produkt-und-technologie

Phishing und Social Engineering erkennen -- So schützt du dein Startup vor Betrug

Felix Lenhard 12 min
Zurück zum Blog

Phishing und Social Engineering erkennen -- So schützt du dein Startup vor Betrug

Du bekommst eine E-Mail von deiner "Bank". Der Betreff: "Dringend: Ihr Konto wurde gesperrt." Du sollst auf einen Link klicken und deine Zugangsdaten eingeben. Alles sieht echt aus -- das Logo, die Absenderadresse, sogar die Sprache ist fehlerfrei. Aber es ist eine Fälschung. Und wenn du klickst, hat der Angreifer deine Bankdaten.

Willkommen in der Welt des Phishing und Social Engineering. Nach den technischen Themen HTTPS und SSL sowie Backup-Strategien geht es heute um die grösste Schwachstelle in jedem Sicherheitssystem: den Menschen.

Was ist Social Engineering?

Social Engineering ist die Kunst der Manipulation. Angreifer nutzen psychologische Tricks, um Menschen dazu zu bringen, Informationen preiszugeben, Geld zu überweisen oder Zugang zu gewähren. Es ist kein technischer Hack -- es ist ein menschlicher.

Die psychologischen Hebel

Social Engineers nutzen grundlegende menschliche Eigenschaften aus:

  • Autorität: "Ich bin der CEO, überweise sofort 10.000 EUR an diesen Lieferanten"
  • Dringlichkeit: "Dein Konto wird in 24 Stunden gesperrt, handle jetzt"
  • Angst: "Wir haben illegale Aktivitäten auf deinem Konto festgestellt"
  • Hilfsbereitschaft: "Ich bin der neue IT-Mitarbeiter und brauche dein Passwort für die Einrichtung"
  • Neugier: "Schau dir dieses Foto von der Weihnachtsfeier an" (mit schädlichem Link)
  • Gier: "Du hast 50.000 EUR gewonnen, klicke hier zur Auszahlung"

Die häufigsten Phishing-Methoden

1. E-Mail-Phishing

Die klassische Variante und immer noch die häufigste. Massenhaft versendete E-Mails, die aussehen wie von bekannten Unternehmen:

Typische Merkmale:

  • Absender sieht echt aus, ist aber gefälscht (z.B. service@sparkasse-at.com statt @sparkasse.at)
  • Dringende Handlungsaufforderung
  • Link führt zu einer gefälschten Webseite
  • Anhänge mit Malware (oft als Rechnung oder Lieferschein getarnt)

2. Spear Phishing

Gezielte Angriffe auf bestimmte Personen. Der Angreifer recherchiert vorher:

Beispiel für ein Startup im Burgenland:

"Hallo Felix, ich bin von der Wirtschaftskammer Burgenland. Wir haben dein Startup für das Förderprogramm 'Digitalisierung Burgenland 2029' ausgewählt. Bitte füll das angehängte Formular aus und sende es zurück."

Der Angreifer weiss deinen Namen, dein Startup, und nutzt eine reale Förderung als Köder. Gefährlich, weil überzeugend.

3. Whaling

Spear Phishing, das sich gezielt an Führungskräfte richtet -- die "grossen Fische". Als Startup-Gründer bist du ein bevorzugtes Ziel.

4. Vishing (Voice Phishing)

Phishing per Telefon. Der Anrufer gibt sich als Bank, Behörde oder IT-Support aus:

"Guten Tag, hier ist der technische Support von Microsoft. Wir haben festgestellt, dass Ihr Computer von einem Virus befallen ist..."

In Österreich besonders verbreitet: Anrufe angeblich vom Finanzamt oder von der Polizei.

5. Smishing (SMS Phishing)

Phishing per SMS oder WhatsApp:

"Ihr Paket konnte nicht zugestellt werden. Klicken Sie hier für einen neuen Zustelltermin: [schädlicher Link]"

Besonders perfide, weil SMS oft mehr Vertrauen geniessen als E-Mails.

6. Business Email Compromise (BEC)

Die teuerste Form des Phishing. Der Angreifer gibt sich als Geschäftspartner, Lieferant oder Vorgesetzter aus:

CEO Fraud:

"Hallo [Buchhalter-Name], ich bin gerade in einem Meeting und brauche dringend eine Überweisung von 25.000 EUR an unseren neuen Lieferanten. Hier die Bankdaten. Bitte erledige das sofort und vertraulich."

In Österreich wurden durch CEO Fraud schon Millionenbeträge gestohlen -- auch bei mittelgrossen Unternehmen.

So erkennst du Phishing -- Die Warnsignale

Bei E-Mails

  1. Absenderadresse prüfen: Nicht nur den angezeigten Namen, sondern die tatsächliche E-Mail-Adresse. Hover über den Absender.
  2. Links prüfen: Hover über Links, BEVOR du klickst. Die angezeigte URL stimmt nicht mit dem Linkziel überein?
  3. Dringlichkeit hinterfragen: "Sofort handeln", "letzte Warnung", "Konto wird gesperrt" -- echte Unternehmen kommunizieren selten so.
  4. Anrede beachten: "Sehr geehrter Kunde" statt deines Namens? Verdächtig.
  5. Rechtschreibung und Grammatik: Zwar werden Phishing-Mails immer besser (dank KI), aber Fehler sind immer noch ein Warnsignal.
  6. Unerwartete Anhänge: Rechnungen, die du nicht erwartest? Nicht öffnen!
  7. Emotionale Manipulation: Angst, Gier, Dringlichkeit -- wenn eine Mail starke Emotionen auslöst, sei besonders vorsichtig.

Bei Anrufen

  • Lass dir den Namen und die Abteilung des Anrufers geben
  • Ruf die offizielle Nummer der Organisation zurück (nicht die Nummer, die der Anrufer nennt)
  • Gib niemals Passwörter oder Codes am Telefon weiter
  • Echte IT-Abteilungen fragen nie nach deinem Passwort

Bei Webseiten

  • Prüfe die URL in der Adressleiste genau (sparkasse.at vs. sparkasse-at.com)
  • Achte auf das Schloss-Symbol (HTTPS) -- aber Vorsicht: auch Phishing-Seiten haben mittlerweile HTTPS (mehr dazu in unserem HTTPS-Beitrag)
  • Prüfe das Impressum
  • Wenn etwas "too good to be true" ist, ist es das meistens auch

Echte Phishing-Beispiele aus Österreich

Beispiel 1: Gefälschte Post-Benachrichtigung

Betreff: Ihr Paket wartet auf Zustellung "Lieber Kunde, Ihre Sendung AT2834729374 konnte nicht zugestellt werden. Bitte bezahlen Sie die Nachgebühr von 2,99 EUR hier: [Link]"

Die österreichische Post verlangt keine Online-Nachgebühren per E-Mail.

Beispiel 2: Gefälschte FinanzOnline-Mail

Betreff: Steuerrückerstattung verfügbar "Sehr geehrte/r Steuerzahler/in, Ihnen steht eine Rückerstattung von 847,32 EUR zu. Klicken Sie hier um Ihre Bankdaten zu bestätigen."

Das Finanzamt sendet keine Rückerstattungen per E-Mail-Link.

Beispiel 3: Fake-Förderung der WKO

Betreff: KMU Digital Förderung 2029 -- Ihr Antrag wurde genehmigt "Guten Tag, Ihr Unternehmen wurde für eine Förderung von 5.000 EUR vorausgewählt. Bitte laden Sie das Antragsformular herunter."

Förderstellen kontaktieren dich nicht unaufgefordert mit Genehmigungen.

Phishing-Simulation für dein Team

Eine der effektivsten Massnahmen ist eine kontrollierte Phishing-Simulation:

So führst du eine Phishing-Simulation durch

  1. Informiere die Führungsebene (nicht das gesamte Team)
  2. Erstelle realistische Phishing-Mails (z.B. gefälschte Kalendereinladung, IT-Update-Mail)
  3. Versende die Mails an dein Team
  4. Tracke die Ergebnisse: Wer klickt? Wer gibt Daten ein? Wer meldet den Verdacht?
  5. Schulung statt Bestrafung: Nutze die Ergebnisse für gezielte Schulungen

Tools für Phishing-Simulationen

  • GoPhish: Open Source, kostenlos, self-hosted
  • KnowBe4: Marktführer, umfangreiche Plattform (ab ca. 15 EUR/Nutzer/Jahr)
  • Hoxhunt: Gamification-Ansatz für Awareness
  • Lucy Security: Schweizer Anbieter, DSGVO-konform

Erwartbare Ergebnisse

Bei der ersten Simulation klicken typischerweise 20-40% der Mitarbeiter auf Phishing-Links. Nach regelmässigen Simulationen und Schulungen sinkt die Quote auf unter 5%.

Security Awareness Training aufbauen

Inhalte für dein Training

  1. Was ist Phishing? -- Grundlagen und Beispiele
  2. Erkennung -- Die Warnsignale im Detail
  3. Richtiges Verhalten -- Was tun bei Verdacht?
  4. Meldeprozess -- An wen und wie melden?
  5. Aktuelle Bedrohungen -- Was ist gerade im Umlauf?

Trainings-Formate

  • Interaktive Workshops (vierteljährlich, 60-90 Minuten)
  • Kurze Video-Lektionen (monatlich, 5-10 Minuten)
  • Phishing-Simulationen (monatlich)
  • Newsletter mit aktuellen Beispielen (zweiwöchtlich)
  • Quick-Reference-Karte am Arbeitsplatz

Den Meldeprozess etablieren

Mach es deinem Team einfach, verdächtige Mails zu melden:

  • E-Mail-Button: Viele E-Mail-Clients unterstützen einen "Phishing melden"-Button
  • Dedicated E-Mail: z.B. security@dein-startup.at
  • Chat-Kanal: Ein #security-alerts Kanal in Slack oder Teams
  • Keine Schuldzuweisungen: Wer meldet, ist ein Held -- auch wenn es falscher Alarm war

Technische Schutzmassnahmen gegen Phishing

Awareness allein reicht nicht. Hier sind die technischen Massnahmen:

E-Mail-Sicherheit

SPF, DKIM und DMARC konfigurieren:

Diese drei Standards schützen deine Domain davor, für Phishing missbraucht zu werden:

  • SPF (Sender Policy Framework): Definiert, welche Server E-Mails für deine Domain senden dürfen
  • DKIM (DomainKeys Identified Mail): Digitale Signatur für deine E-Mails
  • DMARC (Domain-based Message Authentication): Sagt Empfängern, was sie mit nicht-authentifizierten Mails tun sollen
# DNS-Eintraege (Beispiel)
# SPF
v=spf1 include:_spf.google.com ~all

# DMARC
v=DMARC1; p=quarantine; rua=mailto:dmarc@dein-startup.at

E-Mail-Filterung:

  • Aktiviere die Spam-Filterung deines E-Mail-Providers
  • Google Workspace und Microsoft 365 haben gute eingebaute Filter
  • Zusätzlich: Proofpoint, Mimecast oder Barracuda für erweiterten Schutz

Browser-Schutz

  • Google Safe Browsing: Warnt vor bekannten Phishing-Seiten
  • Browser-Extensions: uBlock Origin, HTTPS Everywhere
  • DNS-Filterung: Dienste wie Cloudflare Gateway oder NextDNS blockieren bekannte schädliche Domains

Multi-Faktor-Authentifizierung

Selbst wenn ein Passwort durch Phishing gestohlen wird, schützt 2FA vor dem Login. Hardware-Keys wie YubiKey sind sogar phishing-resistent, weil sie die Domain prüfen.

Spezielle Bedrohungen für Startups

Der "Neue Mitarbeiter"-Trick

Der Angreifer gibt sich als neuer Mitarbeiter aus und bittet um Hilfe:

"Hi, ich bin der neue Entwickler und starte am Montag. Könntest du mir schon mal die Zugangsdaten für den Server schicken?"

Gegenmassnahme: Zugangsdaten immer nur über offizielle Kanäle und nach Verifizierung.

Der "Investor"-Trick

Besonders für Startups im Fundraising relevant:

"Ich bin Investorin bei [bekannter VC-Firma]. Euer Produkt hat uns beeindruckt. Bitte sendet uns euer Pitch-Deck und Finanzdaten an diese E-Mail."

Gegenmassnahme: Verifiziere Kontakte über LinkedIn, die offizielle Firmenwebseite oder einen Rückruf.

Der "Rechnungs"-Trick

"Anbei die Rechnung für die letzte Lieferung. Bitte überweisen Sie den Betrag bis Freitag."

Der Anhang enthält Malware oder die Bankdaten in der Rechnung sind manipuliert.

Gegenmassnahme: Rechnungen immer mit bekannten Kontaktdaten des Lieferanten abgleichen.

KI-generiertes Phishing -- Die neue Bedrohung

Künstliche Intelligenz macht Phishing gefährlicher als je zuvor:

  • Perfekte Grammatik: Keine Rechtschreibfehler mehr, die früher ein Warnsignal waren
  • Personalisierung: KI kann öffentlich verfügbare Informationen über dich nutzen
  • Deepfakes: Gefälschte Stimmen und Videos für Vishing
  • Automatisierung: Massenhaft personalisierte Phishing-Mails

Wie du dich gegen KI-Phishing schützt

  • Verlasse dich nicht auf Rechtschreibfehler als Erkennungsmerkmal
  • Verifiziere ungewöhnliche Anfragen immer über einen zweiten Kanal
  • Achte auf den Kontext: Passt die Anfrage zur normalen Kommunikation?
  • Nutze technische Schutzmassnahmen (SPF, DKIM, DMARC, 2FA)

Notfallplan: Was tun, wenn jemand auf Phishing hereinfällt?

Es passiert. Auch mit der besten Schulung. Wichtig ist die schnelle Reaktion:

Sofortmassnahmen

  1. Passwort sofort ändern -- für den betroffenen Dienst und alle Dienste mit dem gleichen Passwort
  2. 2FA aktivieren (falls noch nicht geschehen)
  3. Alle Sessions beenden im betroffenen Dienst
  4. IT-Verantwortlichen informieren
  5. Schädliche E-Mail melden (an den E-Mail-Provider und intern)

Wenn Malware installiert wurde

  1. Gerät sofort vom Netzwerk trennen (WLAN aus, Kabel raus)
  2. Nicht herunterfahren (forensische Daten könnten verloren gehen)
  3. Professionelle Hilfe holen
  4. Andere Geräte im Netzwerk überprüfen

Wenn Geld überwiesen wurde

  1. Sofort die Bank kontaktieren -- bei schneller Reaktion kann die Überweisung gestoppt werden
  2. Anzeige bei der Polizei erstatten
  3. Alle beteiligten Zahlungsdienstleister informieren

Einen umfassenden Notfallplan erstellst du mit Hilfe unseres Beitrags Incident Response Plan erstellen.

Checkliste: Phishing und Social Engineering

  • Team-Schulung zu Phishing und Social Engineering durchführen
  • Meldeprozess für verdächtige E-Mails etablieren
  • SPF, DKIM und DMARC für eure Domain konfigurieren
  • E-Mail-Filterung aktivieren und optimieren
  • Erste Phishing-Simulation durchführen
  • 2FA für alle Konten aktivieren (besonders E-Mail)
  • Notfallplan für Phishing-Vorfälle erstellen
  • Regelmässige Awareness-Updates planen
  • Browser-Schutz und DNS-Filterung einrichten
  • Verifizierungsprozesse für Überweisungen definieren

Fazit

Phishing und Social Engineering sind die häufigsten Angriffsvektoren -- und die gefährlichsten, weil sie den Menschen statt die Technik angreifen. Kein noch so gutes Passwort und keine Firewall schützen dich, wenn du freiwillig deine Zugangsdaten auf einer gefälschten Webseite eingibst.

Die gute Nachricht: Mit Awareness, regelmässigen Simulationen und den richtigen technischen Massnahmen kannst du das Risiko drastisch senken. Investiere in die Schulung deines Teams -- es ist die beste Security-Investition, die du machen kannst.

Im nächsten Beitrag unserer Serie geht es um ein Thema für technischere Gründer: Sichere Software-Entwicklung -- Security by Design.

Dieser Beitrag ist Teil der Serie "Cybersecurity für Startups" auf dem Startup Burgenland Blog. Du baust gerade dein Startup auf und brauchst Unterstützung? Startup Burgenland bietet dir Beratung, Förderungen und ein starkes Netzwerk -- von der Idee bis zum Markteintritt. Melde dich bei uns und werde Teil der wachsenden Startup-Community im Burgenland!

Dies ist Beitrag 5 von 10 der Serie "Cybersecurity für Startups" in der Kategorie Produkt und Technologie.

Über den Autor: Felix Lenhard ist Program Director und Startup Coach bei Startup Burgenland. Zuvor Managing Director beim 360 Innovation Lab, Innovation Manager bei RHI Magnesita und Serial Entrepreneur mit internationalen Exits. Über 15 Jahre Erfahrung in Innovation und Unternehmensaufbau.

Tags: phishing social-engineering awareness cybersecurity startup e-mail-sicherheit
Veröffentlicht am
Alle Beiträge

Erstgespräch vereinbaren

Du überlegst zu gründen oder bist schon mittendrin? Schreib uns ein formloses E-Mail -- wir melden uns innerhalb weniger Tage.

E-Mail schreiben