Erstgespräch
IT-Beratung
Cloud Backup E-Mail-Archivierung (GoBD) Netzwerk & WLAN
IT-Strategie
IT-Sicherheitsanalyse & Schwachstellen-Scan IT-Compliance (GoBD, DSGVO, NIS2) IT-Notfallplan
IT-Dienstleistungen
IT-Support & Helpdesk IT-Flatrate IT-Notfall & Soforthilfe Preise & Modelle
Managed Services
Endpoint Protection E-Mail-Sicherheit MFA & Identitätsschutz
Microsoft 365
Migration zu Microsoft 365 Lizenzberatung Microsoft Teams
Smarte Kommunikation
Teams-Telefonie E-Mail-Signaturen Teams-Räume
KI im Arbeitsalltag Neu
Microsoft 365 Copilot KI-Assistenten & Chatbots Prozesse automatisieren Eigene KI-Lösungen Sichere Nutzung & Datenschutz
Kostenlose Tools Gratis
Ransomware-Check Domain-Check Mail-Tester M365-Sicherheitscheck
NEWS
IT-SicherheitStand: 20. Juni 2026

Phishing als Abo: Wie Baukästen Cyberangriffe für jeden ermöglichen

Cyberkriminalität war früher Sache von Spezialisten. Heute braucht ein Angreifer kaum noch technisches Wissen, sondern nur ein Abo. Unter dem Stichwort „Phishing-as-a-Service" werden fertige Angriffsbaukästen wie ein gewöhnlicher Software-Dienst vermietet, teils für wenige Hundert Euro im Monat. Sicherheitsforscher haben Plattformen dokumentiert, die gezielt auf Microsoft-365-Konten und sogar deren Mehr-Faktor-Anmeldung abzielen. Das senkt die Einstiegshürde für Angriffe dramatisch.

Was bedeutet Phishing-as-a-Service?

„As-a-Service" kennt man von legalen Cloud-Diensten: Man mietet eine fertige Lösung, statt sie selbst zu bauen. Genau dieses Modell hat die Kriminalität übernommen. Phishing-Baukästen werden als Komplettpaket angeboten, inklusive:

  • täuschend echt nachgebauter Anmeldeseiten bekannter Dienste,
  • fertiger Vorlagen für Phishing-Mails,
  • einer Verwaltungsoberfläche, über die erbeutete Zugangsdaten gesammelt werden,
  • und teils sogar technischer Unterstützung durch die Anbieter.

Der „Kunde" muss die Kampagne nur noch starten. Das macht professionell wirkende Angriffe für eine breite Masse von Tätern verfügbar.

Warum das die Bedrohung verschärft

Drei Effekte machen diese Entwicklung besonders gefährlich. Erstens sinkt die Hürde: Auch technisch unbedarfte Kriminelle können hochwertige Angriffe fahren. Zweitens steigt die Qualität: Die Baukästen werden laufend gepflegt und umgehen teilweise gezielt Schutzmechanismen, auch die Mehr-Faktor-Anmeldung, indem sie die Anmeldung in Echtzeit „durchschleifen". Drittens steigt die Menge: Mehr Täter und automatisierte Kampagnen bedeuten schlicht mehr Angriffe, die auch kleine Unternehmen treffen.

Was das für KMU heißt

Die verbreitete Annahme „uns trifft das schon nicht" wird damit endgültig hinfällig. Wenn ein Angriff kaum noch Aufwand kostet, lohnt er sich auch gegen kleine Ziele. Gleichzeitig zeigt die Tatsache, dass diese Baukästen gezielt die Mehr-Faktor-Anmeldung angreifen: MFA bleibt unverzichtbar, ist aber kein Freibrief. Der Schutz muss mehrschichtig sein.

Wie Sie sich schützen

Gegen industrialisiertes Phishing hilft eine Kombination aus Technik und Aufmerksamkeit:

  • Phishing-resistente Anmeldung: Wo möglich, sollten besonders widerstandsfähige Anmeldeverfahren statt einfacher Bestätigungscodes genutzt werden.
  • Bedingter Zugriff: Anmeldungen nur von bekannten Geräten oder Regionen erschweren den Missbrauch erbeuteter Daten.
  • E-Mail-Sicherheit: Gute Filter fangen einen Großteil der Phishing-Mails ab, bevor sie ankommen.
  • Awareness-Training: Mitarbeitende, die aktuelle Maschen kennen, fallen seltener darauf herein. Regelmäßige Schulungen halten die Aufmerksamkeit hoch.
  • Schnelle Reaktion: Bei einem vermuteten Treffer müssen Konten umgehend gesperrt und Sitzungen widerrufen werden.

Häufige Fragen

Reicht meine Mehr-Faktor-Anmeldung gegen solche Angriffe?

MFA ist und bleibt eine der wichtigsten Schutzmaßnahmen und sollte überall aktiv sein. Manche Phishing-Baukästen umgehen jedoch einfache Verfahren, indem sie die Anmeldung in Echtzeit weiterleiten. Deshalb sind phishing-resistente Verfahren und ergänzende Maßnahmen wichtig.

Sind kleine Unternehmen wirklich betroffen?

Ja, gerade weil die Angriffe kaum noch Aufwand kosten. Automatisierte Kampagnen verschicken Phishing breit gestreut. Kleine Unternehmen sind oft schlechter geschützt und damit ein leichtes Ziel.

Was ist die wirksamste Einzelmaßnahme?

Es gibt nicht die eine. Die Kombination aus phishing-resistenter Anmeldung, guter E-Mail-Sicherheit und geschulten Mitarbeitenden ist entscheidend. Awareness und Technik greifen hier ineinander.

So unterstützt Sie die High5Manufaktur GmbH

Die High5Manufaktur GmbH wappnet kleine und mittlere Unternehmen gegen industrialisiertes Phishing: mit robuster E-Mail-Sicherheit, sauber konfigurierter Mehr-Faktor-Anmeldung, bedingtem Zugriff und Awareness-Schulungen, die Ihr Team auf dem aktuellen Stand halten. Im kostenlosen Erstgespräch prüfen wir, wie gut Sie gegen moderne Phishing-Methoden geschützt sind. Mehr zu unserer IT-Sicherheit finden Sie auf der jeweiligen Seite.

Quellen

Alexander Häffner

Alexander Häffner

Geschäftsführer der High5Manufaktur GmbH. Betreut seit 2021 kleine und mittlere Unternehmen bei Microsoft 365, IT-Sicherheit und Digitalisierung.

Kostenloses Erstgespräch Mehr Artikel