Cybersecurity-Lexikon: wichtige Begriffe erklärt

Phishing, Vishing, Quishing, CEO Fraud… Man hört ständig neue Begriffe rund um Cyberangriffe.

Was steckt eigentlich dahinter? Und worin unterscheiden sie sich?

Genau hier liegt das Problem:
Viele Angriffe funktionieren nicht, weil sie technisch so ausgeklügelt sind – sondern weil sie nicht erkannt werden.  Wer die Begriffe kennt, versteht die Muster dahinter. Und wer die Muster versteht, kann Angriffe frühzeitig erkennen und vermeiden.

Anders gesagt: Schon ein grundlegendes Verständnis dieser Begriffe macht Sie ein Stück sicherer.

In diesem Beitrag finden Sie die wichtigsten Cybersecurity-Begriffe einfach erklärt – mit Beispielen aus dem Alltag und konkreten Tipps, was Sie im Ernstfall tun sollten.

1. Phishing

Phishing ist der Versuch, über gefälschte Nachrichten (z. B. E-Mails) an sensible Daten wie Passwörter oder Kreditkarteninformationen zu kommen.

Beispiel:
„Ihr Konto wurde gesperrt – bitte hier einloggen“

Typische Merkmale:

• Dringlichkeit („sofort handeln!“)
• Fake-Links zu täuschend echten Webseiten
• Allgemeine Anrede („Sehr geehrter Kunde“)

Was tun?

• Links nicht anklicken
• Absender genau prüfen
• Im Zweifel direkt beim Anbieter nachfragen

2. Spear-Phishing

Eine gezielte Form von Phishing, die sich an eine bestimmte Person oder Firma richtet.

Beispiel:
Eine E-Mail „vom Kollegen“ mit Bezug auf ein "echtes" Projekt ("im Anhang die besprochene Excel-Datei")

Warum gefährlich?

• Stark personalisiert
• Nutzt echte Informationen (z. B. aus LinkedIn)

Was tun?

• Ungewöhnliche Anfragen immer verifizieren (z. B. per Telefon)
• Sensible Daten nie per Mail teilen
• E-Mail überprüfen – wird nur der Name des Kollegen in einer beispielsweise Gmail-Adresse verwendet, oder ist es wirklich die Firmen-Mail

3. CEO-Fraud

Angreifer geben sich als Geschäftsführer oder Führungskraft aus, um Geld oder Daten zu erlangen.

Beispiel:
„Überweisen Sie bitte sofort 25.000 € an unsere Partnerfirma – ist vertraulich.“

Typische Tricks:

• Hoher Zeitdruck
• Autorität („vom Chef persönlich“)
• Geheimhaltung

Was tun?

• Zahlungsanweisungen IMMER gegenchecken
• 4-Augen-Prinzip einführen
• Prozesse fest definieren

4. Whaling

Spezielle Form von Spear Phishing, die gezielt Top-Management (C-Level) angreift.

Beispiel:
Angriff auf CFO mit gefälschter Übernahme-Anweisung

Was tun?

• Führungskräfte besonders schulen
• Sensible Prozesse absichern

5. Smishing

Phishing per SMS

Beispiel:
„Ihr Paket konnte nicht zugestellt werden – klicken Sie hier“

Was tun?

• Keine Links aus SMS öffnen
• Tracking direkt beim Anbieter prüfen

6. Vishing

Phishing per Telefon (Voice)

Beispiel:
„Hier ist der IT-Support, wir brauchen Ihr Passwort“

Was tun?

• Niemals Passwörter am Telefon nennen
• Rückruf über offizielle Nummer

7. Quishing

Phishing über QR-Codes (QR + Phishing)

Beispiel:
QR-Code auf Parkplatz → führt zu Fake-Zahlungsseite

Warum gefährlich?

• Zieladresse ist nicht sichtbar
• Besonders häufig im Alltag (Plakate, Parkautomaten)

Was tun?

• QR-Codes kritisch prüfen
• URL nach dem Scannen genau anschauen

8. Spoofing

Fälschen von Identitäten (z. B. E-Mail-Adresse)

Beispiel:
E-Mail sieht aus wie von „paypal.com“, ist es aber nicht

Was tun?

• Domain genau prüfen
• Auf kleine Schreibfehler achten

9. Social Engineering

Manipulation von Menschen, um an Informationen zu kommen

Beispiel:
„Ich bin neu in der IT – kannst du mir kurz Zugriff geben?“

Kernproblem:
Der Mensch ist oft das schwächste Glied

Was tun?

• Sensibilisierung im Team
• Klare Prozesse statt „Gefälligkeiten“

10. Man-in-the-Middle (MitM)

Ein Angreifer klinkt sich zwischen zwei Kommunikationspartner ein und liest oder manipuliert Daten.

Beispiel:
Öffentliches WLAN im Café → Login-Daten werden abgefangen

Was tun?

• Kein Login in offenen WLAN-Netzwerken
• VPN oder noch besser ZTNA (Zero Trust Network Access) nutzen

11. Credential Stuffing

Gestohlene Zugangsdaten werden automatisiert auf anderen Plattformen ausprobiert.

Warum funktioniert das?
Viele nutzen dasselbe Passwort mehrfach

Was tun?

• Für jeden Dienst ein eigenes starkes Passwort verwenden
• Passwortmanager nutzen

12. Brute-Force-Angriff

Automatisiertes Durchprobieren von Passwörtern

Beispiel:
Millionen Login-Versuche pro Minute

Was tun?

• Starke Passwörter, die im Passwortmanager gespeichert werden
• MFA/2FA aktivieren
• Login-Limits setzen

13. Zero-Day-Exploit

Angriff auf eine Sicherheitslücke, die noch nicht bekannt oder gepatcht ist

Warum kritisch?

• (noch) kein Schutz verfügbar

Was tun?

• Updates sofort installieren
• Systeme kontinuierlich überwachen

14. Insider Threat

Gefahr durch eigene Mitarbeiter (absichtlich oder unabsichtlich)

Beispiel:

• Daten werden falsch geteilt
• USB-Stick verloren

Was tun?

• Zugriffsrechte definieren/minimieren – nicht jedes Teammitglied brauch Zugang zu allen Diensten
• Awareness-Schulungen

15. Schatten-IT

Tools oder Software, die ohne Freigabe der IT genutzt werden

Beispiel:
Mitarbeiter nutzt eine private Cloud oder lädt interne Dokumente bei privat genutzten KI-Tools hoch

Risiko:
Keine Kontrolle über Daten

Was tun?

• Klare Richtlinien
• Alternativen anbieten

Fazit

Die Realität ist: Es kommen ständig neue Angriffsmethoden dazu, weil sich Technologien weiterentwickeln und Angreifer immer kreativer werden. Trotzdem folgen viele dieser Angriffe denselben Mustern – sie setzen auf Vertrauen, Zeitdruck oder Unwissen. Genau deshalb ist es so wichtig, die Begriffe dahinter zu kennen. Wer versteht, was sich hinter diesen Methoden verbirgt, erkennt schneller, wenn etwas nicht stimmt, und kann im entscheidenden Moment richtig reagieren. Es geht also nicht darum, jeden einzelnen Begriff auswendig zu lernen, sondern ein grundlegendes Verständnis für typische Angriffsmethoden zu entwickeln. Denn am Ende gilt: Technik kann viel abfangen – aber Aufmerksamkeit und Wissen sind oft der entscheidende Unterschied.

Mit unserem Security-Awareness-Training unterstützen wir Sie und Ihr Team dabei, dieses Wissen kontinuierlich im Unternehmen aufzubauen und aktuell zu halten.