Zum Hauptinhalt springen
Wissens-Artikel·Managed Workplace & Microsoft 365 · 8 min · Stand 2026-04-28

Phishing im KMU: Warum Schulung allein nicht reicht

Phishing ist heute zu gut, als dass Awareness allein schützt. Welche technischen Massnahmen vor und nach dem Klick greifen, und warum Schulung trotzdem nicht überflüssig ist.

Veröffentlicht2026-04-28Aktualisiert2026-04-28Lesezeit8 minVerbleibend8 minSGFManaged Workplace & Microsoft 365AutorSYSINFRA

Awareness ist notwendig, und nicht ausreichend

„Wir schulen unsere Mitarbeitenden." Gut. Phishing-Mails von 2026 sind aber nicht mehr die schlechten russischen Übersetzungen von 2010. Sie nutzen echte Domains, kompromittierte Lieferantenkonten, dynamische Inhalte und KI-generierte Texte. Selbst geschulte Personen klicken, manchmal weil die Nachricht aussieht wie der erwartete Lieferschein.

Wirksamer Schutz kombiniert immer Schulung und Technik. Schulung reduziert die Eintrittswahrscheinlichkeit. Technik begrenzt den Schaden, wenn Schulung versagt.

Drei Schutzschichten

Vor dem Klick. Mailfilter (M365 Defender oder Drittanbieter), DMARC-Erzwingung, Block bei verdächtigen Links, Anhang-Sandboxing.

Beim Klick. Safe Links / URL Rewrite, Browser-Schutz, blockierte ausführbare Dateien.

Nach dem Klick. MFA gegen Account-Übernahme (siehe MFA für KMU), Conditional Access, Endpoint-Detection (EDR), Sign-in-Logs.

Schulung wirkt auf der Schicht „Vor dem Klick" und ergänzt, sie ersetzt keine der drei Technik-Schichten.

Was oft falsch läuft

Nur Awareness. Ein 60-Minuten-Vortrag pro Jahr wird die Klickrate nicht auf null senken.

MFA nur für Admins. Genau die normalen Konten werden für Lieferanten-Phishing genutzt.

Keine DMARC-Erzwingung. Ohne DMARC-Reject können Angreifer die Firmendomain spoofen.

Sign-in-Logs nicht ausgewertet. Ein erfolgreicher Phishing-Login bleibt sonst tagelang unentdeckt.

Beispiel aus dem KMU-Alltag

Ein Treuhandbüro erhält eine Mail im Stil des Steueramts. Eine Mitarbeiterin gibt Anmeldedaten auf einer gefälschten Seite ein. Ohne MFA hätte der Angreifer Vollzugriff. Mit MFA scheiterte der zweite Faktor. Die Sign-in-Logs zeigten den Versuch, das Konto wurde präventiv zurückgesetzt. Die Schulung hatte nicht verhindert, dass geklickt wurde, die Technik hat den Schaden begrenzt.

Konkrete Empfehlung

  1. MFA für alle (Pflicht)
  2. DMARC, SPF, DKIM korrekt einrichten
  3. M365 Defender oder vergleichbar aktiv
  4. Safe Links / Anhang-Sandboxing aktiv
  5. Conditional Access für ungewöhnliche Logins
  6. Sign-in-Logs überwachen oder Alerts einrichten
  7. Awareness-Training jährlich, mit Phishing-Simulation

Wann wir helfen

Wir prüfen, ob die drei Schichten korrekt greifen, und implementieren fehlende Stücke. Teil von Managed Workplace & Microsoft 365. Siehe auch den Mitarbeiter-fokussierten Artikel Phishing erkennen, Leitfaden für Mitarbeitende und Cyberversicherung, IT-Nachweise.

Häufige Fragen

Reicht eine Schulung pro Jahr? Als Bewusstseinsmassnahme ja. Als Schutz nein.

Ist DMARC-Reject riskant? Nur ohne saubere SPF/DKIM-Vorbereitung. Mit Audit-Phase risikoarm.

Was kostet Defender? Hängt vom Lizenzplan ab. In vielen M365-Plänen bereits enthalten.

Bringen Phishing-Simulationen etwas? Ja, aber als Lernhilfe, nicht als Bestrafungsinstrument.

Wie schnell wird ein erfolgreicher Phishing-Login bemerkt? Mit Logs/Alerts: Minuten. Ohne: Tage bis nie.