Cybersecurity-Lexikon: wichtige Begriffe erklärt
By
Phishing, Vishing, Quishing, CEO Fraud… Man hört ständig neue Begriffe rund um Cyberangriffe.
Was steckt eigentlich dahinter? Und worin unterscheiden sie sich?
Genau hier liegt das Problem:
Viele Angriffe funktionieren nicht, weil sie technisch so ausgeklügelt sind – sondern weil sie nicht erkannt werden. Wer die Begriffe kennt, versteht die Muster dahinter. Und wer die Muster versteht, kann Angriffe frühzeitig erkennen und vermeiden.
Anders gesagt: Schon ein grundlegendes Verständnis dieser Begriffe macht Sie ein Stück sicherer.
In diesem Beitrag finden Sie die wichtigsten Cybersecurity-Begriffe einfach erklärt – mit Beispielen aus dem Alltag und konkreten Tipps, was Sie im Ernstfall tun sollten.
1. Phishing
Phishing ist der Versuch, über gefälschte Nachrichten (z. B. E-Mails) an sensible Daten wie Passwörter oder Kreditkarteninformationen zu kommen.
Beispiel:
„Ihr Konto wurde gesperrt – bitte hier einloggen“
Typische Merkmale:
- Dringlichkeit („sofort handeln!“)
- Fake-Links zu täuschend echten Webseiten
- Allgemeine Anrede („Sehr geehrter Kunde“)
Was tun?
- Links nicht anklicken
- Absender genau prüfen
- Im Zweifel direkt beim Anbieter nachfragen
2. Spear-Phishing
Eine gezielte Form von Phishing, die sich an eine bestimmte Person oder Firma richtet.
Beispiel:
Eine E-Mail „vom Kollegen“ mit Bezug auf ein "echtes" Projekt ("im Anhang die besprochene Excel-Datei")
Warum gefährlich?
- Stark personalisiert
- Nutzt echte Informationen (z. B. aus LinkedIn)
Was tun?
- Ungewöhnliche Anfragen immer verifizieren (z. B. per Telefon)
- Sensible Daten nie per Mail teilen
- E-Mail überprüfen – wird nur der Name des Kollegen in einer beispielsweise Gmail-Adresse verwendet, oder ist es wirklich die Firmen-Mail
3. CEO-Fraud
Angreifer geben sich als Geschäftsführer oder Führungskraft aus, um Geld oder Daten zu erlangen.
Beispiel:
„Überweisen Sie bitte sofort 25.000 € an unsere Partnerfirma – ist vertraulich.“
Typische Tricks:
- Hoher Zeitdruck
- Autorität („vom Chef persönlich“)
- Geheimhaltung
Was tun?
- Zahlungsanweisungen IMMER gegenchecken
- 4-Augen-Prinzip einführen
- Prozesse fest definieren
4. Whaling
Spezielle Form von Spear Phishing, die gezielt Top-Management (C-Level) angreift.
Beispiel:
Angriff auf CFO mit gefälschter Übernahme-Anweisung
Was tun?
- Führungskräfte besonders schulen
- Sensible Prozesse absichern
5. Smishing
Phishing per SMS
Beispiel:
„Ihr Paket konnte nicht zugestellt werden – klicken Sie hier“
Was tun?
- Keine Links aus SMS öffnen
- Tracking direkt beim Anbieter prüfen
6. Vishing
Phishing per Telefon (Voice)
Beispiel:
„Hier ist der IT-Support, wir brauchen Ihr Passwort“
Was tun?
- Niemals Passwörter am Telefon nennen
- Rückruf über offizielle Nummer
7. Quishing
Phishing über QR-Codes (QR + Phishing)
Beispiel:
QR-Code auf Parkplatz → führt zu Fake-Zahlungsseite
Warum gefährlich?
- Zieladresse ist nicht sichtbar
- Besonders häufig im Alltag (Plakate, Parkautomaten)
Was tun?
- QR-Codes kritisch prüfen
- URL nach dem Scannen genau anschauen
8. Spoofing
Fälschen von Identitäten (z. B. E-Mail-Adresse)
Beispiel:
E-Mail sieht aus wie von „paypal.com“, ist es aber nicht
Was tun?
- Domain genau prüfen
- Auf kleine Schreibfehler achten
9. Social Engineering
Manipulation von Menschen, um an Informationen zu kommen
Beispiel:
„Ich bin neu in der IT – kannst du mir kurz Zugriff geben?“
Kernproblem:
Der Mensch ist oft das schwächste Glied
Was tun?
- Sensibilisierung im Team
- Klare Prozesse statt „Gefälligkeiten“
10. Man-in-the-Middle (MitM)
Ein Angreifer klinkt sich zwischen zwei Kommunikationspartner ein und liest oder manipuliert Daten.
Beispiel:
Öffentliches WLAN im Café → Login-Daten werden abgefangen
Was tun?
- Kein Login in offenen WLAN-Netzwerken
- VPN oder noch besser ZTNA (Zero Trust Network Access) nutzen
11. Credential Stuffing
Gestohlene Zugangsdaten werden automatisiert auf anderen Plattformen ausprobiert.
Warum funktioniert das?
Viele nutzen dasselbe Passwort mehrfach
Was tun?
- Für jeden Dienst ein eigenes starkes Passwort verwenden
- Passwortmanager nutzen
12. Brute-Force-Angriff
Automatisiertes Durchprobieren von Passwörtern
Beispiel:
Millionen Login-Versuche pro Minute
Was tun?
- Starke Passwörter, die im Passwortmanager gespeichert werden
- MFA/2FA aktivieren
- Login-Limits setzen
13. Zero-Day-Exploit
Angriff auf eine Sicherheitslücke, die noch nicht bekannt oder gepatcht ist
Warum kritisch?
- (noch) kein Schutz verfügbar
Was tun?
- Updates sofort installieren
- Systeme kontinuierlich überwachen
14. Insider Threat
Gefahr durch eigene Mitarbeiter (absichtlich oder unabsichtlich)
Beispiel:
- Daten werden falsch geteilt
- USB-Stick verloren
Was tun?
- Zugriffsrechte definieren/minimieren – nicht jedes Teammitglied brauch Zugang zu allen Diensten
- Awareness-Schulungen
15. Schatten-IT
Tools oder Software, die ohne Freigabe der IT genutzt werden
Beispiel:
Mitarbeiter nutzt eine private Cloud oder lädt interne Dokumente bei privat genutzten KI-Tools hoch
Risiko:
Keine Kontrolle über Daten
Was tun?
- Klare Richtlinien
- Alternativen anbieten
Fazit
Die Realität ist: Es kommen ständig neue Angriffsmethoden dazu, weil sich Technologien weiterentwickeln und Angreifer immer kreativer werden. Trotzdem folgen viele dieser Angriffe denselben Mustern – sie setzen auf Vertrauen, Zeitdruck oder Unwissen. Genau deshalb ist es so wichtig, die Begriffe dahinter zu kennen. Wer versteht, was sich hinter diesen Methoden verbirgt, erkennt schneller, wenn etwas nicht stimmt, und kann im entscheidenden Moment richtig reagieren. Es geht also nicht darum, jeden einzelnen Begriff auswendig zu lernen, sondern ein grundlegendes Verständnis für typische Angriffsmethoden zu entwickeln. Denn am Ende gilt: Technik kann viel abfangen – aber Aufmerksamkeit und Wissen sind oft der entscheidende Unterschied.
Mit unserem Security-Awareness-Training unterstützen wir Sie und Ihr Team dabei, dieses Wissen kontinuierlich im Unternehmen aufzubauen und aktuell zu halten.
