Fernwartung Download starten

Phishing-Wellen 2026: Konkrete Schutzmaßnahmen für KMU

SecurityPhishingE-MailMFA
Phishing-Wellen 2026: Konkrete Schutzmaßnahmen für KMU

Phishing ist seit zwei Jahrzehnten der häufigste initiale Angriffsvektor für Ransomware, BEC-Betrug und Datenabfluss. Was sich geändert hat: die Qualität der Angriffe. Generative KI hat die letzten leichten Erkennungsmerkmale weggewischt — perfekte Grammatik, glaubwürdiger Tonfall, kontextspezifische Anrede. Wer 2026 noch “Achten Sie auf Tippfehler” als zentrale Phishing-Schulungsbotschaft predigt, schult am Problem vorbei.

Dieser Artikel zeigt, was in der KMU-Praxis 2026 wirklich gegen Phishing wirkt — technisch und organisatorisch. Ohne erfundene Statistiken; wo Zahlen vorkommen, sind sie BSI-belegt oder klar als Erfahrung gekennzeichnet.

Was sich 2026 verändert hat

Vier Trends prägen die aktuelle Phishing-Landschaft:

1. KI-generierte Mails ohne Erkennungsmerkmale

ChatGPT, Claude und ähnliche LLMs erzeugen perfekt formulierte deutsche, englische, französische Phishing-Mails — in Sekunden und individuell pro Opfer. Das alte “Tippfehler erkennen”-Training ist damit weitgehend wertlos. Erkennungsmerkmale verschieben sich auf:

  • Absender-Domain (oft Lookalike: microsoft-support.com statt microsoft.com, daterev-online.com statt datev.de)
  • Ungewöhnliche Aufforderungen (Geld überweisen, Passwort eingeben, MFA-Code freigeben)
  • Kontext-Bruch (Anruf von “IT” an einen Mitarbeiter, der nie mit IT zu tun hat)

2. Deepfake-Audio im CEO-Fraud

Stimm-Klonen ist mit wenigen Sekunden Audio-Material aus LinkedIn-Videos oder Podcasts möglich. Die Angriffstaktik: Anruf auf das Smartphone des Buchhalters, die geklonte Stimme der Geschäftsführerin verlangt eine eilige Überweisung. Das BSI hat in seinen Lageberichten entsprechende Fälle dokumentiert.

Schutz: Klare Vier-Augen-Prozesse für Zahlungen über Schwellenwerten, Rückruf-Pflicht über bekannte Telefonnummern (nicht die, von der angerufen wurde), Codewort-Verfahren für eilige Zahlungen.

3. QR-Phishing (Quishing)

E-Mail-Filter scannen Links — aber selten QR-Codes in PDF-Anhängen. Angreifer schicken PDFs mit QR-Codes, die auf Phishing-Seiten verweisen. Mitarbeiter scannen den Code mit dem Smartphone und landen auf einer perfekten Login-Imitation, gefiltert nur vom Browser des Privathandys (das oft schlechter geschützt ist als der Firmen-Mailclient).

Schutz: Schulung mit konkreten Beispielen (“Scan keine QR-Codes aus E-Mails”), MDM für Firmen-Mobilgeräte mit DNS-Filtering, Reporting-Button auch für PDF-Anhänge.

4. MFA-Fatigue-Angriffe

Bei Konten mit Push-Notification-MFA (Microsoft Authenticator, Duo Push) bombardieren Angreifer das Opfer mit Dutzenden Anfragen — bis der Mitarbeiter genervt zustimmt. Berühmtes Beispiel: der Uber-Vorfall 2022. Funktioniert auch 2026 noch, weil viele Unternehmen Push-Approve statt Number-Matching oder FIDO2 einsetzen.

Schutz: Number-Matching aktivieren (Mitarbeiter muss eine Zahl aus dem Login-Screen in der App eingeben), besser noch FIDO2-Hardware-Keys.

Der Schutz-Stack für KMU 2026

Phishing-Schutz ist eine Layer-Defense — kein einzelnes Werkzeug verhindert alles. Empfohlene Schichten in der Reihenfolge des Wirkungsgrads:

Layer 1: E-Mail-Authentifizierung — SPF, DKIM, DMARC

Diese drei Standards verhindern, dass Angreifer überhaupt unter Ihrer Domain spoofen können. Details haben wir im Artikel E-Mail-Sicherheit mit SPF, DKIM, DMARC ausgeführt. Kurzfassung:

  • SPF: DNS-TXT-Record listet erlaubte Absender-Server Ihrer Domain
  • DKIM: Server signiert ausgehende Mails mit privatem Schlüssel, Empfänger prüft mit DNS-publiziertem Public Key
  • DMARC: Sagt Empfänger-Servern, was passieren soll, wenn SPF und DKIM fehlschlagen (quarantine oder reject)

Wichtig: DMARC sollte nach einer Reporting-Phase auf p=reject stehen — p=none bringt nichts gegen Spoofing. Eine kürzliche BSI-Mitteilung drängt Unternehmen aktiv zu DMARC-reject.

Layer 2: MTA-STS

MTA-STS (Mail Transfer Agent Strict Transport Security) erzwingt TLS-Verschlüsselung zwischen Mail-Servern. Verhindert MitM-Angriffe auf den SMTP-Transport. DNS-Record + HTTPS-Policy-File. Aufwand: gering. Wirkung: Verschlüsselung wird Pflicht, nicht Option.

Layer 3: Phishing-resistant MFA

Die einzige MFA-Form, die echte Phishing-Resistenz bietet:

MFA-TypPhishing-ResistenzBewertung 2026
SMS-OTPNiedrigVermeiden — anfällig für SIM-Swap, Realtime-Phishing
TOTP-Apps (Google Authenticator, Authy)MittelAkzeptabel als Mindeststandard — Realtime-Phishing kann TOTP-Codes abgreifen
Push-Notification ohne Number-MatchingNiedrig–mittelMFA-Fatigue-anfällig
Push-Notification mit Number-MatchingMittel–hochDeutlich besser, aber kein Phishing-Resistant nach FIDO-Definition
FIDO2 / WebAuthn / PasskeysHochEchter Phishing-Schutz — origin-bound, kein Code übertragbar

Konkrete Empfehlung: FIDO2-Hardware-Keys (YubiKey 5, Token2, Nitrokey) oder Passkeys (siehe Passkeys-Artikel) für alle privilegierten Konten (Admin, Geschäftsführung, Finanzwesen) — Pflicht. Für reguläre Konten mindestens TOTP, besser FIDO2.

Layer 4: Sichere Mail-Gateway-Filter

Ein vorgeschalteter Mail-Filter (Mailcow + Rspamd, Microsoft Defender für Office 365, externe Dienste wie Proofpoint, Hornet, etc.) sortiert offensichtliche Phishing-Mails vor der Zustellung aus. Wichtige Funktionen:

  • URL-Rewriting mit Sandbox-Prüfung beim Klick
  • Anhangs-Sandbox (verdächtige Office-Files in isolierter Umgebung öffnen)
  • Reputation-Filter (RBL-Listen, Sender-Score)
  • Anti-Spoofing (DMARC-Auswertung, ARC)

Für die Self-Hosted-Variante siehe Mailcow für Mittelständler.

Layer 5: Browser- und DNS-Schutz

  • DNS-Filter (AdGuard Home Enterprise, Pi-hole, Cloudflare Gateway, NextDNS) blocken bekannte Phishing-Domains schon im DNS
  • Browser-Erweiterungen wie uBlock Origin oder ein Enterprise-Web-Filter blocken im Browser
  • EDR/XDR-Lösungen erkennen Phishing-Folgeschäden (Credential-Theft, Suspicious-Process-Chain)

Layer 6: Mitarbeiter-Schulung — anders, als sie meist gemacht wird

Klassische Phishing-Schulung ist oft kontraproduktiv: Schock-Mails an alle, “Sie wären auf einen Phishing-Versuch reingefallen”, Scham als Lernverstärker. Funktioniert nicht.

Was nachweislich wirkt (gemäß BSI- und ENISA-Empfehlungen):

  1. Konkrete echte Beispiele zeigen, statt synthetischer Phishing-Tests
  2. Reporting-Button im Mail-Client — Mitarbeiter ein-Klick-melden lassen, IT prüft und meldet zurück
  3. Positive Verstärkung — wer Phishing meldet, wird gelobt. Niemand wird bloßgestellt, wenn er hereinfällt
  4. Kurze, regelmäßige Mikro-Schulungen (5-Minuten-Updates monatlich) statt jährlicher 90-Minuten-Block
  5. Awareness für die neuen Vektoren — Deepfake-Audio, QR-Phishing, MFA-Fatigue
  6. Klare Prozesse für Verdachtsfälle — Was tue ich, wenn ich glaube, geklickt zu haben? IT anrufen, nicht verstecken.

Layer 7: Incident-Response-Vorbereitung

Trotz allem wird irgendwann jemand klicken. Vorbereitung:

  • Forensik-Vorlauf: Wer hat administrativen Zugriff, wer kann ein Konto sofort sperren?
  • Passwort-Reset-Prozess in < 15 Minuten
  • MFA-Reset-Prozess mit zweiter Person zur Identitätsprüfung
  • Mailbox-Audit: wurde von dem Konto bereits Phishing weiterversendet?
  • Bank-Kommunikation für Fast-Fraud-Anrufe vorbereitet
  • Meldepflichten (NIS2, DSGVO bei personenbezogenen Daten) eingeübt

Siehe auch Disaster-Recovery für KMU.

Was BSI und ENISA aktuell empfehlen

Die offiziellen Empfehlungen 2026:

  • BSI: Lagebericht zur IT-Sicherheit in Deutschland — Phishing bleibt Top-Angriffsvektor; DMARC und FIDO2 als zentrale Maßnahmen genannt
  • ENISA: Threat Landscape Report — Social Engineering als persistenter Trend; AI-augmented Phishing besonders hervorgehoben
  • Allianz für Cybersicherheit: kostenlose Materialien für Mitarbeiterschulung

Wir verzichten bewusst auf erfundene Statistiken (“X % aller Mails sind Phishing”) — die echten Zahlen schwanken stark je nach Branche und Erhebungsmethode. Die qualitativen Aussagen oben sind aus BSI- und ENISA-Berichten ableitbar und konsistent mit unserer DATAZONE-Praxiserfahrung.

Praxis-Checkliste — Was sollten KMU bis Ende 2026 erledigen?

In dieser Reihenfolge:

  • SPF, DKIM, DMARC eingerichtet — DMARC auf p=reject
  • MTA-STS-Policy publiziert
  • FIDO2 für alle Admin-Konten Pflicht
  • TOTP / FIDO2 für alle regulären Konten Pflicht
  • Push-MFA mit Number-Matching oder durch FIDO2 ersetzt
  • Reporting-Button im Mail-Client für alle Mitarbeiter
  • DNS-Filter (intern oder Cloud-basiert)
  • Mail-Gateway mit URL-Rewriting und Anhangs-Sandbox
  • Vier-Augen-Prinzip für Zahlungen über Schwellenwert
  • Codewort-Verfahren für CEO-Fraud-Resistenz
  • Mikro-Schulungen monatlich mit echten Beispielen
  • Incident-Response-Prozess geübt — Tabletop-Übung mindestens jährlich
  • Backup-Strategie mit Air-Gap (3-2-1-Regel)

DATAZONE-Empfehlung

Phishing-Schutz ist keine Einkaufsentscheidung — es ist ein Prozess aus Technik, Schulung und Disziplin. Kein Produkt schützt allein. Aber das Zusammenspiel aus E-Mail-Authentifizierung, FIDO2-MFA, Schulung mit Reporting-Button und vorbereiteter Incident-Response macht Ihren Mittelständler zum unattraktiven Ziel — und das ist in der Praxis das beste Schutz-Ergebnis, das es gibt.

Wir bei DATAZONE unterstützen bei der Einführung — von der DMARC-DNS-Konfiguration über die FIDO2-Rollout-Planung bis zur Auswahl eines passenden Mail-Gateways. Mehr unter unserer IT-Sicherheits-Beratung für KMU.

Quellen und weiterführende Artikel

IT-Beratung gewünscht?

Kontaktieren Sie uns für eine unverbindliche Beratung zu Proxmox, OPNsense, TrueNAS und mehr.

Jetzt Kontakt aufnehmen