Interne Kommunikation nachahmen: Was Phishing-Kampagnen erfolgreich macht
Wenn die Mail scheinbar vom Chef kommt oder ein „wichtiger Hinweis der IT“ im Postfach landet, steigt die Klickwahrscheinlichkeit dramatisch: Laut einem neuen Phishing Report zielen über 60 Prozent der erfolgreichsten Phishing-Versuche auf angeblich interne Kommunikation ab – mit fataler Wirkung.
Die Masche ist perfide und dennoch erschreckend effektiv: Cyberkriminelle geben sich als Kolleginnen und Kollegen aus der Personalabteilung oder IT aus, imitieren interne Prozesse und wecken gezielt Vertrauen. Besonders beliebt sind Mails mit vermeintlichen Schulungsberichten, Passwortwarnungen oder Zoom-Clips von Vorgesetzten – genau jene Inhalte, bei denen viele Mitarbeitende reflexartig reagieren. Im Ergebnis klicken sie auf manipulierte Links, öffnen infizierte Anhänge oder scannen QR-Codes, die den Weg für weiterführende Angriffe freimachen. Diese Erkenntnisse stammen aus dem aktuellen KnowBe4 Phishing Report, der jetzt veröffentlicht wurde.
Vertrauen als Schwachstelle
Der Report basiert auf Millionen simulierter Phishing-Angriffe, die über die Human-Risk-Management-Plattform von KnowBe4 zwischen Januar und März 2025 durchgeführt wurden. Die Auswertung zeigt: 60,7 Prozent der erfolgreichen Klicks betrafen angeblich interne Mitteilungen, 49,7 Prozent davon waren speziell auf Inhalte aus der Personalabteilung ausgerichtet. Die Angreifer setzen dabei zunehmend auf psychologisches Kalkül: Dringlichkeit, Autorität, Gewohnheit – genau diese menschlichen Reflexe werden gezielt ausgenutzt.
Besonders häufig genutzt wurden in den Simulationen gefälschte E-Mails mit Links zu angeblichen Microsoft-, LinkedIn- oder Google-Anmeldeseiten. Diese Marken stehen im Arbeitsalltag vieler Beschäftigter für Verlässlichkeit – ein Umstand, den Cyberkriminelle skrupellos ausnutzen. Ganze 68,6 Prozent der analysierten Phishing-Versuche nutzten sogenanntes Domain-Spoofing, also täuschend echt aussehende Internetadressen bekannter Anbieter.
QR-Codes und Anhänge: Altbekannte Tricks, neue Verpackung
Ein weiteres Einfallstor: QR-Codes. Ob angebliche neue HR-Richtlinien, Geburtstagsnachrichten oder digitale Unterschriftsanforderungen – auch in diesem Bereich punkten Angreifer mit cleverer Verpackung. Fast 15 Prozent der Testpersonen scannten etwa einen QR-Code, der auf eine vermeintliche Personalrichtlinie zu Drogen und Alkohol hinwies. Gefälschte PDF- und HTML-Dateien folgen dichtauf: Mehr als die Hälfte der Empfängerinnen und Empfänger öffneten die verseuchten Anhänge.
KnowBe4 warnt eindringlich
„Angreifer wissen genau, wie Mitarbeitende ticken“, so Stu Sjouwerman, Geschäftsführer von KnowBe4. „Sobald eine E-Mail so aussieht, als käme sie von der IT oder Personalabteilung – also von internen Autoritäten – sinkt die Hemmschwelle. Und wenn dann auch noch scheinbar vertraute Marken involviert sind, wird selten hinterfragt.“
Die Lösung liegt laut KnowBe4 in einem neuen Sicherheitsverständnis: Nicht Technik allein, sondern der Mensch muss ins Zentrum jeder Cyberabwehr rücken. Unternehmen, so Sjouwerman, sollten gezielt eine Kultur fördern, in der Mitarbeitende zur Überprüfung verdächtiger Inhalte ermutigt werden – selbst wenn diese von (vermeintlich) Vorgesetzten stammen und echt wirken.
Wer sich schützen will, muss den Menschen einbinden – und nicht nur auf Software vertrauen. Denn die effektivsten Phishing-Angriffe kommen heute nicht mehr von außen. Sie tragen den vertrauten Absender im Kopf – und nutzen genau das aus.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
