Was ist Spear-Phishing? Definition und Beispiele

Wie wird Spear-Phishing definiert?

Ein Spear-Phishing-Angriff ist eine Form von Phishing-Angriff, wobei dieser stark personalisiert und auf eine bestimmte Person oder kleine Gruppe abgestimmt wird. Spear-Phisher verschaffen sich mithilfe von Social Engineering-Tricks Informationen über ihr Ziel und nutzen diese, um es dazu zu bringen, vertrauliche Informationen preiszugeben, auf schädliche Links zu klicken oder Malware herunterzuladen.

Die Kenntnis persönlicher Details wie des Berufs, des vollständigen Namens, des Geburtsdatums, beruflicher Interessen oder Surfgewohnheiten einer Zielperson hilft Spear-Phishern, überzeugende Vorwände zu entwickeln, die es schwerer machen, Betrug zu erkennen.

Im Gegensatz zu Massen-Phishing-E-Mails wirken Spear-Phishing-Nachrichten authentisch und vertraut. Und diese Personalisierung wirkt: Bei einer Analyse von 50 Milliarden E-Mails in 3,5 Millionen Postfächern stellte das Cybersicherheitsunternehmen Barracuda fest, dass Spear-Phishing weniger als 0,1 % aller E-Mails ausmachte, aber für 66 % der Datenschutzverletzungen verantwortlich war.

Hier erfahren Sie genauer, was Spear-Phishing ist, wie es funktioniert und wie Sie sich davor schützen können.

So funktioniert Spear-Phishing

Im Bereich der Cybersicherheit bezeichnet Spear-Phishing die Nutzung personenbezogener Daten, um eine hochgradig personalisierte Phishing-Nachricht zu erstellen, die legitim wirkt und das Vertrauen einer gezielt ausgewählten Person gewinnt.

So läuft es in der Regel ab:

1. Der Phisher identifiziert sein Ziel: Der Angreifer entscheidet, wen er ins Visier nimmt und was er erreichen will, z. B. Zugriff auf ein bestimmtes Konto oder System, Finanzinformationen oder sogar eine Sozialversicherungsnummer.
2. Der Phisher sammelt Informationen: Er recherchiert die Zielperson mithilfe öffentlich zugänglicher Informationen, Datenpannen oder sozialer Medien, um Details zu erfahren, die den Angriff glaubwürdiger machen. Der Phisher kann dabei nach beruflichen Positionen, Routinen oder Familienmitgliedern suchen.
3. Der Phisher verfasst eine Nachricht: Mithilfe der gesammelten Daten verfasst der Angreifer eine personalisierte Nachricht, die relevant und glaubwürdig erscheint, und gibt sich dabei häufig als vertrauenswürdiger Kontakt, eine Organisation oder eine Behörde aus, um den Verdacht des Ziels zu zerstreuen.
4. Die Nachricht wird gesendet: Der Angreifer übermittelt die Nachricht über einen Kanal, den die Zielperson regelmäßig nutzt, z. B. E-Mail, SMS (Smishing-Angriffe), Telefonanrufe (Vishing-Angriffe) oder Plattformen der sozialen Medien.
5. Sie antworten: Wenn Sie auf den Trick hereinfallen, könnten Sie dazu verleitet werden, auf einen Link zu einer schädlichen Website zu klicken, einen mit Malware infizierten Anhang zu öffnen oder mit vertraulichen Informationen zu antworten.
6. Man stiehlt Ihre Daten: Der Angreifer verschafft sich mithilfe dieser Interaktion Zugang zu Anmeldedaten, Finanzdaten oder anderen sensiblen Daten, die dann zur Übernahme von Konten, für Betrug, Identitätsdiebstahl oder weitere Angriffe verwendet werden können.

Der Erfolg einer Spear-Phishing-Kampagne hängt weitgehend davon ab, wie viel Recherche und Personalisierung in den Angriff investiert wurden. Dieser Fokus auf Qualität statt Quantität bringt es mit sich, dass zuweilen Hacktivisten und staatlich geförderte Hacker als Urheber von Spear-Phishing-Angriffen identifiziert werden.

Spear-Phishing vs. Phishing vs. Whaling

Der Hauptunterschied zwischen Phishing, Spear-Phishing und Whaling besteht darin, wer das Ziel ist und warum es ins Visier genommen wird. Phishing-Angriffe haben es auf große Zielgruppen abgesehen, Spear-Phishing-Angriffe auf eine einzelne Person oder eine sehr kleine, spezifische Gruppe, und Whaling hat ein einzelnes, hochwertiges Ziel im Visier.

Hier ist ein detaillierter Überblick über die Unterschiede:

• Phishing: Der Angreifer sendet eine allgemeine Nachricht an zahlreiche Empfänger und setzt dabei auf Masse statt auf Personalisierung. Die Nachricht ist nicht auf eine bestimmte Person zugeschnitten und hat in der Regel zum Ziel, Anmeldedaten, Zahlungsdetails oder andere grundlegende Informationen zu stehlen. Dabei sind die Verluste für einzelne Personen möglicherweise geringer, dennoch können Phishing-Kampagnen weitreichenden Schaden anrichten.
  
• Spear-Phishing: Der Angreifer konzentriert sich auf eine bestimmte Person oder eine kleine Gruppe ab und personalisiert die Nachricht mithilfe bekannter Informationen, z. B. beruflicher Positionen, Beziehungen oder kürzlicher Aktivitäten. Da die Nachricht relevanter und vertrauenswürdiger erscheint, haben Spear-Phishing-Angriffe eine höhere Erfolgswahrscheinlichkeit und können zu einer Kontoübernahme, zu Identitätsdiebstahl oder gezieltem Finanzbetrug führen.
  
• Whaling: Eine hochgradig zielgerichtete, gegen hochrangige Personen gerichtete Form des Spear-Phishings, betroffen sind beispielsweise Führungskräfte oder leitende Entscheidungsträger. Whaling-Angriffe sind darauf ausgelegt, Autorität oder Zugriffsmöglichkeiten auszunutzen; häufig wird versucht, umfangreiche finanzielle Transaktionen auszulösen, sensible Unternehmensdaten offenzulegen oder in kritische Systeme einzudringen.

Allen drei Varianten ist also die Absicht gemeinsam, jemanden zur Gewährung von Zugriff oder zur Preisgabe vertraulicher Informationen zu verleiten; durch den unterschiedlichen Grad der Zielgenauigkeit gibt es jedoch Unterschiede sowohl dabei, wie schwer der Betrug zu erkennen ist, als auch dabei, wie schwerwiegend der Schaden sein kann.

Spear-Phishing-Beispiele aus der Praxis

Hier beschrieben wir einige Beispiele aus der Praxis, die zeigen, wie Spear-Phisher sich mithilfe gezielter Kommunikation Zugriff auf Systeme verschafft, Geld gestohlen und sensible Daten gefährdet haben.

Gegen das Kundensupport-Team gerichtete Phishing-Kampagne

Bei einem 2025 aufgedeckten Angriff schickten Spear-Phisher eine gefälschte E-Mail im Zusammenhang mit einer Bank an die E-Mail-Adresse des Support-Teams eines Fertigungsunternehmens. Die Nachricht schien eine legitime Zahlungsaufforderung zu sein, die als ZIP-Datei in der E-Mail enthalten war.

Als der Empfänger den Anhang öffnete, wurde Spyware auf seinem Gerät installiert. Diese Malware zeichnete im Verborgenen Tastatureingaben auf und sammelte gespeicherte Passwörter sowie andere sensible Daten, um sie an den Angreifer zurückzusenden (in der Fachsprache der Cybersicherheit: zu "exfiltrieren").

Remote-Zugriff-Trojaner nehmen Kriegsbemühungen der Ukraine ins Visier

In dieser Spear-Phishing-Kampagne, die den Namen PhantomCaptcha trägt, hatten es Angreifer auf Hilfsorganisationen und ukrainische Regionalbehörden abgesehen, die an Kriegshilfemaßnahmen beteiligt sind. Dies war eine mehrstufige Spear-Phishing-Kette, deren Planung angeblich sechs Monate in Anspruch genommen hat.

Hier ist ein Überblick darüber, wie der PhantomCaptcha-Spear-Phishing-Angriff ablief:

1. Erster Köder: Die Zielpersonen erhielten eine infizierte PDF-Datei, die so gestaltet war, dass sie wie eine legitime Behördenmitteilung aussah.
2. Phishing über gefälschte CAPTCHAs: Die PDF leitete die Empfänger auf eine gefälschte CAPTCHA-Seite weiter, die sie anwies, auf "Ich bin kein Roboter." zu klicken.
3. Malware-Installation: Das "Klicken" veranlasste die Ausführung eines versteckten PowerShell-Befehls, der Malware auf dem Gerät installierte.
4. Angreifer erlangten Remote-Zugriff: Mithilfe eines Remote-Access-Trojaners (RAT) konnten die Angreifer Aktivitäten überwachen, Daten stehlen und Befehle aus der Ferne ausführen.

Obwohl die Phishing-E-Mails innerhalb eines kurzen Zeitfensters zugestellt wurden, verursachte die dadurch installierte Malware langfristige Sicherheitsrisiken. Sobald der Remote-Zugriff-Trojaner installiert war, konnten die Angreifer dauerhaften Zugriff aufrechterhalten, Befehle aus der Ferne ausführen und im Laufe der Zeit Daten exfiltrieren, was potenziell Folgeangriffe weit über die ursprüngliche Spear-Phishing-Kampagne hinaus ermöglichte.

Verdächtige Besprechungseinladung an Studenten in Edinburgh

Bei einem weiteren Vorfall Anfang 2025 identifizierten Mitarbeiter der für Bildung zuständigen Abteilung des Edinburgh Council (der Stadtverwaltung von Edinburgh) in Schottland Spear-Phishing-E-Mails mit verdächtigen Besprechungseinladungen, die an Schüler und Eltern gesendet wurden. Die Behörde handelte schnell und setzte als Vorsichtsmaßnahme alle Passwörter der Schüler und Studenten zurück. Dies sperrte jedoch leider Schüler und Studenten während der Prüfungszeit von wichtigen Online-Lerntools aus.

In diesem Fall wurden zwar keine Daten geleakt, dennoch zeigt der Vorfall, wie eine einzige, glaubwürdige Nachricht Störungen im praktischen Leben verursachen kann, selbst wenn sie schnell erkannt wird.

Tipps zum Schutz vor Spear-Phishing-Angriffen

Spear-Phishing ist darauf ausgelegt, persönlich und glaubwürdig zu wirken. Ihre beste Verteidigung besteht daher darin, innezuhalten und genauer hinzusehen, bevor Sie klicken, öffnen oder antworten. Machen Sie sich die folgenden Gewohnheiten zu eigen, um das Risiko zu verringern, einem Spear-Phishing-Angriff zum Opfer zu fallen:

• Seien Sie bezüglich möglicher Phishing-Versuche wachsam: Achten Sie auf häufige Warnsignale, wie unerwartete Dringlichkeit, Druck, normale Prozesse zu umgehen, ungewöhnliche Forderungen nach Geld oder vertraulichen Informationen sowie Nachrichten, die nicht dem typischen Ton des Absenders entsprechen.
• Prüfen Sie Absenderdetails: Angreifer können Anzeigenamen fälschen und dabei E-Mail-Adressen verwenden, die den echten ähnlich sehen. Erweitern Sie die Absenderinformationen in einer E-Mail und achten Sie auf Rechtschreibfehler, zusätzliche Zeichen oder vertauschte Buchstaben und Zahlen.
• Überprüfen Sie Links vor dem Klicken: Fahren Sie mit der Maus über den Link, um das Ziel in der Vorschau anzuzeigen, und achten Sie auf seltsame Domänen oder zusätzliche Wörter (und klicken Sie dabei vorsichtshalber nicht darauf!). Wenn Sie auf ein Konto zugreifen müssen, geben Sie die Website in Ihren Browser ein oder verwenden Sie ein gespeichertes Lesezeichen anstatt auf einen Link zu klicken.
• Überprüfen Sie ungewöhnliche Anfragen über einen anderen Kanal: Wenn ein Absender nach vertraulichen Informationen, Geschenkkarten, Überweisungen oder Anmeldedaten fragt, überprüfen Sie dies, indem Sie eine bekannte Nummer anrufen oder die Person über eine separate, vertrauenswürdige Methode kontaktieren.
• Behandeln Sie Anhänge grundsätzlich als potenziell unsicher: Öffnen Sie keine unerwarteten Anhänge, insbesondere wenn diese dringend oder vage formuliert sind, da dies einen Malware-Download auslösen könnte.
• Reduzieren Sie Ihre Präsenz auf Datenbroker-Websites: Datenbroker sammeln und verkaufen personenbezogene Daten, die Angreifer nutzen können, um Spear-Phishing-Nachrichten zu personalisieren. Datenschutz-Tools wie die in Norton 360 Deluxe enthaltenen können Ihnen helfen, sich nach Möglichkeit abzumelden und so die Menge der preisgegebenen Informationen zu begrenzen.
• Nutzen Sie einen stärkeren Kontoschutz: Verwenden Sie eindeutige, sicherere Passwörter und einen Passwort-Manager. Aktivieren Sie für wichtige Konten, insbesondere für E-Mail-, Banking- und Arbeitsplatz-Logins die Zwei-Faktor-Authentifizierung oder eine auf einer Authentifizierungs-App basierende Verifizierung.
• Halten Sie Ihre Software auf dem neuesten Stand: Software-Updates beheben häufig Sicherheitslücken, die Angreifer als Exploit nutzen. Aktivieren Sie automatische Updates aktivieren, wenn möglich.
• Sichern Sie Ihre Dateien regelmäßig: Regelmäßige Backups können Ihnen bei der Wiederherstellung helfen, wenn nach einem Phishing-Angriff Malware oder Ransomware installiert wird, die Ihre Dateien sperrt oder beschädigt. Wenn Sie ein Backup verwenden müssen, stellen Sie sicher, eines zu verwenden, das vor der Installation der Malware auf Ihrem Gerät erstellt wurde.

Was Sie tun sollten, wenn Sie auf einen Spear-Phishing-Link geklickt haben

Wenn Sie auf einen verdächtigen Link geklickt, einen Anhang geöffnet oder Informationen eingegeben haben, handeln Sie schnell, um den Schaden zu begrenzen und Ihre Konten zu sichern. Befolgen Sie diese Tipps so schnell wie möglich, um den Schaden zu begrenzen:

• Trennen Sie die Verbindung zum Internet: Schalten Sie das WLAN aus bzw. deaktivieren Sie die Mobildaten, um die Wahrscheinlichkeit zu verringern, dass Schadsoftware nach außen kommuniziert.
• Führen Sie einen Anti-Malware-Scan durch: Verwenden Sie ein vertrauenswürdiges Malware-Scanner-Tool, um nach Schadsoftware, Spyware oder Remote-Zugriffs-Tools zu suchen, und befolgen Sie die empfohlenen Schritte zur Problembehebung.
• Ändern Sie Ihre Passwörter: Ändern Sie das Passwort Ihres E-Mail-Kontos und gehen Sie dann zu Banking- und anderen wichtigen Konten über. Verwenden Sie einzigartige, starke Passwörter und loggen Sie sich aus anderen Sitzungen aus.
• Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA): Aktivieren Sie die Zwei-Faktor-Authentifizierung sofort (vorzugsweise mit einer Authentifizierungs-App oder einem Sicherheitsschlüssel), um das Risiko einer Kontoübernahme zu verringern, falls Anmeldedaten abgefangen wurden.
• Halten Sie nach verdächtigen Aktivitäten Ausschau: Achten Sie auf unbekannte Anmeldungen, Passwort-Reset-E-Mails, die Sie nicht angefordert haben, neue Weiterleitungsregeln in Ihrer E-Mail sowie nicht autorisierte Transaktionen. Überwachen Sie dies mehrere Wochen lang weiterhin.
• Melden Sie die Nachricht: Melden Sie das Spear-Phishing Ihrem E-Mail-Anbieter oder dem IT-/Sicherheitsteam Ihres Unternehmens. Wenn die Nachricht ein Unternehmen imitiert, melden Sie sie auch dieser Organisation.
• Achten Sie auf Anzeichen für Identitätsdiebstahl: Wenn Sie persönliche Daten weitergegeben haben, überwachen Sie Kontoauszüge und Kreditauskünfte auf unerwartete Aktivitäten. Erwägen Sie, eine Betrugswarnung oder Kreditsperre einzurichten, wenn Ihre Sozialversicherungsnummer offengelegt wurde.

Schützen Sie sich vor Spear-Phishing

Spear-Phishing funktioniert, weil Angriffe legitim erscheinen und zum richtigen Zeitpunkt eintreffen; dadurch sind sie schwer zu erkennen, selbst wenn Sie wissen, worauf Sie achten müssen. Dedizierte Cybersicherheits-Software kann Ihnen helfen, schädliche Links, gefälschte Websites und Spyware zu erkennen, wenn Ihre Wachsamkeit nachlässt.

Norton 360 Deluxe bietet einen robusten KI-gestützten Schutz vor Betrug, der dabei hilft, betrügerische Websites zu blockieren, Downloads und Anhänge auf Malware zu scannen und Apps auf verdächtiges Verhalten zu überwachen, das auf Spyware hinweisen könnte. Die Lösung umfasst außerdem einen Passwort-Manager, Antivirus, VPN und Datenschutz-Überwachungsfunktionen, die Ihnen helfen, Ihre personenbezogenen Daten von Datenbroker-Websites zu entfernen.

Häufig gestellte Fragen

Wie nutzen Cyberkriminelle künstliche Intelligenz beim Spear-Phishing?

Cyberkriminelle können jetzt mithilfe von KI-Tools hochgradig personalisierte Spear-Phishing-Angriffe automatisieren. Und anstatt sie manuell für einige wenige spezifische Ziele zu erstellen, können Angreifer mithilfe künstlicher Intelligenz personalisierte E-Mails für Tausende von Personen erstellen. Durch die Analyse öffentlich zugänglicher Informationen, Schreibmuster und des Online-Verhaltens kann künstliche Intelligenz dabei helfen, personalisierte E-Mails, Nachrichten und gefälschte Websites zu generieren, die natürlicher und überzeugender klingen. Spear-Phishing-Angriffe sind dadurch noch schwerer zu erkennen und leichter zu automatisieren.

Ist Klon-Phishing dasselbe wie Spear-Phishing?

Nein. Spear-Phishing zielt auf eine bestimmte Person ab und verwendet personalisierte Details, um eine Nachricht legitim erscheinen zu lassen. Beim Klon-Phishing handelt es sich hingegen um eine Form von Spear-Phishing, bei der eine echte, zuvor empfangene Nachricht kopiert und erneut versendet wird, wobei der ursprüngliche Link oder Anhang durch einen schädlichen Link oder Anhang ersetzt wird.