E-Mail-Sicherheit ist 2026 keine rein technische Frage von Filtern und MFA mehr. Sie ist vor allem ein Verhaltensthema. Social Engineering ist die übergeordnete Technik, mit der Angreifer über E-Mail, SMS, Telefon, QR-Codes und Chat Vertrauen, Zeitdruck und Autorität ausnutzen. KI-generierte Phishing-Mails sind kaum noch von echten Nachrichten zu unterscheiden, MFA wird routinemäßig umgangen, und Deepfake-Stimmen machen CEO-Betrug schmerzhaft überzeugend. Was müssen Mitarbeitende praktisch können, und wie verankern Sie das in einem Security-Awareness-Programm?
Was ist Social Engineering, und warum ist E-Mail immer noch der Hauptvektor?
Social Engineering ist der Sammelbegriff für Angriffstechniken, die nicht die Technik, sondern den Menschen angreifen. Ein Angreifer manipuliert Vertrauen, nutzt Dringlichkeit, gibt sich als Autoritätsperson aus oder spielt mit Neugier. E-Mail-Sicherheit ist daher kein reines Filter-Thema: sobald eine Nachricht das Gateway passiert hat, ist das Verhalten der Empfängerin die letzte Verteidigungslinie.
E-Mail bleibt 2026 der meistgenutzte Kanal für Social Engineering, aus drei Gründen. Erstens das Volumen: fast jede Person erhält dutzende Mails täglich und hat keine Zeit für tiefe Inspektion. Zweitens ist die Identität fälschbar: Absendernamen, Logos und Signaturen sind problemlos nachzuahmen. Drittens sind die Kosten gering: ein Angreifer kann in einer Kampagne tausende Organisationen gleichzeitig adressieren.
Moderne Social-Engineering-Angriffe bleiben jedoch selten bei E-Mail allein. Sie laufen über mehrere Kanäle parallel: eine Mail, die zu einem Telefonat führt, eine SMS, die zu einem QR-Code auf einer Fake-Seite führt, eine LinkedIn-Nachricht, die in einem Teams-Call endet. Die Frage lautet daher nicht "wie halte ich Phishing fern?" sondern "wie sorge ich dafür, dass Mitarbeitende den richtigen Reflex haben, wenn etwas durchrutscht?"
Phishing 2.0: KI hat das Spielfeld verändert
Bis 2023 war Phishing oft an holprigen Sätzen, Sprachfehlern und seltsamer Anrede erkennbar. Diese Zeit ist vorbei. Generative KI erzeugt in Sekunden eine fehlerfreie E-Mail in jeder Sprache, perfekt im Ton Ihrer Organisation. Die alte Faustregel, wonach Fehler gleich Fake und fließende Sprache gleich echt seien, funktioniert nicht mehr. In manchen Trainings ist sie inzwischen sogar schädlich, weil sie Mitarbeitende einlullt.
Was noch funktioniert, sind Kontext-Anomalien. Eine Anfrage, die nicht zur Beziehung passt ("warum fragt mich dieser Lieferant zur Rechnung?"), ein auffälliger Zeitpunkt (Freitagnachmittag vor einem langen Wochenende), ein abweichender Kanal (eine Kollegin, die normalerweise Teams nutzt, schickt plötzlich eine private Mail). Und vor allem eine Anfrage, die vom normalen Prozess abweicht: eine Zahlung außerhalb der Standardfreigabe, eine eilige Änderung von Bankdaten, ein MFA-Code, der per WhatsApp geteilt werden soll.
Trainieren Sie Mitarbeitende deshalb auf Prozessabweichung, nicht auf Rechtschreibfehler. Die Frage "passt das zu unserem normalen Vorgehen?" ist ein zuverlässigerer Filter als jede Rechtschreibprüfung. Gute Simulationen üben genau dieses Prinzip, nicht durch komische Mails, sondern durch glaubwürdige Mails mit kleinen Prozessabweichungen.
Die vier modernen Angriffsformen, die jede Mitarbeitende kennen muss
Phishing ist längst nicht mehr nur E-Mail. Vier Formen verdienen einen festen Platz in jedem Training zu E-Mail-Sicherheit und Social Engineering:
- Smishing (SMS-Phishing): ein kurzer Text mit Dringlichkeit ("Ihr Paket konnte nicht zugestellt werden, hier klicken") mit Link auf eine Fake-Seite. Funktioniert gut, weil Menschen am Handy weniger kritisch sind als am Laptop.
- Vishing (Telefon-Phishing): ein Angreifer ruft an und gibt sich als Helpdesk, Bank oder Lieferant aus. Mit KI-Stimmklon kann das klingen wie der tatsächliche Vorstand oder eine bekannte Kollegin. Klassischer Trick: "Ich schaue gerade in Ihrem Konto, um den Schaden zu begrenzen, können Sie kurz die sechs Ziffern auf Ihrem Bildschirm bestätigen?" Der Angreifer hat zeitgleich einen Passwort-Reset ausgelöst und nutzt die Mitarbeitende als Schlüssel.
- Quishing (QR-Phishing): ein QR-Code in einer Mail oder auf einem Poster, der auf eine Fake-Seite führt. E-Mail-Sicherheitsfilter lesen keine QR-Codes, und Mitarbeitende scannen meist mit dem privaten Handy außerhalb der Unternehmensabsicherung. Ein typisches Beispiel ist eine Mail zur "MFA-Neuregistrierung", bei der der QR-Code auf eine Seite führt, die Passwort und MFA-Code in einem Schritt abgreift.
- Business Email Compromise (BEC): das legitime Postfach einer Kollegin oder eines Lieferanten ist übernommen. Von dort kommt eine echte Mail mit einer echten Aufforderung: eine Zahlung, eine Änderung von Bankdaten. Nicht von einer normalen Nachricht zu unterscheiden, weil sie tatsächlich von der echten Adresse kommt. BEC ist weltweit die finanziell schädlichste Form von Cyberkriminalität.
Warum MFA nicht mehr genügt, und was das für Awareness bedeutet
Multi-Faktor-Authentifizierung (MFA) galt lange als Antwort auf Passwortdiebstahl. Ein Angreifer mit Ihrem Passwort kam ohne zweiten Faktor nicht hinein. 2026 ist diese Sicherheit weg: Cyberkriminelle umgehen MFA routinemäßig über drei Techniken.
MFA-Fatigue (Push Bombing). Der Angreifer hat Ihr Passwort und sendet ununterbrochen Push-Benachrichtigungen: zehn, zwanzig, fünfzig Mal, oft nachts. Ziel: dass Sie aus Frust oder Schlaftrunkenheit einmal auf "Genehmigen" tippen. Kernbotschaft: ein unerwarteter Strom von MFA-Aufforderungen ist ein Angriff. Nicht freigeben, IT melden, Passwort sofort ändern.
Adversary-in-the-Middle (AitM). Der Angreifer betreibt eine Fake-Seite, die exakt wie die echte Login-Seite aussieht. Wenn Sie Passwort und MFA-Code eingeben, leitet die Fake-Seite beides an die echte Seite weiter und stiehlt zugleich das Session-Cookie. Mit diesem Cookie übernimmt der Angreifer Ihre Sitzung ohne weiteres MFA. Sie bemerken nichts: Sie sehen Ihre E-Mail oder Ihr Dokument wie erwartet. Kernbotschaft: prüfen Sie immer, ob Sie auf der echten Seite sind, und melden Sie sich lieber über ein Lesezeichen an als über einen Link in einer Nachricht.
SIM-Swap. Der Angreifer überzeugt Ihren Mobilfunkanbieter, Ihre Nummer auf seine SIM-Karte zu übertragen. Ab dann erhält er Ihre SMS-MFA-Codes. Kernbotschaft: bevorzugen Sie für MFA eine Authenticator-App oder einen Hardware-Schlüssel gegenüber SMS. Und wenn Ihr Telefon plötzlich "kein Netz" anzeigt, kontaktieren Sie sofort Ihren Anbieter.
Die Zukunft ist passwortlos. Passkeys und Hardware-Schlüssel (FIDO2) sind gegen all diese Techniken resistent. Für Ihr Awareness-Programm ist das eine wichtige Botschaft: erklären Sie, warum Ihre Organisation auf diese Methoden umsteigt, damit Mitarbeitende sie als Schutz wahrnehmen, nicht als Hürde.
Verifizieren ist kein Misstrauen: fünf Faustregeln für Mitarbeitende
Allen modernen Social-Engineering-Techniken ist gemein, dass sie Vertrauen ausnutzen. Vertrauen in Ihren Posteingang, in eine bekannte Stimme, in eine MFA-Aufforderung, in einen Lieferanten. Der rote Faden für Awareness ist daher schlicht: Verifizieren ist kein Misstrauen, es ist Professionalität. Die Frage "stimmt das?" ist immer legitim, auch gegenüber dem Chef.
- Dringlichkeit oder Druck ist eine rote Flagge. Echte Nachrichten geben Ihnen Zeit. "Tun Sie das sofort, sonst…" ist fast immer Manipulation.
- Ungewöhnliche Anfragen über einen zweiten Kanal verifizieren. Rückruf auf einer bekannten Nummer (vom Intranet, nicht aus der Nachricht), vorbeigehen, in einem Teams-Call fragen, den Sie selbst starten. Verifizierung über denselben Kanal wie die verdächtige Nachricht ist keine Verifizierung.
- Vor dem Klick das Ziel prüfen. Am Desktop: mit der Maus über den Link, um das echte Ziel zu sehen. Mobil: Finger lange auf den Link halten. Im Zweifel: gehen Sie manuell über ein Lesezeichen auf die Seite.
- Im Zweifel: melden. Lieber zehn falsche Meldungen als ein verpasster echter Angriff. Eine Meldekultur ohne Schuldzuweisung ist wichtiger als eine niedrige Klickquote.
- Niemand fragt jemals nach Ihrem MFA-Code, Passwort oder Einmalcode. Weder IT, noch Bank, noch Lieferant. Wer diese Regel kennt und anwendet, ist gegen praktisch alle Vishing- und Helpdesk-Impersonations-Angriffe gewappnet.
Wie Sie das in einem Security-Awareness-Programm verankern
Eine lange Schulung, in der alles an einem Tag abgehandelt wird, funktioniert nicht. Zu viel auf einmal, und die Inhalte veralten innerhalb von Monaten. Was funktioniert, ist ein Rhythmus aus kurzen, wiederkehrenden Modulen, in denen jedes Thema getrennt geübt wird.
Kombinieren Sie E-Learning mit Phishing-Simulationen, die auch moderne Varianten abdecken: nicht nur klassische Phishing-Mails, sondern auch Smishing-Szenarien, Quishing-Poster und AitM-Landing-Pages. Machen Sie Verifikationsprotokolle explizit, bevor sie gebraucht werden: eine Rückrufnummer für Lieferantenänderungen, ein Vier-Augen-Prinzip oberhalb eines Schwellenwerts, eine geheime Passphrase zwischen Vorstand und Finanzabteilung für eilige Überweisungen.
Pflegen Sie eine Meldekultur. Mitarbeitende müssen verdächtige Nachrichten ohne Scham melden können, auch dann, wenn sie selbst geklickt haben. Ein Angreifer profitiert von Stille; Awareness lebt vom schnellen Melden, damit IT den Angriff stoppen kann, bevor er sich ausbreitet.
Zuletzt: aktualisieren Sie die Inhalte mindestens halbjährlich. Die Bedrohungslandschaft verändert sich schneller. KI-Werkzeuge, Deepfake-Preise und MFA-Bypass-Techniken entwickeln sich in Monaten, nicht in Jahren. Ein Awareness-Programm, das 2023 aktuell war, ist 2026 ein Handbuch für Angreifer.
Entdecken Sie, wie 2LRN4 dieses Thema in ein funktionierendes Programm mit Training, Phishing-Simulation und Management-Reporting überführt.
Zur Phishing-SeiteVerwandte Artikel
- Was ist Phishing?
- Phishing erkennen: die wichtigsten Warnsignale
- MFA-Fatigue-Angriffe erkennen
- CEO-Betrug erkennen und verhindern
Quellen
FAQ
Was ist der Unterschied zwischen Phishing und Social Engineering?
Social Engineering ist die übergeordnete Technik, mit der Angreifer menschliches Vertrauen ausnutzen. Phishing ist eine spezifische Form: Social Engineering per E-Mail. Andere Formen sind Vishing (Telefon), Smishing (SMS), Quishing (QR) und Pretexting (Vortäuschung eines Vorwands).
Hilft MFA noch gegen moderne Phishing-Angriffe?
MFA per Authenticator-App oder Hardware-Schlüssel bleibt eine wichtige Schicht, wird aber routinemäßig über MFA-Fatigue, Adversary-in-the-Middle und SIM-Swap umgangen. Die stärkste Verteidigung ist die Kombination aus Phishing-resistenter MFA (FIDO2 oder Passkeys), gutem Verhalten und schneller Meldung ungewöhnlicher Login-Aufforderungen.
Wie oft sollte ich Mitarbeitende zur E-Mail-Sicherheit schulen?
Kurze Module von fünf bis zehn Minuten pro Monat wirken nachweislich besser als eine jährliche Zwei-Stunden-Schulung. Ergänzend gehören zwei bis vier Phishing-Simulationen pro Jahr dazu, um Erkennung unter realistischen Bedingungen zu üben.
Was ist Quishing und warum ist es so gefährlich?
Quishing ist Phishing per QR-Code. Gefährlich, weil E-Mail-Sicherheitsfilter QR-Codes nicht lesen: der schädliche Link ist für sie unsichtbar. Außerdem scannen Mitarbeitende QR-Codes meist mit dem privaten Handy außerhalb der Unternehmensabsicherung.
Sollten Mitarbeitende verdächtige E-Mails löschen oder melden?
Melden, nicht löschen. Eine Meldung erlaubt dem IT-Team, den Angriff zu untersuchen, weitere Kolleg:innen zu warnen und eventuelle Kompromittierungen einzudämmen. Löschen schenkt dem Angreifer die Stille, anderswo weiterzumachen.
Welche Verifizierung wirkt gegen einen Deepfake-Sprachanruf?
Bei ungewöhnlichen Finanzanfragen immer über einen unabhängigen Kanal verifizieren: Rückruf auf bekannter Nummer, persönliches Treffen, oder eine geheime Passphrase zwischen Vorstand und Finanzabteilung, die nur mündlich bekannt ist. Visuelle Deepfake-Erkennung ist unzuverlässig, prozessbasierte Verifizierung dagegen schon.
Wie messe ich, ob meine E-Mail-Sicherheits-Awareness wirkt?
Kombinieren Sie drei Metriken: Klickquote in Phishing-Simulationen (niedriger ist besser), Meldequote (höher ist besser, ein gutes Zeichen dafür, dass Mitarbeitende sich sicher fühlen zu melden) und Zeit bis zur ersten Meldung (schneller ist besser). Langfristig ist die Meldequote wichtiger als die Klickquote.
Externe Quelle: CISA - Avoiding social engineering and phishing attacks