind wirksamer als eine große Jahresschulung. 15 Minuten mit einem realen Beispiel aus der Branche reichen oft aus. Wichtig: konkrete Handlungsanweisungen mitgeben, nicht nur Theorie.

Jetzt kostenlos anfragen

Passende Seiten: IT-Sicherheit · Managed IT Service · Backup & Disaster Recovery · Helpdesk & Störungsbeseitigung · Preise

Axion IT – Ihr IT Service Anbieter in Offenbach am Main, Deutschland.
Professioneller IT Service, IT Support und Managed IT Service für Unternehmen im Rhein-Main-Gebiet.