Cybernotfall
Incident Response · Stand: Juni 2026

Phishing

Versuch, über gefälschte Nachrichten, Webseiten oder Anrufe Zugangsdaten oder vertrauliche Informationen zu erlangen oder Schadcode auszuliefern.

Rechtsgrundlagen
  • § 202a StGB
  • § 202c StGB
  • § 263a StGB
  • § 269 StGB

Was Phishing ist

Phishing ist die häufigste Einstiegstechnik für Cyberangriffe. Über präparierte E-Mails, gefälschte Webseiten, SMS oder Anrufe werden Empfänger dazu gebracht, Zugangsdaten preiszugeben, infizierte Anhänge zu öffnen oder Geld zu überweisen. Der Begriff leitet sich vom englischen fishing ab, weil die Angreifer Köder auslegen und auf einen Klick warten.

Phishing ist die Eintrittstür für rund die Hälfte aller erfolgreichen Ransomware-Angriffe. Auch Business Email Compromise, also der gezielte Betrug per gefälschter Geschäftsmail, beginnt regelmäßig mit Phishing.

Varianten

Klassisches Massen-Phishing imitiert bekannte Marken und versendet identische Nachrichten an viele Empfänger. Spear Phishing ist auf eine konkrete Person zugeschnitten und nutzt öffentlich verfügbare Informationen, etwa aus LinkedIn oder dem Impressum. Whaling zielt auf Führungskräfte. Smishing nutzt SMS, Vishing den Telefonanruf. Quishing arbeitet mit QR-Codes auf gedruckten Aushängen.

Eine neuere Variante ist das Adversary-in-the-Middle-Phishing, bei dem die Angreifer eine echte Anmeldeseite in Echtzeit nachstellen und so auch Sitzungs-Tokens trotz Multi-Faktor-Authentifizierung abgreifen.

Rechtliche Einordnung

Phishing-Täter erfüllen je nach Sachverhalt § 202a StGB Ausspähen von Daten, § 202c StGB Vorbereiten des Ausspähens, § 263a StGB Computerbetrug und § 269 StGB Fälschung beweiserheblicher Daten. Für das angegriffene Unternehmen ist der erfolgreiche Phishing-Angriff regelmäßig der Auslöser einer Datenpanne nach Art. 33 DSGVO, sobald personenbezogene Daten betroffen sind.

Mitarbeiter, die auf eine Phishing-Mail hereinfallen, machen sich in aller Regel nicht strafbar. Arbeitsrechtliche Konsequenzen sind möglich, wenn ausdrückliche Anweisungen oder Schulungen vorsätzlich missachtet wurden. In der Praxis sind sie selten und sollten zugunsten einer offenen Fehlerkultur und besserer Schulung zurückgestellt werden.

Schutzmaßnahmen

Technisch helfen E-Mail-Authentifizierung über SPF, DKIM und DMARC, gute Spam- und Anhangfilter, Web-Filter, Multi-Faktor-Authentifizierung mit phishing-resistenten Verfahren wie FIDO2 sowie EDR-Lösungen auf den Endgeräten.

Organisatorisch sind regelmäßige Awareness-Schulungen und realistische Phishing-Simulationen wirksam. Wichtig ist eine niedrige Meldeschwelle. Mitarbeiter sollten ohne Angst vor Sanktionen verdächtige Mails melden können, idealerweise mit einem Melde-Knopf im Mailclient.

Häufige Fragen

Häufige Fragen

Helfen Multi-Faktor-Codes per SMS
Etwas. Sie sind besser als nur Passwort, können aber durch Phishing-Seiten in Echtzeit umgangen werden. Phishing-resistente Verfahren wie FIDO2-Schlüssel sind deutlich sicherer.
Sind realistische Phishing-Tests datenschutzkonform
Ja, wenn sie nicht zur Leistungs- und Verhaltenskontrolle einzelner Mitarbeiter genutzt werden. Auswertung erfolgt anonym oder pseudonym, Betriebsrat ist zu beteiligen, Schulungszweck ist zu dokumentieren.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil