FAQ: Wie viel kostet Phishing mein Unternehmen und was kann ich dagegen tun?

Phishing ist die häufigste Methode für Angreifer, in Unternehmen einzudringen, und KI ermöglicht intelligentere, effektivere Angriffe.

In unserem kürzlich durchgeführten Webinar mit dem Thema Phishing-Trends, Taktiken und Werkzeuge, die in 2025 wichtig sind, erklärte Christophe Frenet, CPO von Dashlane, wie sich Phishing entwickelt und warum traditionelle Verteidigungsmaßnahmen unzureichend sind. Er beantwortete auch Fragen von Teilnehmern, darunter nicht technisch versierte Mitarbeitende und erfahrene Sicherheitsfachleute.

Sehen Sie sich unten einige Einblicke in dieses Event an und sehen Sie sich das On-Demand-Webinar an, um alle Details zu erfahren.

KI-erstellte Phishing-E-Mails haben eine durchschnittliche Klickrate von 54 %, verglichen mit nur 12 % für alle Arten von Phishing-E-Mails.

Warum fällt über die Hälfte der Menschen KI-Phishing-Angriffen zum Opfer? Diese Angriffe sind personalisierter und schwieriger zu erkennen. KI kann soziale Medien, Websites und öffentliche Aufzeichnungen nutzen, um maßgeschneiderte Nachrichten zu erstellen, die echte Personen – einschließlich Führungskräfte – ohne die üblichen Tippfehler oder klobigen Formulierungen nachahmen.

„Jetzt kann jeder in Sekunden Hunderte von personalisierten Phishing-E-Mails erstellen“, erklärt Christophe. „Keine technischen Kenntnisse erforderlich… Kampagnen, die früher Tage zum Planen und Schreiben gedauert haben, können jetzt generiert und sofort gestartet werden.“

Durch die Überwachung von E-Mail-Threads, sozialen Medien und internen Systemen kann KI Angriffe zeitlich so planen, dass Ziele am anfälligsten sind, z. B. auf Reisen oder in stressigen Zeiten. Es kann sogar auf aktuelle Gespräche verweisen, um glaubwürdig zu erscheinen, indem es seine Phishing-Vorlagen für höhere Erfolgsraten testet und verfeinert.

Darüber hinaus haben Mitarbeitende gelernt, dass sie Phishing-Versuche per E-Mail erwarten sollten, aber Phishing hat sich über den Posteingang hinaus entwickelt und wird oft durch KI unterstützt.

„Wir beobachten einen Anstieg der Smishing-Angriffe und Vishing-Angriffe – also Phishing per Text oder Sprache“, erklärt Christophe. „Allein die Anzahl der Smishing-Angriffe stieg 2024 um 22 %[the third quarter]. Ein Tipp, ein Link, und Sie sind gefährdet.“

Geld: Phishing-bezogene Sicherheitsverletzungen kosten Unternehmen im Jahr 2024 durchschnittlich 4,8 Millionen USD. Dies umfasst direkte Verluste wie sofortige Reaktionskosten, Rechtskosten und behördliche Bußgelder sowie indirekte Kosten wie Systemausfallzeiten und langfristige Behebungsmaßnahmen.

Zeit: Ein einzelner Phishing-Vorfall kann Tage oder Wochen mit einer Untersuchung, Passwortzurücksetzungen, Scans von Endpunkten und der Kommunikation mit Benutzern in Anspruch nehmen. Kern-IT-Projekte verzögern sich oft, während das Team sich auf die Eindämmung und dann die Wiederherstellung konzentriert. Schlimmer noch: Wenn der Angriff zur Installation von Malware führt, können die Reinigungsarbeiten mehrere Systeme und Abteilungen umfassen. „[IT teams]Lassen Sie sich in diesem nie endenden Zyklus des Aufholens verfangen“, sagt Christophe.

Produktivität: Phishing verursacht auch betriebliche Reibungen. Mitarbeitende können aus Konten gesperrt werden, mit dringenden Sicherheitswarnungen überfordert werden oder verwirrt über neue Richtlinien, die als Reaktion auf die Sicherheitsverletzung eingeführt wurden. Die Produktivität sinkt und das Vertrauen in IT-Systeme kann schwinden, insbesondere wenn die Kommunikation in der Reaktionsphase nicht klar oder konsistent ist.

Reputation: Eine Verletzung führt zu schwierigen Gesprächen mit Führungskräften, Kunden und sogar Aufsichtsbehörden, insbesondere wenn sensible Daten gefährdet waren. Wenn Sicherheitsschwächen aufgedeckt werden, kann Ihr Team verstärkt kontrolliert und unter Budgetdruck stehen.

Selbst die besten Programme zur Sicherheitssensibilisierung können Mitarbeitende nicht vollständig davor schützen, Phishing-Angriffe zu erleiden. Wie das Sprichwort sagt: „Es dauert nur ein Klick, um eine Sicherheitsverletzung zu verursachen.“

Neben der zunehmenden Komplexität der Angriffe selbst sind mehrere menschliche Faktoren im Spiel:

Schulungsmüdigkeit: Seien wir ehrlich: Obligatorische Schulungen sind selten beliebt. Laut dem Bericht von Dashlane über die Sicherheitslage bei Anmeldeinformationen im Jahr 2025 würden 22 % der Mitarbeitenden lieber zu Hauptverkehrszeiten stecken, 15 % würden auf einen Urlaubstag verzichten und 11 % würden lieber eine Wurzelbehandlung als eine Sicherheitsschulung besuchen.

Angst: Nachdem sie merken, dass sie Opfer eines Phishing-Angriffs wurden, können sich Mitarbeitende in Verlegenheit fühlen, insbesondere wenn sie eine Anti-Phishing-Schulung erhalten haben. Einige Mitarbeitende machen sich Sorgen, dass sie beurteilt, ermahnt und sogar gefeuert werden. Dadurch melden sie keinen erfolgreichen Phishing-Angriff mehr, sodass der Vorfall unbemerkt eskalieren kann.

Denkbarrieren: Viele Mitarbeitende sehen Sicherheit nicht als Teil ihrer Rolle an. Sie sehen es als Verantwortung der IT, sodass das Phishing-Bewusstsein oft hinter der Erledigung ihrer Arbeit zurückbleibt.

Für Unternehmen ist Phishing eigentlich ein Systemproblem, nicht ein Problem mit Mitarbeitenden.

Mitarbeitende sollten nicht die letzte Verteidigungslinie gegen Bedrohungen sein. Stattdessen müssen Unternehmen Systeme entwickeln und Tools bereitstellen, die Mitarbeitende unterstützen und schützen und gleichzeitig Fehlermöglichkeiten minimieren.

Phishing-Angriffe sind nicht wie herkömmliche Viren oder Malware, die schädlichen Code auf Ihrem Gerät installieren. Sie sind Social-Engineering-Taktiken, das heißt, sie manipulieren menschliches Verhalten.

Da keine bösartige Datei gescannt oder in Quarantäne gestellt werden muss, kann Antiviren- und Anti-Malware-Software oft keine Phishing-Aktivitäten erkennen.

Deshalb müssen sich Unternehmen mit mehrschichtiger Verteidigung schützen, wie z. B. starken E-Mail-Filtern, Multifaktor-Authentifizierung, Passwort-Managern mit KI-Phishingwarnungen und einfachen Berichtskanälen.

Wenn ein Mitarbeitender auf einen Phishing-Versuch hereinfällt, bedeutet dies nicht automatisch, dass seine Dashlane-Passwörter gefährdet sind.

Christophe erklärt: „Der einzige Weg, dass Ihr Dashlane-Tresor gefährdet ist, besteht darin, dass Sie Ihr Master-Passwort auf einer Phishing-Website eingegeben haben.“ In den meisten Fällen wird durch Klicken auf einen schlechten Link allein nichts offengelegt, was im Tresor gespeichert ist.

Um die Gefahr einer Kompromittierung weiter zu reduzieren, bot Dashlane als erster Passwort-Manager passwortlose Anmeldeoptionen an. Mitarbeitende können ihren Tresor mit einem vertrauenswürdigen Gerät mit Biometriedaten oder einer PIN entsperren – kein Master-Passwort erforderlich, und nichts, was für Phishing-Angriffe genutzt werden kann.

Bald wird Dashlane auch Unternehmen Zugriff auf Sicherheitsschlüssel anbieten. Mit dieser Methode ist der Hardware-Schlüssel selbst die einzige Möglichkeit, den Tresor zu entsperren, wodurch Passwörter und PINs vollständig entfallen.

Diese Optionen machen es noch schwieriger für Phishing-Versuche und sorgen gleichzeitig für die Sicherheit und den Zugriff auf die Anmeldedaten von Mitarbeitenden.

KI-Phishingwarnungen bieten proaktiven Schutz vor Phishing in Echtzeit. Diese Warnungen sind Teil der Dashlane OmnixTM-Plattform und verwenden ein proprietäres KI-Modell, um Webseiten in Echtzeit zu analysieren und Phishing-Risiken in weniger als 500 Millisekunden zu erkennen.

Wenn ein Mitarbeitender auf eine verdächtige Website gelangt, sendet Dashlane sofort eine kontextbezogene Warnung im Browser aus – selbst wenn der Mitarbeitende nicht in Dashlane angemeldet ist. Dadurch wird verhindert, dass Mitarbeitende versehentlich Anmeldedaten auf einer betrügerischen Seite weitergeben, die wie ein vertrauenswürdiges Anmeldeportal aussieht.

Damit werden Phishing-Versuche gestoppt, bevor ein Mitarbeitender seine Anmeldedaten weitergeben kann, und damit die Lücke zwischen der Aktion des Mitarbeitenden und der IT-Aufsicht geschlossen. Und Sicherheitsteams erhalten Einblick in Phishing-Aktivitäten im gesamten Unternehmen, damit sie Muster erkennen, Bedrohungen überwachen und schnell auf neue Risiken reagieren können.

Anstatt Mitarbeitende für erfolgreiche Angriffe verantwortlich zu machen, können Unternehmen sie mit Plattformen wie Omnix unterstützen, die Phishing-Versuche in Echtzeit überlisten.