Phishing ist seit zwei Jahrzehnten der häufigste initiale Angriffsvektor für Ransomware, BEC-Betrug und Datenabfluss. Was sich geändert hat: die Qualität der Angriffe. Generative KI hat die letzten leichten Erkennungsmerkmale weggewischt — perfekte Grammatik, glaubwürdiger Tonfall, kontextspezifische Anrede. Wer 2026 noch “Achten Sie auf Tippfehler” als zentrale Phishing-Schulungsbotschaft predigt, schult am Problem vorbei.
Dieser Artikel zeigt, was in der KMU-Praxis 2026 wirklich gegen Phishing wirkt — technisch und organisatorisch. Ohne erfundene Statistiken; wo Zahlen vorkommen, sind sie BSI-belegt oder klar als Erfahrung gekennzeichnet.
Was sich 2026 verändert hat
Vier Trends prägen die aktuelle Phishing-Landschaft:
1. KI-generierte Mails ohne Erkennungsmerkmale
ChatGPT, Claude und ähnliche LLMs erzeugen perfekt formulierte deutsche, englische, französische Phishing-Mails — in Sekunden und individuell pro Opfer. Das alte “Tippfehler erkennen”-Training ist damit weitgehend wertlos. Erkennungsmerkmale verschieben sich auf:
- Absender-Domain (oft Lookalike:
microsoft-support.comstattmicrosoft.com,daterev-online.comstattdatev.de) - Ungewöhnliche Aufforderungen (Geld überweisen, Passwort eingeben, MFA-Code freigeben)
- Kontext-Bruch (Anruf von “IT” an einen Mitarbeiter, der nie mit IT zu tun hat)
2. Deepfake-Audio im CEO-Fraud
Stimm-Klonen ist mit wenigen Sekunden Audio-Material aus LinkedIn-Videos oder Podcasts möglich. Die Angriffstaktik: Anruf auf das Smartphone des Buchhalters, die geklonte Stimme der Geschäftsführerin verlangt eine eilige Überweisung. Das BSI hat in seinen Lageberichten entsprechende Fälle dokumentiert.
Schutz: Klare Vier-Augen-Prozesse für Zahlungen über Schwellenwerten, Rückruf-Pflicht über bekannte Telefonnummern (nicht die, von der angerufen wurde), Codewort-Verfahren für eilige Zahlungen.
3. QR-Phishing (Quishing)
E-Mail-Filter scannen Links — aber selten QR-Codes in PDF-Anhängen. Angreifer schicken PDFs mit QR-Codes, die auf Phishing-Seiten verweisen. Mitarbeiter scannen den Code mit dem Smartphone und landen auf einer perfekten Login-Imitation, gefiltert nur vom Browser des Privathandys (das oft schlechter geschützt ist als der Firmen-Mailclient).
Schutz: Schulung mit konkreten Beispielen (“Scan keine QR-Codes aus E-Mails”), MDM für Firmen-Mobilgeräte mit DNS-Filtering, Reporting-Button auch für PDF-Anhänge.
4. MFA-Fatigue-Angriffe
Bei Konten mit Push-Notification-MFA (Microsoft Authenticator, Duo Push) bombardieren Angreifer das Opfer mit Dutzenden Anfragen — bis der Mitarbeiter genervt zustimmt. Berühmtes Beispiel: der Uber-Vorfall 2022. Funktioniert auch 2026 noch, weil viele Unternehmen Push-Approve statt Number-Matching oder FIDO2 einsetzen.
Schutz: Number-Matching aktivieren (Mitarbeiter muss eine Zahl aus dem Login-Screen in der App eingeben), besser noch FIDO2-Hardware-Keys.
Der Schutz-Stack für KMU 2026
Phishing-Schutz ist eine Layer-Defense — kein einzelnes Werkzeug verhindert alles. Empfohlene Schichten in der Reihenfolge des Wirkungsgrads:
Layer 1: E-Mail-Authentifizierung — SPF, DKIM, DMARC
Diese drei Standards verhindern, dass Angreifer überhaupt unter Ihrer Domain spoofen können. Details haben wir im Artikel E-Mail-Sicherheit mit SPF, DKIM, DMARC ausgeführt. Kurzfassung:
- SPF: DNS-TXT-Record listet erlaubte Absender-Server Ihrer Domain
- DKIM: Server signiert ausgehende Mails mit privatem Schlüssel, Empfänger prüft mit DNS-publiziertem Public Key
- DMARC: Sagt Empfänger-Servern, was passieren soll, wenn SPF und DKIM fehlschlagen (
quarantineoderreject)
Wichtig: DMARC sollte nach einer Reporting-Phase auf p=reject stehen — p=none bringt nichts gegen Spoofing. Eine kürzliche BSI-Mitteilung drängt Unternehmen aktiv zu DMARC-reject.
Layer 2: MTA-STS
MTA-STS (Mail Transfer Agent Strict Transport Security) erzwingt TLS-Verschlüsselung zwischen Mail-Servern. Verhindert MitM-Angriffe auf den SMTP-Transport. DNS-Record + HTTPS-Policy-File. Aufwand: gering. Wirkung: Verschlüsselung wird Pflicht, nicht Option.
Layer 3: Phishing-resistant MFA
Die einzige MFA-Form, die echte Phishing-Resistenz bietet:
| MFA-Typ | Phishing-Resistenz | Bewertung 2026 |
|---|---|---|
| SMS-OTP | Niedrig | Vermeiden — anfällig für SIM-Swap, Realtime-Phishing |
| TOTP-Apps (Google Authenticator, Authy) | Mittel | Akzeptabel als Mindeststandard — Realtime-Phishing kann TOTP-Codes abgreifen |
| Push-Notification ohne Number-Matching | Niedrig–mittel | MFA-Fatigue-anfällig |
| Push-Notification mit Number-Matching | Mittel–hoch | Deutlich besser, aber kein Phishing-Resistant nach FIDO-Definition |
| FIDO2 / WebAuthn / Passkeys | Hoch | Echter Phishing-Schutz — origin-bound, kein Code übertragbar |
Konkrete Empfehlung: FIDO2-Hardware-Keys (YubiKey 5, Token2, Nitrokey) oder Passkeys (siehe Passkeys-Artikel) für alle privilegierten Konten (Admin, Geschäftsführung, Finanzwesen) — Pflicht. Für reguläre Konten mindestens TOTP, besser FIDO2.
Layer 4: Sichere Mail-Gateway-Filter
Ein vorgeschalteter Mail-Filter (Mailcow + Rspamd, Microsoft Defender für Office 365, externe Dienste wie Proofpoint, Hornet, etc.) sortiert offensichtliche Phishing-Mails vor der Zustellung aus. Wichtige Funktionen:
- URL-Rewriting mit Sandbox-Prüfung beim Klick
- Anhangs-Sandbox (verdächtige Office-Files in isolierter Umgebung öffnen)
- Reputation-Filter (RBL-Listen, Sender-Score)
- Anti-Spoofing (DMARC-Auswertung, ARC)
Für die Self-Hosted-Variante siehe Mailcow für Mittelständler.
Layer 5: Browser- und DNS-Schutz
- DNS-Filter (AdGuard Home Enterprise, Pi-hole, Cloudflare Gateway, NextDNS) blocken bekannte Phishing-Domains schon im DNS
- Browser-Erweiterungen wie uBlock Origin oder ein Enterprise-Web-Filter blocken im Browser
- EDR/XDR-Lösungen erkennen Phishing-Folgeschäden (Credential-Theft, Suspicious-Process-Chain)
Layer 6: Mitarbeiter-Schulung — anders, als sie meist gemacht wird
Klassische Phishing-Schulung ist oft kontraproduktiv: Schock-Mails an alle, “Sie wären auf einen Phishing-Versuch reingefallen”, Scham als Lernverstärker. Funktioniert nicht.
Was nachweislich wirkt (gemäß BSI- und ENISA-Empfehlungen):
- Konkrete echte Beispiele zeigen, statt synthetischer Phishing-Tests
- Reporting-Button im Mail-Client — Mitarbeiter ein-Klick-melden lassen, IT prüft und meldet zurück
- Positive Verstärkung — wer Phishing meldet, wird gelobt. Niemand wird bloßgestellt, wenn er hereinfällt
- Kurze, regelmäßige Mikro-Schulungen (5-Minuten-Updates monatlich) statt jährlicher 90-Minuten-Block
- Awareness für die neuen Vektoren — Deepfake-Audio, QR-Phishing, MFA-Fatigue
- Klare Prozesse für Verdachtsfälle — Was tue ich, wenn ich glaube, geklickt zu haben? IT anrufen, nicht verstecken.
Layer 7: Incident-Response-Vorbereitung
Trotz allem wird irgendwann jemand klicken. Vorbereitung:
- Forensik-Vorlauf: Wer hat administrativen Zugriff, wer kann ein Konto sofort sperren?
- Passwort-Reset-Prozess in < 15 Minuten
- MFA-Reset-Prozess mit zweiter Person zur Identitätsprüfung
- Mailbox-Audit: wurde von dem Konto bereits Phishing weiterversendet?
- Bank-Kommunikation für Fast-Fraud-Anrufe vorbereitet
- Meldepflichten (NIS2, DSGVO bei personenbezogenen Daten) eingeübt
Siehe auch Disaster-Recovery für KMU.
Was BSI und ENISA aktuell empfehlen
Die offiziellen Empfehlungen 2026:
- BSI: Lagebericht zur IT-Sicherheit in Deutschland — Phishing bleibt Top-Angriffsvektor; DMARC und FIDO2 als zentrale Maßnahmen genannt
- ENISA: Threat Landscape Report — Social Engineering als persistenter Trend; AI-augmented Phishing besonders hervorgehoben
- Allianz für Cybersicherheit: kostenlose Materialien für Mitarbeiterschulung
Wir verzichten bewusst auf erfundene Statistiken (“X % aller Mails sind Phishing”) — die echten Zahlen schwanken stark je nach Branche und Erhebungsmethode. Die qualitativen Aussagen oben sind aus BSI- und ENISA-Berichten ableitbar und konsistent mit unserer DATAZONE-Praxiserfahrung.
Praxis-Checkliste — Was sollten KMU bis Ende 2026 erledigen?
In dieser Reihenfolge:
- SPF, DKIM, DMARC eingerichtet — DMARC auf
p=reject - MTA-STS-Policy publiziert
- FIDO2 für alle Admin-Konten Pflicht
- TOTP / FIDO2 für alle regulären Konten Pflicht
- Push-MFA mit Number-Matching oder durch FIDO2 ersetzt
- Reporting-Button im Mail-Client für alle Mitarbeiter
- DNS-Filter (intern oder Cloud-basiert)
- Mail-Gateway mit URL-Rewriting und Anhangs-Sandbox
- Vier-Augen-Prinzip für Zahlungen über Schwellenwert
- Codewort-Verfahren für CEO-Fraud-Resistenz
- Mikro-Schulungen monatlich mit echten Beispielen
- Incident-Response-Prozess geübt — Tabletop-Übung mindestens jährlich
- Backup-Strategie mit Air-Gap (3-2-1-Regel)
DATAZONE-Empfehlung
Phishing-Schutz ist keine Einkaufsentscheidung — es ist ein Prozess aus Technik, Schulung und Disziplin. Kein Produkt schützt allein. Aber das Zusammenspiel aus E-Mail-Authentifizierung, FIDO2-MFA, Schulung mit Reporting-Button und vorbereiteter Incident-Response macht Ihren Mittelständler zum unattraktiven Ziel — und das ist in der Praxis das beste Schutz-Ergebnis, das es gibt.
Wir bei DATAZONE unterstützen bei der Einführung — von der DMARC-DNS-Konfiguration über die FIDO2-Rollout-Planung bis zur Auswahl eines passenden Mail-Gateways. Mehr unter unserer IT-Sicherheits-Beratung für KMU.
Quellen und weiterführende Artikel
Weitere Artikel
Linux-Server-Härtung: 15-Minuten-Checkliste
Zehn konkrete Härtungsschritte für einen frisch installierten Debian-, Ubuntu- oder Rocky-Linux-Server — SSH, Updates, Firewall, Auditing, Sudo, Limits, Services, NTP, Logging, Kernel-Sysctl. Mit Befehlen, in Viertelstunde umsetzbar.
Backup-Verschlüsselung: Schlüsselverwaltung richtig
Verschlüsselte Backups sind nutzlos, wenn die Schlüsselverwaltung nicht stimmt. Symmetrisch vs. asymmetrisch, Tresor-Optionen, Rotation, Recovery-Szenarien und die Tool-Praxis bei PBS, Restic und TrueNAS.
Proxmox PBS Tape-Out: Cold-Storage für Langzeit-Backups
Tape-Backend in Proxmox Backup Server: proxmox-tape, LTO-9 mit 18 TB nativ und AES-256-Hardware-Encryption, Air-Gap-Schutz gegen Ransomware, GVS-Rotation für KMU. Praxis-Leitfaden für Cold-Storage als 3-2-1-Komponente.