Die meisten Cyberschadenfälle im Jahr 2022, nämlich 31 Prozent, entstanden durch sogenannte Spear-Phishing-Angriffe. Das meldet der Cyberversicherer Hiscox in Hinblick auf die ihm im vergangenen Jahr gemeldeten Schäden.

Doch zunächst zum Namen: Spear heißt auf deutsch Speer und steht für sehr zielgerichtete Angriffe (wie ein Speerstoß). Damit unterscheidet sich Spear-Phishing vom klassischen Phishing, bei dem Tausende Empfänger dieselbe mit gefährlichen Links oder Anhängen präparierten Nachrichten erhalten.

Beim Spear-Angriff spionieren die Täter ihre Opfer zunächst aus. Ziele können bestimmte Gruppen, Empfänger oder Unternehmen sein. Erst dann schicken sie ihnen persönlich zugeschnittene E-Mails von scheinbar sicheren Quellen. Über in den Nachrichten enthaltene Links sollen die Opfer auf gefälschte Internetseiten gelangen, wo sie sich mit Schadsoftware infizieren sollen.

„Damit unterscheidet sich Spear-Phishing durch die zielgerichtete Ausführung von einer allgemeinen Phishing-Mail. Im wörtlichen Sinne wird hier also sehr gezielt mit dem ‚Speer‘ angegriffen statt großflächig mit dem ‚Schleppnetz‘, wie es für Phishing allgemein üblich ist“, sagt Gisa Kimmerle, Cyber-Chefin bei Hiscox Deutschland. „Spear-Phishing wird leider oft unterschätzt.“

Ebenfalls erfolgreich verlaufen auch Angriffe über manipulierte Zugangsdaten (28 Prozent aller Schäden) und sogenanntes Social Engineering (22 Prozent). Letzteres gelingt, indem Angreifer hilfsbereite oder gutgläubige Menschen ausnutzen, um Sicherheitsvorkehrungen zu umgehen oder heikle Information abzugreifen. Das läuft gern mal klassisch per Telefon und vor allem: Emotion.