reteach - Einfach ditial schulen
Produkte

reteach LMS

reteach Kurse

reteach Phishing Awareness

Use Cases
Unterweisungen

Unterweisungen

Produktschulungen

Produktschulungen

Mitarbeitende schulen

Mitarbeiterschulung

Pre- und Onboarding

Onboarding

Mandanten

Multi-Tenancy

Funktionen

Übersicht

Individuelles Design

Individuelle Kursgestaltung

Kurserstellung

Kursstruktur & Kommunikation

Multimediale Inhalte & Formate

Datenschutz & Sicherheit

Admin & interne Rollen

Einfache Teilnehmerverwaltung

Reporting & Analytics

Vielfältige Integrationen

Compliance-Workflow

Multi-Mandanten

Automatisierter E-Commerce

Phishing Awareness

Preise
Über reteach

Jobs

Deine Chance in einem EdTech Startup
Pre- und Onboarding

Über uns

Unsere Vision und Mission
Blog

Blog

Einblicke in die digitale Weiterbildung

Partnerprogramm

Lösung für digitale Schulung anbieten
Ressourcen
Webinare

Webinare

Whitepaper

Whitepaper

Blog

Blog

Case Studies

Case Studies

Login Kostenlos testen
Produkte

reteach LMS

reteach Kurse

reteach Phishing Awareness

Use Cases
Unterweisungen

Unterweisungen

Produktschulungen

Produktschulungen

Mitarbeitende schulen

Mitarbeiterschulung

Pre- und Onboarding

Onboarding

Mandanten

Multi-Tenancy

Funktionen

Übersicht

Individuelles Design

Individuelle Kursgestaltung

Kurserstellung

Kursstruktur & Kommunikation

Multimediale Inhalte & Formate

Datenschutz & Sicherheit

Admin & interne Rollen

Einfache Teilnehmerverwaltung

Reporting & Analytics

Vielfältige Integrationen

Compliance-Workflow

Multi-Mandanten

Automatisierter E-Commerce

Phishing Awareness

Preise
Über reteach

Jobs

Deine Chance in einem EdTech Startup
Pre- und Onboarding

Über uns

Unsere Vision und Mission
Blog

Blog

Einblicke in die digitale Weiterbildung

Partnerprogramm

Lösung für digitale Schulung anbieten
Ressourcen
Webinare

Webinare

Whitepaper

Whitepaper

Blog

Blog

Case Studies

Case Studies

Login Kostenlos testen
Übersicht

Phishing-Arten: alle Typen einfach erklärt

Erstellt am: 11. Juli 2026
Zuletzt aktualisiert am: 13. Juli 2026
Andreas Bersch
Andreas Bersch
Teilen auf:
Zwei Mitarbeitende schauen gemeinsam auf einen Laptop und besprechen verschiedene Phishing-Arten.

Wichtigste Erkenntnisse:

  • Phishing hat viele Arten, aber ein gemeinsames Ziel: Menschen durch Täuschung zu einer Handlung zu bewegen (Social Engineering).
  • Spear-Phishing und Whaling sind gezielte Angriffe auf einzelne Personen beziehungsweise auf Führungskräfte.
  • CEO Fraud imitiert die Geschäftsführung, um meist die Buchhaltung zu Überweisungen zu verleiten.
  • Vishing, Smishing und Quishing verlagern den Angriff auf Telefon, SMS und QR-Code.
  • Die Warnsignale ähneln sich: Dringlichkeit, ungewöhnliche Absender sowie Aufforderungen zu Links, Daten oder Zahlungen.
  • Der beste Schutz ist eine kontinuierliche Sensibilisierung, ergänzt durch realistische Phishing-Simulationen.

Phishing ist die häufigste Einstiegsmethode für Cyberangriffe – und längst nicht mehr nur die klassische Betrugsmail von der „Bank“. Angreifer nutzen heute personalisierte Nachrichten, gefälschte Chef-Anweisungen, Anrufe, SMS und sogar QR-Codes. Wer die wichtigsten Phishing-Arten kennt, erkennt Angriffe früher und schützt sein Unternehmen besser. Dieser Beitrag gibt Ihnen den vollständigen Überblick.

Inhalt

1. Was ist Phishing – und was hat es mit Social Engineering zu tun?
2. Welche Phishing-Arten gibt es im Überblick?
3. Was ist Spear-Phishing?
4. Was ist Whaling?
5. Was ist CEO Fraud?
6. Was ist Vishing?
7. Was ist Smishing?
8. Was ist Quishing?
9. Wie erkennt man Phishing-Angriffe?
10. Wie schützen sich Unternehmen vor Phishing?
11. Fazit
12. Häufige Fragen

Was ist Phishing – und was hat es mit Social Engineering zu tun?

Phishing ist der Versuch, über gefälschte Nachrichten an vertrauliche Daten zu gelangen oder Empfangende zu einer schädlichen Handlung zu bewegen – etwa zur Preisgabe von Passwörtern oder zu einer Überweisung. Der Angreifer gibt sich dabei als vertrauenswürdiger Absender aus, zum Beispiel als Bank, Lieferdienst, Kollege oder Vorgesetzte.

Phishing ist eine Form des Social Engineering. Darunter versteht man die gezielte Manipulation von Menschen, um Sicherheitsmechanismen zu umgehen. Nicht die Technik ist das Ziel, sondern der Mensch mit seinen Emotionen: Zeitdruck, Angst, Hilfsbereitschaft oder Autoritätshörigkeit. Genau diese Hebel nutzen alle Phishing-Arten – sie unterscheiden sich vor allem im Kanal und in der Zielgruppe.

Wie ernst die Lage ist, zeigt das Bundesamt für Sicherheit in der Informationstechnik in seinem jährlichen Lagebericht zur IT-Sicherheit in Deutschland: Die Bedrohung bleibt hoch, und gerade kleine und mittlere Unternehmen geraten zunehmend ins Visier.

Welche Phishing-Arten gibt es im Überblick?

Die folgende Übersicht zeigt die wichtigsten Phishing-Arten auf einen Blick – anschließend erklären wir jede einzeln:

Phishing-ArtKanalTypisches Ziel
Klassisches PhishingE-Mail (Massenversand)breite Masse, Zugangsdaten
Spear-PhishingE-Mail (personalisiert)einzelne Personen
WhalingE-Mail (personalisiert)Führungskräfte, Geschäftsführung
CEO FraudE-Mail, teils AnrufBuchhaltung, Finanzabteilung
VishingTelefonanrufEinzelpersonen, Support-Teams
SmishingSMS / Messengerbreite Masse, Einzelpersonen
QuishingQR-Codebreite Masse, Einzelpersonen

Was ist Spear-Phishing?

Spear-Phishing ist ein gezielter Phishing-Angriff auf eine bestimmte Person oder ein bestimmtes Unternehmen. Anders als beim breiten Massenversand recherchieren die Angreifer ihr Ziel vorab – etwa über soziale Netzwerke oder die Unternehmenswebsite – und schneiden die Nachricht individuell zu.

Beispiel: Eine Mitarbeitende der Personalabteilung erhält eine täuschend echte Mail, die sich auf eine reale, kürzlich veröffentlichte Stellenanzeige bezieht und einen infizierten „Lebenslauf“ im Anhang trägt.

So erkennen Sie es: Die Nachricht wirkt ungewöhnlich gut informiert, erzeugt aber dennoch Druck oder bittet um eine untypische Handlung. Im Zweifel den Absender über einen bekannten, separaten Kanal verifizieren.

Was ist Whaling?

Whaling ist eine Sonderform des Spear-Phishings, die sich gezielt gegen die „großen Fische“ richtet: Geschäftsführung, Vorstand oder andere Führungskräfte. Weil diese Personen weitreichende Befugnisse haben, ist der potenzielle Schaden besonders hoch.

Beispiel: Eine Führungskraft erhält eine vermeintliche Nachricht einer Aufsichtsbehörde oder Anwaltskanzlei mit der dringenden Bitte, vertrauliche Unternehmensdaten in einem verlinkten Portal zu bestätigen.

So erkennen Sie es: Angebliche Vertraulichkeit, hoher Zeitdruck und die Aufforderung, gewohnte Prozesse zu umgehen, sind typische Warnzeichen.

Mitarbeitende prüft am Laptop im Büro eine verdächtige E-Mail auf CEO Fraud.

Was ist CEO Fraud?

Beim CEO Fraud (auch „Chef-Masche“ oder Business E-Mail Compromise) geben sich Angreifer als Geschäftsführung aus und weisen Beschäftigte – meist in der Buchhaltung – zu einer dringenden Überweisung oder zur Herausgabe sensibler Daten an. Der Trick lebt von Autorität und Zeitdruck.

Beispiel: Die vermeintliche Geschäftsführung bittet per Mail um eine sofortige, streng vertrauliche Überweisung für eine „Firmenübernahme“ – bloß nicht mit anderen besprechen. Durch KI werden solche Angriffe immer überzeugender: In einem bekannten Fall überwies eine Beschäftigte nach einem Videocall mit Deepfake-Teilnehmenden rund 25 Millionen US-Dollar.

So erkennen Sie es: Ungewöhnliche Dringlichkeit, die Bitte um Geheimhaltung und ein von etablierten Prozessen abweichender Zahlungsweg. Feste Vier-Augen-Prinzipien für Überweisungen schützen wirksam.

Was ist Vishing?

Vishing (Voice Phishing) ist Phishing per Telefonanruf. Angreifer geben sich zum Beispiel als IT-Support, Bank oder Behörde aus und versuchen, am Telefon an Zugangsdaten zu gelangen oder zu einer Aktion zu drängen. Auch hier ermöglicht KI inzwischen täuschend echte Stimmimitationen.

Beispiel: Ein angeblicher IT-Mitarbeiter ruft an, meldet ein „dringendes Sicherheitsproblem“ und bittet um das Passwort oder die Installation einer Fernwartungssoftware.

So erkennen Sie es: Seriöse Stellen fragen nie telefonisch nach Passwörtern. Im Zweifel auflegen und über eine offiziell bekannte Nummer zurückrufen.

Was ist Smishing?

Smishing ist Phishing per SMS oder Messenger-Nachricht. Die Kurznachricht enthält meist einen Link zu einer gefälschten Website oder fordert zu einem Rückruf auf.

Beispiel: Eine SMS im Namen eines Paketdienstes meldet ein „Zollproblem“ und verlinkt auf eine Seite, die Zahlungsdaten abfragt.

So erkennen Sie es: Unerwartete Nachrichten mit Links, verkürzte URLs und die Aufforderung, schnell zu handeln. Links aus SMS grundsätzlich nicht anklicken, sondern offizielle Apps oder Websites direkt aufrufen.

Was ist Quishing?

Quishing ist Phishing über QR-Codes. Der QR-Code führt beim Scannen auf eine gefälschte Website oder löst einen schädlichen Download aus. Weil QR-Codes im Alltag als harmlos gelten, ist die Hemmschwelle niedrig.

Beispiel: Ein aufgeklebter QR-Code auf einem echten Parkautomaten oder in einer gefälschten Rechnung leitet auf eine täuschend echte Bezahlseite.

So erkennen Sie es: Vorsicht bei QR-Codes aus unerwarteten Quellen, überklebten Codes und Zielseiten, die sofort Zahlungs- oder Zugangsdaten verlangen. Die angezeigte URL vor dem Öffnen prüfen.

Vom Wissen zum sicheren Verhalten

Wissen allein schützt nicht – es braucht Wiederholung und Realitätsnähe. Das kostenlose Whitepaper „Die menschliche Firewall“ liefert den 90-Tage-Fahrplan, ein Simulations-Playbook und die Kennzahlen, mit denen Sie Fortschritt sichtbar machen.

Guide herunterladen

Wie erkennt man Phishing-Angriffe?

Trotz aller Unterschiede teilen die meisten Phishing-Arten dieselben Warnsignale. Das BSI nennt in seiner Übersicht Wie erkenne ich Phishing in E-Mails und auf Webseiten? mehrere typische Merkmale. Werden Sie misstrauisch, wenn eine Nachricht:

  • dringenden Handlungsbedarf vorgibt („nur noch heute“, „sofort bestätigen“),
  • mit Konsequenzen droht, etwa einer Kontosperre,
  • zur Eingabe vertraulicher Daten wie Passwörtern oder Zahlungsdaten auffordert,
  • Links oder Formulare enthält, die zur Dateneingabe drängen,
  • scheinbar von einer bekannten Person oder Organisation stammt, das Anliegen aber ungewöhnlich wirkt.

Gerade im Unternehmenskontext gilt: Ein einziges dieser Merkmale genügt, um innezuhalten und die Nachricht über einen zweiten, bekannten Kanal zu prüfen.

Wie schützen sich Unternehmen vor Phishing?

Technische Filter fangen viele, aber längst nicht alle Angriffe ab – die entscheidende Verteidigungslinie sind gut informierte Mitarbeitende. Wirksamer Schutz ruht auf drei Säulen:

Klare Prozesse: feste Regeln für Zahlungen (Vier-Augen-Prinzip), definierte Meldewege und ein umfassendes Security Awareness Training als Rahmen.

Kontinuierliche Sensibilisierung: regelmäßige, alltagsnahe Schulungen statt einer jährlichen Pflichteinheit. Wie das gelingt, zeigt unser Beitrag zur Phishing-Schulung für Mitarbeitende.

Realistisches Training: Phishing-Simulationen machen sicheres Verhalten unter echten Bedingungen erlebbar und messbar.

Fazit: Wer die Arten kennt, erkennt den Angriff

Phishing ist kein einzelnes Phänomen, sondern eine ganze Familie von Angriffsarten – vom breit gestreuten E-Mail-Betrug über gezieltes Spear-Phishing bis zu Quishing per QR-Code. So unterschiedlich die Kanäle sind, so ähnlich sind die Muster dahinter: Druck, Täuschung und der Appell an menschliche Reflexe. Wer diese Muster kennt, ist Angreifern einen entscheidenden Schritt voraus.

Den nachhaltigsten Schutz bietet eine Kombination aus Wissen und Übung. Mit reteach Phishing Awareness verbinden Sie beides: kurze Lerneinheiten und realistische Phishing-Simulationen mit sofortiger Aufklärungsseite – datenschutzfreundlich gestaltet, mit auditfähigem Nachweisbeitrag und als eigenständige Komplettlösung mit und ohne reteach LMS nutzbar.

👉 reteach Phishing Awareness kennenlernen oder direkt eine Live-Demo vereinbaren.

Häufig gestellte Fragen

Wie viele Phishing-Arten gibt es?

Eine feste Zahl gibt es nicht, da laufend neue Varianten entstehen. Zu den wichtigsten zählen klassisches Phishing, Spear-Phishing, Whaling, CEO Fraud, Vishing, Smishing und Quishing. Sie unterscheiden sich vor allem im Kanal und in der Zielgruppe.

Was ist der Unterschied zwischen Phishing und Spear-Phishing?

Klassisches Phishing wird breit an viele Empfangende gestreut. Spear-Phishing richtet sich gezielt an eine bestimmte Person oder Organisation und ist durch vorherige Recherche deutlich individueller – und dadurch schwerer zu erkennen.

Ist CEO Fraud dasselbe wie Whaling?

Nicht ganz. Beim Whaling ist die Führungskraft das Ziel des Angriffs. Beim CEO Fraud geben sich die Angreifer als Führungskraft aus, um andere Beschäftigte – meist in der Buchhaltung – zu einer Handlung zu bewegen.

Welche Phishing-Art ist für Unternehmen am gefährlichsten?

Besonders schadensträchtig sind gezielte Angriffe wie Spear-Phishing, Whaling und CEO Fraud, da sie hohe Geldbeträge oder sensible Daten betreffen können. Neuere Formen wie Quishing nehmen jedoch schnell zu.

Wie kann ich meine Mitarbeitenden vor Phishing schützen?

Am wirksamsten ist die Kombination aus kontinuierlicher Sensibilisierung und realistischen Phishing-Simulationen, eingebettet in ein umfassendes Security Awareness Training. Ergänzend helfen klare Prozesse wie das Vier-Augen-Prinzip bei Zahlungen.

vorheriger Artikel
nächster Artikel
Teilen auf:
Das könnte außerdem für Sie interessant sein:
Phishing-Simulation 2026 erfolgreich durchführen
Eine Phishing-Simulation testet und trainiert Ihr Team unter realen Bedingungen – ohne echtes Risiko. Dieser Beitrag zeigt Funktionsweise, rechtliche Rahmenbedingungen und die Durchführung Schritt für Schritt.
NIS2 Schulungspflicht: Was Unternehmen jetzt wissen und umsetzen müssen 
Die NIS2 Schulungspflicht ist seit 2025 verbindlich. Erfahren Sie, wen sie betrifft, welche Schulungen erforderlich sind und wie Unternehmen die Anforderungen effizient umsetzen.
EU-Entgelttransparenzrichtlinie 2026: Was jetzt auf HR und Unternehmen zukommt
Excerpt (Textauszug): Die EU-Entgelttransparenzrichtlinie sollte bis 7. Juni 2026 in deutsches Recht umgesetzt sein – Deutschland verfehlt die Frist. Was das für Unternehmen bedeutet, welche Rolle das BAG-Urteil vom Oktober 2025 spielt und wie HR, Legal und Controlling jetzt strukturiert vorgehen.
Compliance-Schulungen: Welche Verantwortung und Pflichten die Geschäftsführung wirklich trägt
Compliance-Schulungen sind Teil der Organisations- und Aufsichtspflicht der Geschäftsführung. Erfahren Sie, welche Aufgaben delegierbar sind, welche Verantwortung bleibt und warum Dokumentation und Kontrolle entscheidend sind.

+49 30 235 939580

hello@reteach.com

Kontakt
Demo vereinbaren

Produkte

  • Preise
  • Unterweisungen
  • Produktschulungen
  • Mitarbeiterschulung
  • Onboarding
  • Multi-Tenancy
  • Integrationen
  • reteach Phishing Awareness

Kurskatalog

  • Alle Kurse im Überblick
  • Compliance & Datenschutz
  • Arbeitsschutz & Sicherheit
  • Informationssicherheit
  • Soft Skills
  • Schulungen für Kommunen
  • Künstliche Intelligenz
  • Microsoft 365 & Office

Ressourcen

  • Webinare
  • Whitepaper
  • Blog
  • Podcast
  • Case Studies
  • HR-Akademie

Support

  • FAQs
  • Hilfe Center
  • Kontakt

Privatsphäre-Einstellungen ändern

reteach

  • Über uns
  • Referenzen
  • Partnerprogramm
  • Jobs
  • AI Info
OMR Top 100 Tools in DACH
Capterra

Made with ♥ in Berlin for Europe

  • Systemstatus
  • Impressum
  • Datenschutzerklärung
  • AGB