Frau schaut besorgt auf ihren Laptop

Cyber Security Awareness

Was sind die Unterschiede zwischen Spear Phishing und Phishing?

9 September 2022 · 9 Min

Cyberkriminelle sind längst auf professionellem Level tätig: Cybercrime-as-a-Service ist zum gängigen Geschäftsmodell geworden. Ein wichtiges Werkzeug der Angreifenden sind dabei weiterhin Spear-Phishing-Angriffe, die sowohl Individuen als auch ganzen Organisationen Schaden zufügen können. Aber welche Arten solcher Angriffe gibt es überhaupt? Und worin unterscheidet sich Phishing von Spear Phishing? Dieser Artikel soll sich genau darum drehen. 

Phishing in der aktuellen Cyberbedrohungslage

Cyberkriminalität hat im Jahr 2022 einen neuen Höhepunkt erreicht. Durch weltweite Kriege und Krisen, die anhaltende Corona-Pandemie sowie eine stark zunehmende Professionalisierung seitens der Kriminellen sind Angriffe auf die digitale Sicherheit massiv angestiegen. Unternehmen weltweit sehen sich nun einer innovativen Dark Economy gegenübergestellt, die ihre Taktiken im Minutentakt weiterentwickelt. Anlassbezogene Phishing-Wellen, Supply-Chain- und Ransomware-Angriffe oder Deepfakes sind nur einige der Gefahren, die Organisationen derzeit bedrohen.  

Bis heute startet der Großteil der Cyberangriffe, über 82 Prozent, beim Faktor Mensch – meist mit einer Phishing-Mail. Jüngste Studien belegen, dass die Zahl der Phishing-Angriffe während der COVID-19-Pandemie um 220 Prozent im Vergleich zum jährlichen Durchschnittswert gestiegen ist – ein alarmierend hoher Wert. Der Umstieg auf hybride Arbeitsmodelle hat den Anstieg der Cyberkriminalität in den letzten Jahren zusätzlich begünstigt. Cyberangriffe wie Phishing und Spear Phishing sind oft erfolgreicher, weil die arbeitsbedingten und strukturellen Umstellungen einerseits Mitarbeitende verunsichern und so gleichzeitig Sicherheitsverantwortliche stärker beanspruchen. Es ist schwieriger für sie, den Anforderungen an die Informationssicherheit auf allen Ebenen gerecht zu werden.  

Beim “Social Engineering”, auf dem sowohl Phishing als auch Spear Phishing basieren, nutzen die Cyberkriminellen genau diesen Umstand für ihre Zwecke aus. Das Ziel dieser Taktik ist, Menschen durch emotionale Manipulation dazu zu bringen, beispielsweise vertrauliche Informationen (Passwörter, Kontodaten, etc.) zu offenbaren, Sicherheitsfunktionen zu umgehen oder Finanztransaktionen durchzuführen. Gerade in unsicheren Zeiten und Zeiten des Wandels hat sich diese Taktik als sehr erfolgreich erwiesen. Deshalb greifen viele Cyberkriminelle heute auf sie zurück.  

Lassen Sie uns einen genaueren Blick auf Phishing werfen – und wie es sich von noch gefährlicheren Taktiken wie Spear Phishing unterscheidet. 

Was ist Phishing?

Das heute bekannte Phishing ist eine Form von Betrug auf digitalem Weg, mit dem Cyberkriminelle versuchen, Schaden zu verursachen. Die Motivation hinter dieser Praxis ist entweder Geld zu erbeuten oder an private Daten zu gelangen. Dies geschieht durch eine Kontaktaufnahme per Nachricht, oft in Form einer Phishing-E-Mail. Im Gegensatz zu Spam-Mails sind Phishing-Mails nicht nur lästig, sondern sogar gefährlich: Sie beinhalten oft schadhafte Anhänge oder sollen Empfängerinnen und Empfänger dazu bewegen, auf einen beigefügten Link zu klicken oder einen mitgeschickten Anhang herunterzuladen. Die URL führt dann beispielsweise zu einem Formular, in welches die Empfängerinnen und Empfänger gebeten werden, persönliche Informationen wie Kontodaten einzugeben. Öffnet die Person den Anhang einer solchen E-Mail, wird Schadsoftware auf dem Computer installiert. Das sind allerdings nur zwei von zahlreichen Phishing-Varianten. In unserem Blogpost zum Thema Spam vs. Phishing finden Sie noch mehr Infos zum Vorgehen der Cyberkriminellen. 

Infobox zur Herkunft des Begriffes 'Phishing'

Phishing-Mails werden in großem Stil an mehrere Empfängerinnen und Empfänger gleichzeitig versendet. Dass ein nicht unerheblicher Teil davon nicht erfolgreich ist, nehmen die Cyberkriminellen billigend in Kauf. Vergleichsweise gering ist deshalb auch der Aufwand, mit dem diese Mails erstellt werden. Die Vorgehensweise kann passenderweise mit dem Auswerfen eines Netzes beim Fischen verglichen werden: Ein paar Fische verhaken sich im Netz, ein deutlich größerer Teil bleibt aber von dieser Praktik unberührt. Diese Form des Cyberangriffs steht im Kontrast zu einer deutlich aufwändigeren und mühevollen Praktik, dem so genannten Spear Phishing.  

Screenshot einer Phishing-Mail

Was ist Spear Phishing?

Im Gegensatz zu dieser breiter aufgestellten Angriffsvariante ist ein Spear-Phishing-Angriff mit deutlich mehr Aufwand verbunden. Getreu dem übersetzten Namen (engl. “spear” = Speer) verbirgt sich hinter dem Begriff ein gezielter Angriff, zu dem eine Menge an Recherche und Vorbereitung gehört. Anders als bei der klassischen Variante des Netz-Auswerfens nehmen die Cyberkriminellen die potenziellen Opfer bereits im Vorfeld genauestens unter die Lupe. Bei der Recherche werden unterschiedliche Vorgehen beobachtet: Natürlich gibt es mittlerweile Algorithmen und Crawler, die die Weiten des Internets nach passenden Informationen abgrasen. Eine vergleichsweise einfache aber höchst effektive Methode für Cyberkriminelle, um vorab an Daten von potenziellen Opfern zu gelangen, ist aber auch weiterhin eine Google-Suche. Soziale Netzwerke und Profile auf Verkaufsseiten geben Aufschluss über das Konsumverhalten, Hobbies, Vorlieben oder generelle Interessen der Person. Das Gefährliche an Spear-Phishing-Angriffen ist, dass sie durch die Menge an persönlichen Anpassungen um ein Vielfaches schwieriger als “gewöhnliche” Phishing-Angriffe zu erkennen sind. 

Stellen Sie sich vor, Sie posten in den Sozialen Medien, dass Sie sich auf ein bevorstehendes Konzert freuen. Das ist ein guter Anhaltspunkt für den Inhalt einer betrügerischen E-Mail, den Cyberkriminelle für ihre Machenschaften nutzen können. Eine E-Mail über Bestätigung der Kontaktdaten der Konzertveranstalter bezüglich der Tickets scheint Ihnen in diesem Fall vielleicht nicht mehr so unplausibel. Auch im Arbeitsalltag sind diese Angriffe keine Seltenheit: So kann ein Hacker feststellen, dass Sie eine Zusammenarbeit mit einer Agentur begonnen haben, nachdem er einen LinkedIn-Post darüber gelesen hat. Er könnte Ihnen dann eine E-Mail mit dem Namen Ihres angeblichen Kundenbetreuers schicken, in der Sie aufgefordert werden, auf einen Link zu klicken – ein unscheinbar wirkender Einstieg mit gravierenden Folgen.  

Screenshot einer Spear-Phishing-Mail

Spear Phishing vs. Whaling

Einige Unterarten des Spear Phishings zielen ganz besonders auf höhere Positionen in Organisationen ab: Beim sogenannten “Whaling” haben die Kriminellen es auf Personen in C-Level-Positionen und andere Führungskräfte abgesehen. Da diese Personen in der Regel Zugriff auf streng vertrauliche Informationen haben, sind sie für Cyberkriminelle ein gefundenes Fressen. Wenn wichtige Entscheidungsträger kompromittiert werden, kann es dazu kommen, dass hohe Geldsummen erbeutet oder geheime, interne Betriebsgeheimnisse veröffentlicht werden – beide Szenarien tragen immensen Schaden nach sich, sowohl finanziell als auch hinsichtlich des Rufes der Unternehmen.  
 
Ein prominentes Beispiel fand im November 2020 statt, als ein Mitbegründer des australischen Hedgefonds Levitas Capital einem gefälschten Zoom-Link folgte, der Malware in seinem Netzwerk installierte. Obwohl die Angreifenden versuchten, mit gefälschten Rechnungen 8,7 Millionen Dollar zu stehlen, konnten sie glücklicherweise “nur” 800.000 Dollar erbeuten. Der Imageschaden war aber so groß, dass Geschäftsbeziehungen mit den größten Kunden beendet wurden und der Hedgefonds schließen musste. 

Cyberangriffe haben also in vielen Fällen schwerwiegende Folgen. Doch wo genau liegen eigentlich die Unterschiede zwischen Spear Phishing und Phishing? 

Was unterscheidet Spear Phishing von Phishing?

Am stärksten unterscheiden sich Spear Phishing und Phishing dadurch, wie viel Aufwand und Vorarbeit die Verfassenden investieren, um die schadhaften Nachrichten zu erstellen. Phishing-Angriffe sind generell mit vergleichsweise geringem Aufwand verbunden. Durch ihre generische Art sind sie leicht anzufertigen und meistens einfach als schadhaft zu erkennen. Im Gegensatz dazu erfordern Spear-Phishing-Angriffe einen deutlich höheren Rechercheaufwand. Cyberkriminelle brauchen dementsprechend länger, um überzeugende Spear-Phishing-Mails anzufertigen.  

Das könnte sich aber schon bald ändern: Laut einer ersten Studie eines Singapurer Forschungsteams wird es bald schon technisch möglich sein, Künstliche Intelligenz (KI) zu missbrauchen, um Spear-Phishing-Mails in massenhaftem Umfang zu verschicken. Im Rahmen der Untersuchung klickten Versuchspersonen häufiger auf KI-basierte Nachrichten als auf ihre menschlich erstellten Gegenstücke. Zukünftig wird es Cyberkriminellen also noch leichter fallen, potenzielle Opfer mit schädlichen Nachrichten anzugreifen. 

Ein ausschlaggebender Punkt, in dem sich Phishing- und Spear-Phishing-Mails voneinander unterscheiden, ist die Anrede: So beinhalten Phishing-Mails oftmals sehr formelle, unpassende Grußformalitäten, die leicht als künstlich erkannt werden. Deshalb verfehlen Cyberkriminelle zum größten Teil mit diesen auch ihr gewünschtes Ziel. Spear-Phishing-Mails erwecken dagegen durch ihre vertraute und persönliche Anrede den Eindruck, als würde sich tatsächlich eine bekannte Person an die Empfängerin oder den Empfänger wenden.  

Vor allem in Bezug auf ihre Zielgruppe unterscheidet sich Spear Phishing von Phishing sehr: Phishing-Mails werden zufällig an hunderte oder gar tausende von Nutzenden geschickt. Hierbei rechnen die Verfassenden bereits damit, dass der Großteil der Nachrichten als Fälschung entlarvt wird. Spear-Phishing-Mails sind hingegen speziell angefertigt und werden gezielt an einzelne Nutzende verschickt. Der Unterschied zu einer echten Kontaktaufnahme ist kaum zu erkennen – Im besten Fall interagieren die Empfängerinnen und Empfänger also mit der eingehenden Nachricht. Max Tjong-Ayong, Team Lead Social Engineering bei SoSafe, erklärt die zusätzliche Gefahr von Spear-Phishing-Taktiken:  

“Zunächst einmal müssen wir verstehen, dass sich die Ziele von Spear-Phishing-Angriffen in der Regel von denen eines breit angelegten Massen-Mail-Phishing-Ansatzes unterscheiden. Spear Phishing zielt in erster Linie auf die beabsichtigten Opfer ab und sieht dabei sehr authentisch aus. Wenn der Angreifer genügend Zeit und Vorbereitung hat, kann es sehr schwer sein, einen ausgeklügelten Spear-Phishing-Angriff zu erkennen.”  

Max Tjong-Ayong, Team Lead Social Engineering bei SoSafe

Als Zusammenfassung finden Sie im Folgenden die wichtigsten Punkte, die Spear Phishing und Phishing voneinander unterscheiden, in einer Tabelle gegenübergestellt:

Spear Phishing Phishing 
Empfängerin/EmpfängerEinzelne Personen & Personengruppen Hunderte oder gar tausende 
Versandart gezielt zufällig
Aufwand hochgering
Anrede persönlich/vertraut unpersönlich/formell 

So erkennen Sie Phishing-Angriffe

Beim Umgang mit potenziellen Angriffen ist ein wachsames Auge gefragt. Da Phishing-E-Mails oft von unbekannten Absendenden stammen oder abstruse Forderungen stellen und unwahrscheinliche, unrealistische Inhalte enthalten, sind sie meist einfach als schadhafte Inhalte zu erkennen. Um Cyber- Security- Bedrohungen zu identifizieren, sollten Sie die folgenden Punkte unbedingt beachten: 

  1. E-Mail-Adresse untersuchen: Gibt es grammatikalische Fehler oder Unregelmäßigkeiten? 
  1. Grußformalitäten: Kommt Ihnen die Begrüßung/Verabschiedung in der Mail künstlich oder ungewohnt vor? 
  1. Vertrautheit: Gibt der oder die Absender/in vor, Sie zu kennen, und bezieht sich auf eine Ihnen bekannte Angelegenheit? 
  1. Zeitdruck: Wird in der E-Mail Druck aufgebaut, weil Sie gebeten werden, etwas so schnell wie möglich zu erledigen? 
  1. Hyperlink untersuchen: Stimmt der angezeigte Link mit der tatsächlichen URL, die hinter dem Link steckt, überein? 

Tatsächlich gibt es eine ganze Reihe an Hinweisen, die darauf hindeuten, dass es sich bei einer empfangenen E-Mail um einen Spear-Phishing- oder Phishing-Angriff handeln könnte. Detailliertere Informationen finden Sie auch in unserem Blogpost zum Thema “Was tun bei einem Phishing-Angriff?” 

Awareness schaffen: Vorsicht statt Nachsicht

Die aufgeführten Beispiele zeigen, dass Cyberkriminalität in Form von Phishing-Angriffen eine ernstzunehmende Gefahr ist, vor der keine Organisation gänzlich sicher sein kann. Wie also sollten Sie mit Cyber-Security- Bedrohungen umgehen? Im Gegensatz zur komplexen Bedrohungslage ist die Antwort auf diese Frage recht simpel: Cyber Security Awareness Training.  

In 9 von 10 Fällen beginnen Phishing-Angriffe mit dem Faktor Mensch. Deshalb ist es wichtig, dass Unternehmen ihre Mitarbeitenden für die Gefahren sensibilisieren und sie für den Ernstfall vorbereiten. Ein bewährtes Mittel, um sich vor Cyberbedrohungen zu schützen, sind Phishing-Simulationen, da sie nachweislich Awareness schaffen und Mitarbeitende realitätsnah für den Umgang mit Gefahren schulen. 
 
Sind Sie für die Informationssicherheit in Ihrer Organisation verantwortlich und möchten herausfinden, wie Phishing-Simulationen Sie dabei unterstützen können, Mitarbeitende als aktive Abwehrlinie einzusetzen? Oder arbeiten Sie selbst in einem Unternehmen und möchten herausfinden, wie es um Ihre Cyber Security Awareness steht? Starten Sie jetzt eine Demo der SoSafe Phishing-Simulation und stellen Sie Ihre Awareness mit Hilfe von personalisierten Phishing-Templates auf die Probe. Machen Sie so einen wichtigen Schritt hin zur Stärkung Ihrer Sicherheitskultur!

Subscribe to get our best content in your inbox