Phishing im Mittel­­stand: Wenn ein Klick die Bilanz gefährdet

Warum Phishing KMU besonders trifft – und wie du das Risiko spürbar senkst.

Wer diesen Beitrag lesen sollte:

  • Problemlöser:innen
  • Kleinunternehmer:innen

Lesedauer:

3

Minuten
Symbolbild E-Mails, ki-generiert i
Optical Design | stock.adobe.com
14.10.2025

Vom Posteingang zur Kostenfalle: Phishing und andere Social Engineering-Angriffe legen KMU lahm, verursachen Ausfälle und Reputationsschäden. Alles, was du wissen musst – plus 5 Maßnahmen, mit denen du Social Engineering in deinem Unternehmen vorbeugen kannst. 

KMU arbeiten effizient, mit schlanken Teams und kurzen Entscheidungswegen – das ist ihre Stärke, aber auch ein Einfallstor. Social Engineering setzt genau hier an: glaubhafte Mails, "dringende" Rechnungen, gefälschte IBAN‑Änderungen. Auch international zeigt sich: Phishing zählt zu den häufigsten Einstiegsvektoren in Sicherheitsvorfälle. In seinem Data Breach Investigations Report 2024 analysiert der US-Telekommunkationskonzern Verizon, dass ein großer Teil der bestätigten Datenpannen auf menschliche Fehler bzw. Social-Engineering-Muster zurückgeht. IBM analysierte für 2025, dass Phishing der häufigste Auslöser von Datenpannen ist.

INFOBOX: Was ist Phishing?

Phishing ist Social Engineering: Angreifer:innen versuchen dich dazu zu bringen, Zugangsdaten preiszugeben, manipulierte Links/Anhänge zu öffnen oder Zahlungen auszulösen. Das passiert multikanalig, man unterscheidet:

  • Phishing per E-Mail
  • Smishing durch gefakte SMS
  • Vishing (oder Voice Phishing) per Telefon
  • Quishing, wo QR-Codes User:innen auf gefälschte Websites umleiten

Die Nachrichten wirken oft offiziell (Logo, Absendername), nutzen Neugier, Angst oder künstlichen Zeitdruck und dienen häufig als Vorstufe für größere Vorfälle wie CEO‑Fraud oder Ransomware.

Einen Überblick über aktuelle Betrugswarnungen für Unternehmen findest du hier!

Gleichzeitig berichten Organisationen über zunehmende KI-Beteiligung bei Angriffen (z.B. AI-Phishing, Deepfakes) – und über Lücken bei AI-Zugriffskontrollen. Zuletzt kursierten Mails im Namen von Statistik Austria oder der WKÖ, die gezielt Unternehmensdaten abfragen wollten – realistische Beispiele dafür, wie professionell Täter:innen vorgehen. Mit Phishing per E-Mail ist es leider aktuell nicht mehr getan: Mittlerweile laufen die Angriffe über viele unterschiedliche Kanäle – neben E-Mail kommen auch SMS, Anrufe oder QR-Codes zum Einsatz.
Teaser für Anmeldung zum MARIE MAIL i
WKÖ/DMC



Spannende Updates für dich 

Mit der MARI€ MAIL erhältst du unsere wichtigsten Infos direkt in deine Mailbox.

Jetzt zum Newsletter anmelden!

Vom Klick zur Kostenfalle: Wo Phishing in der Bilanz weh tut

  • Direkter Geldabfluss: gefälschte Zahlungsanweisungen (CEO-Fraud), "aktualisierte" Lieferant:innen-IBAN, manipulierte Rechnungen.
  • Betriebsunterbrechung: gesperrte Konten, forensische Checks, Neuaufsetzen von Systemen.
  • Wiederherstellung & Beratung: IT-Dienstleistungen, rechtliche Erstberatung, Kommunikation mit Kund:innen/Partner:innen.
  • Reputationsschaden: Vertrauensverlust, Umsatzdellen, aufwendige Nachkommunikation.
  • Regulatorik & Pflichten: je nach Sektor und Unternehmensgröße (Stichwort NIS2) zusätzliche Melde-/Dokumentationspflichten.

INFOBOX: PHISHEN IMPOSSIBLE 2.0

Phishing wird immer professioneller. Und es betrifft uns alle. Die gute Nachricht: Wir alle können auch etwas dagegen tun. Die Initiative Phishen Impossible setzt genau hier an: Öffentlicher Dienst, Wirtschaft und NGO arbeiten zusammen, um so viele Menschen wie möglich für das Thema Phishing zu sensibilisieren. Im Zentrum der Kampagne steht, Bewusstsein für Phishing zu schaffen und gleichzeitig zu zeigen, dass Phishing nichts ist, vor dem man Angst haben muss – denn es ist gar nicht so schwer, sich zu schützen.

Alle Infos findest du hier!

5 Maßnahmen gegen Social Engineering in deinem Unternehmen

  • Maßnahme #1: MFA & Passwortmanager flächendeckend einsetzen
    Mehrfaktor-Authentifizierung (MFA) für E-Mail, Buchhaltung, Cloud-Tools und Admin-Zugänge ist die wirksamste Einzelmaßnahme gegen Kontoübernahmen. Passwortmanager verhindern Wiederverwendung und einfache Muster – zwei Klassiker, die Angreifer ausnutzen. Rollen mit erweiterten Rechten (IT-Admin, Buchhaltung/Zahlungen) brauchen zusätzliche Kontrollen.
  • Maßnahme #2: Zahlungsfreigabe mit Vier-Augen-Prinzip
    Jede Änderung von Bankverbindungen, jede eilende Überweisung und jeder ungewöhnliche Betrag braucht eine medienbruchfreie Bestätigung (z. B. Rückruf an eine bekannte Nummer). Das stoppt CEO-Fraud und "IBAN-Wechsel"-Maschen.
  • Maßnahme #3: Mail-Sicherheit richtig aufdrehen
     Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), Domain-based Message Authentication, Reporting and Conformance (DMARC) konsequent konfigurieren und überwachen; viele KMU haben diese Basics noch nicht sauber ausgerollt. Das erhöht die Erkennung gefälschter Absender:innen und erschwert Domain-Spoofing.
  • Maßnahme #4: 15-Min-Awareness-Sprints pro Quartal
    Kurz, konkret, wiederkehrend: 2–3 realistische Beispiele für E-Mail, SMS, Telefon & QR gemeinsam durchgehen – woran erkennt man die "Red Flags"? Ergänzend 2 Phishing-Simulationen/Jahr. Orientierung bieten die BSI-Hinweise (Links/Anhänge prüfen, keine sensiblen Daten, Sprache/Fehler & künstlicher Druck).
  • Maßnahme #5: Incident-Playbook & Meldestellen griffbereit
    Wer macht wann was? Liste mit internen Rollen, IT-Kontakt, Bank, Versicherer, Rechtsberatung. Für Österreich: Cyber-Security-Hotline der WKÖ 0800 888 133 (0–24 Uhr, kostenlos) sowie die Meldestellen auf onlinesicherheit.gv.at. Diese Kontaktdaten gehören als "Notfallkarte" an die Wand.