Smishing ist eine spezielle Form des Phishings, bei der Angreifer*innen nicht auf E‑Mails setzen, sondern SMS- oder Messenger‑Nachrichten nutzen, um ihre Opfer zu manipulieren. Das Kunstwort setzt sich dabei aus SMS und Phishing zusammen, mit dem Ziel, Menschen über mobile Geräte zum Klick auf schädliche Links oder zur Preisgabe sensibler Daten zu verleiten.
Beispiele für Smishing-Nachrichten sind:
"Ihr Paket wird heute zugestellt. Bitte klicken Sie zur Sendungsverfolgung auf folgenden Link…"
"Verdächtige Anmeldung in Ihrem E‑Banking. Bitte verifizieren Sie Ihr Konto unter…"
Unternehmensbezogene Nachrichten wie beispielsweise von Bitpanda, Traderepublic, etc.
Diese Nachrichten wirken oft harmlos oder sogar zeitkritisch. Genau darin liegt die Gefahr: Mobile Nutzer sind unterwegs, reagieren schnell und werden dadurch leichter Opfer von Social-Engineering-Angriffen.
Warum ist Smishing für Unternehmen relevant?
Unternehmen sind permanent Angriffen ausgesetzt und das häufig ohne es zu bemerken. Bereits 2021 zeigte eine Studie von Egress, dass 73 % aller Unternehmen von Datenschutzvorfällen betroffen waren, die durch Phishing ausgelöst wurden. Ob der Erstkontakt per E‑Mail oder per SMS stattfand, ist letztlich zweitrangig: Phishing bleibt eine der größten Bedrohungen für Organisationen jeder Branche.
Mit zunehmenden BYOD‑Richtlinien (Bring Your Own Device) steigt das Risiko weiter. Private Smartphones von Mitarbeitenden verfügen oft über:
weniger Sicherheitsmaßnahmen
unzureichende Gerätekonfiguration
fehlende Mobile‑Threat‑Protection
parallele private und berufliche Nutzung
Für Angreifer ist Smishing deshalb einfacher, schneller und lukrativer. Ein kompromittiertes Smartphone kann Zugang zu Unternehmensdaten, Cloud-Diensten oder interner Kommunikation ermöglichen.
Oftmals ist übrigens nicht der Klick auf den Link Problematisch, sondern dann wenn man Apps herunterlädt oder Daten eingibt.
Wie sollte man auf Smishing richtig reagieren?
Das BSI empfiehlt fünf einfache, aber sehr effektive Maßnahmen:
Nicht klicken und die Nachricht sofort löschen
Klicken Sie niemals auf den Link. Wenn Ihnen die Absenderin oder der Absender bekannt vorkommt, kontaktieren Sie die Person über einen anderen Kanal und fragen Sie nach. Achten Sie außerdem darauf, dass bei machen Handys bereits das längere drücken auf einen Link eine Vorschau anzeigt.
Absender blockieren
Sperren Sie den Absender über die Optionen Ihres Smartphones, um weitere Nachrichten zu vermeiden. Leider ist das nicht immer möglich. Vor allem bei Premium SMS.
Apps nur aus offiziellen Stores installieren
Laden Sie Apps ausschließlich aus Apple App Store oder Google Play Store.Unter Android: Deaktivieren Sie „Apps aus unbekannten Quellen“ vollständig. Unternehmen können das übrigens mit einem MDM verhindern und sollten das auf umgehend tun. Sollten Sie kein MDM haben kann auch eine Mobile Threat Detection als Maßnahme eingesetzt werden. Das ist
Gerät regelmäßig aktualisieren
Egal ob iOS oder Android, regelmäßige Updates schließen Sicherheitslücken und reduzieren das Risiko von Infektionen erheblich.
Drittanbietersperre aktivieren
Über Ihren Mobilfunkanbieter können Sie eine Drittanbietersperre einrichten lassen. So verhindern Sie ungewollte Kosten, etwa durch Premium-SMS oder Schadsoftware.
Was können Unternehmen gegen Smishing tun?
Technische Maßnahmen sind wichtig, doch einer der größten Hebel ist und bleibt der Mensch:
Regelmäßige Security‑Awareness‑Trainings
Smishing‑Simulationen und realitätsnahe Tests (Achten Sie darauf, dass nicht nur Phishing aktiv Trainiert wird
Zwei‑Faktor‑Authentifizierung (2FA / Passkeys)
Transparente Meldewege für Verdachtsfälle
Einschränkung der Unternehmenseigenen mobilen Endgeräte mit einem MDM (Oftmals bereits in Microsoft Lizenzen inkludiert).
Nutzung einer Mobile Threat Detection Lösung. Vergleichbar mit einem "Virenschutz" für Handys.
