Phishing und Social Engineering

Wirtschaftsglossar

Phishing ist eine Cyberangriffstechnik, die Personen dazu verleitet, sensible Informationen (Zugangsdaten, Zahlungsdetails) preiszugeben oder schädliche Handlungen vorzunehmen (Geldüberweisungen, Malware installieren), indem vertrauenswürdige Einrichtungen per E-Mail, Telefon oder Messaging imitiert werden. Social Engineering ist die übergeordnete Kategorie psychologischer Manipulationstechniken, die Phishing und andere menschliche Cyberangriffe unterstützen.

Digital

Was ist Phishing?

Phishing ist eine der verbreitetsten und konsequent effektivsten Cyberangriffstechniken gegen Unternehmen und Einzelpersonen weltweit. Bei einem Phishing-Angriff imitiert ein Angreifer eine vertrauenswürdige Einrichtung – eine Bank, einen Lieferanten, eine Behörde, einen Kollegen oder ein IT-System – um den Empfänger dazu zu bringen:

Anmeldedaten oder Passwörter preiszugeben
Zahlungskarten- oder Bankdaten bereitzustellen
Eine betrügerische Banküberweisung zu autorisieren
Einen mit Malware infizierten Anhang zu öffnen
Auf einen Link zu einer betrügerischen Website zu klicken
Zugang zu Systemen oder Konten zu gewähren

Laut INCIBE ist Phishing der häufigste Cyberangriffsvektor in Spanien, der in über 60 % aller Cybersicherheitsvorfälle bei spanischen Unternehmen beteiligt ist.

Social Engineering ist die übergeordnete Disziplin der Manipulation von Menschen zur Ausführung von Handlungen oder Preisgabe von Informationen, die dem Angreifer dienen. Phishing ist die häufigste Form, aber die Kategorie umfasst viele Varianten:

Vishing (Voice Phishing): Telefonanrufe, die Bankbetrugsstellen, Steuerbehörden (AEAT), IT-Support oder Lieferanten imitieren
Smishing (SMS Phishing): Textnachrichten mit betrügerischen Links
Spear Phishing: Hochgradig gezieltes Phishing mit personalisierten Informationen über das spezifische Opfer
Whaling: Spear Phishing, das speziell auf C-Suite-Führungskräfte abzielt
Business Email Compromise (BEC): Imitation eines CEO, CFO oder Lieferanten zur Autorisierung betrügerischer Überweisungen – die finanziell schädlichste Form
Pretexting: Erstellung eines fabrizierten Szenarios zur Erlangung sensibler Informationen
Quid pro quo: Anbieten von scheinbar wertvollen Dingen im Tausch gegen Zugangsdaten

Business Email Compromise (BEC) in Spanien

Business Email Compromise (fraude del CEO) verdient besondere Aufmerksamkeit, da es für die größten individuellen finanziellen Verluste durch Social-Engineering-Angriffe verantwortlich ist.

CEO-Betrug (Fraude del CEO)

Ein Angreifer imitiert den CEO und sendet eine dringende E-Mail an die Finanzabteilung mit der Anweisung zu einer sofortigen Banküberweisung. Die E-Mail behauptet typischerweise die Vertraulichkeit der Angelegenheit, erzeugt Zeitdruck und verwendet eine gefälschte E-Mail-Adresse oder eine ähnlich aussehende Domain.

Lieferantenimitation

Der Angreifer imitiert einen bekannten Lieferanten und benachrichtigt die Kreditorenbuchhaltung über eine „Änderung der Bankdaten”.

Schutzmaßnahmen gegen BEC

Mündliche Bestätigung: Stets einen bekannten Ansprechpartner anrufen, um Anfragen zur Änderung von Zahlungsdetails zu verifizieren
Vier-Augen-Prinzip: Zwei unabhängige Genehmigungen für Banküberweisungen über einem Mindestschwellenwert
E-Mail-Authentifizierung: DMARC, DKIM und SPF-Einträge implementieren
Sensibilisierungsschulung: Regelmäßige Schulungen zu BEC-Szenarien für alle Finanzteammitglieder

Rechtliche Pflichten nach einem Phishing-Vorfall

Bei einer durch Phishing verursachten Datenschutzverletzung haben spanische Unternehmen rechtliche Pflichten:

DSGVO-Meldung an die AEPD: Innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung (Artikel 33 DSGVO / LOPD-GDD)
Benachrichtigung betroffener Personen: Bei hohem Risiko für Betroffene (Artikel 34 DSGVO)
Interne Dokumentation: Die Verletzung muss unabhängig von der Meldepflicht dokumentiert werden

Mitarbeitersensibilisierung

Sicherheitsbewusstseinsschulungen gehören zu den Investitionen mit dem höchsten ROI im Bereich Cybersicherheit. Ein effektives Programm umfasst:

Einführungsschulung für alle neuen Mitarbeitenden
Jährliche Auffrischungsschulung über die neuesten Angriffstechniken
Phishing-Simulationsübungen – realistische, aber gefälschte Phishing-E-Mails
Klare Meldeverfahren – Mitarbeitende sollten wissen, wo sie verdächtige Nachrichten melden können

Technische Schutzmaßnahmen gegen Phishing

E-Mail-Filterung: Intelligente Spam- und Phishing-Filter
Multi-Faktor-Authentifizierung (MFA): Verhindert Kontoübernahmen auch bei gestohlenen Zugangsdaten
Browserschutz: Tools, die vor bekannten Phishing-Websites warnen
DNS-Filterung: Blockierung von Verbindungen zu bösartigen Domains auf Netzwerkebene
Link-Umschreibung: E-Mail-Sicherheitsprodukte, die Links zum Klickzeitpunkt überprüfen

Wie BMC helfen kann

Wir helfen Unternehmen bei der Bewertung ihrer Exponierung gegenüber Phishing- und Social-Engineering-Angriffen, der Gestaltung von Mitarbeitersensibilisierungsprogrammen, der Implementierung technischer Kontrollen und der Reaktion auf Vorfälle – einschließlich der Beratung zu DSGVO-Meldepflichten, Strafanzeigen und behördlicher Zusammenarbeit nach einem erfolgreichen Angriff.

Häufig gestellte Fragen

Was ist der häufigste Phishing-Angriffstyp, der spanische Unternehmen betrifft?

Business Email Compromise (fraude del CEO) ist die finanziell schädlichste Variante in Spanien, bei der Angreifer Führungskräfte imitieren, um Finanzteams zur Durchführung betrügerischer Überweisungen zu veranlassen. INCIBE berichtet, dass Phishing über 60 % aller Cybersicherheitsvorfälle bei spanischen Unternehmen ausmacht, wobei BEC die größten individuellen Verluste verursacht.

Löst ein Phishing-Angriff DSGVO-Meldepflichten in Spanien aus?

Ja. Wenn ein Phishing-Angriff zu einer Verletzung personenbezogener Daten führt, müssen spanische Unternehmen die AEPD innerhalb von 72 Stunden gemäß Artikel 33 DSGVO und der LOPD-GDD benachrichtigen. Wenn Personen einem hohen Risiko ausgesetzt sind, müssen diese auch direkt benachrichtigt werden. Die Verletzung muss intern dokumentiert werden, unabhängig davon, ob sie die Meldeschwelle erreicht.

Haften Unternehmen für Phishing-Angriffe, die zu Datenschutzverletzungen führen?

Ja. Gemäß DSGVO trägt die Organisation als Verantwortlicher die Verantwortung für angemessene Sicherheitsmaßnahmen, einschließlich Mitarbeiterschulung und technischer Kontrollen. Die AEPD bewertet, ob die vorhandenen Maßnahmen angemessen waren – ein Phishing-Angriff entbindet das Unternehmen nicht automatisch von der Haftung.

Was sollte ein spanisches Unternehmen unmittelbar nach einer CEO-Betrug-Zahlung tun?

Sofort die Bank kontaktieren, um einen SEPA-Rückruf oder Zahlungsstopp zu beantragen – Zeit ist entscheidend und die Erfolgsquoten sinken nach Stunden stark. Eine Strafanzeige (denuncia) bei der Policía Nacional oder Guardia Civil erstatten und Rechtsberatung in Anspruch nehmen. Bei grenzüberschreitenden Überweisungen sind die Rückholchancen nach 24 Stunden erheblich geringer.

Ist CEO-Betrug (fraude del CEO) in Spanien eine Straftat?

Ja. Täter werden wegen Betrugs (estafa, Artikel 248 des spanischen Strafgesetzbuchs) und Computerbetrugs (Artikel 264) strafrechtlich verfolgt, mit möglichen Freiheitsstrafen von bis zu 6 Jahren für großangelegte Fälle. Allerdings agieren die meisten Täter außerhalb Spaniens und eine Strafverfolgung kann in der Praxis schwierig sein.

Fordern Sie eine persönliche Beratung an

Unsere Experten analysieren Ihre Situation und bieten maßgeschneiderte Lösungen.

Kostenlose Erstberatung

Beratung

Bewertung und Analyse

Transformation

Governance und Übergang

Steuerstrategie

Compliance

Sonderregelungen

Vermögen und Streitigkeiten

Handels- und Gesellschaftsrecht

Insolvenz und Restrukturierung

Personal und Compliance

Streitigkeiten und Beilegung

Cybersicherheit

Datenschutz und KI

Finanzen und Berichtswesen

Gesellschaftsservices

Wachstum

Risiko und Resilienz

Artikel und Analysen

Berichte und Whitepaper

Tools

Branchen