Phishing-as-a-Service (PhaaS)
Author
Robin Laufenburg, Do, 17. Apr. 2025
 in Cybersecurity

Phishing-as-a-Service (PhaaS)

Warum PhaaS-Angriffe eine wachsende Bedrohung für Unternehmen darstellen

Phishing-as-a-Service (PaaS) bedroht die IT-Sicherheit von Unternehmen aller Größen und Branchen.

PhaaS senkt die Einstiegshürde für Angriffe massiv – Cyberangriffe werden damit auch für Laien möglich –und das hat fatalen Folgen. Mehr dazu erfahren Sie bei uns.

Was ist Phishing-as-a-Service (PhaaS)?

Phishing-as-a-Service – etabliert abgekürzt als PhaaS, da PaaS bereits als Akronym für Platform-as-a-Service etabliert ist – beschreibt ein kriminelles Geschäftsmodell, bei dem professionelle Phishing-Infrastrukturen als Dienstleistung bereitgestellt werden. Statt selbst komplexe Phishing- und Spear-Phishing-Kampagnen aufzusetzen, können Cyberkriminelle mit PhaaS heute auf fertige Baukästen und Servicepakete zurückgreifen. Das Prinzip orientiert sich an klassischen Software-as-a-Service-Modellen.

PhaaS-Angebote umfassen unter anderem vorgefertigte E-Mail-Vorlagen, täuschend echt wirkende Duplikate von Webseiten mit Logins, Domainservices und sogar technischen Support. Selbst Zahlungs- und Abofunktionen gehören wohl mittlerweile bei PhaaS zum Standard. Kriminelle, die entsprechende Dienste nutzen, müssen dabei keine technischen Kenntnisse mitbringen – das senkt die Einstiegshürden und macht Phishing-Angriffe leider noch massentauglicher. Angriffe lassen sich so aber nicht nur einfacher, sondern auch professioneller und skalierbarer durchführen. Die Folge ist eine deutliche Zunahme an hochgradig personalisierten und kaum zu erkennenden Phishing-Attacken.

Schematische Infografik über das Geschäftsmodell „Phishing-as-a-Service (PhaaS)“ mit zentralem Hacker-Symbol und verschiedenen Servicebausteinen wie Fake-Webseiten, Vorlagen, Support und Bezahldiensten. Bild: ChatGPT

PhaaS-Angebote ermöglichen auch unerfahrenen Cyberkriminellen den Zugang zu professionellen Phishing-Diensten. Die modulare Struktur senkt Einstiegshürden und macht Angriffe skalierbar. Bild: ChatGPT [Bild mit KI erstellt]

Was macht PhaaS so gefährlich?

PhaaS verändert die Bedrohungslage grundlegend. Während vor einigen Jahren noch für professionelle Angriffe technisches Know-how notwendig war, genügen heute wenige Klicks und ein Zahlungsmittel. Die professionell aufbereiteten Dienste senken nicht nur die Hürden für Einsteiger, sondern ermöglichen auch erfahrenen Cyberkriminellen, ihre Angriffe effizienter und wirkungsvoller zu gestalten. Was diese Entwicklung besonders gefährlich macht: Phishing wird zur Dienstleistung mit Service-Versprechen. PhaaS-Plattformen bieten Rabatte, Abomodelle, Community-Foren und 24/7-Support – alles darauf ausgerichtet, eine möglichst breite Nutzerschaft zu erreichen. Je größer die Nutzerbasis, desto höher die Zahl der Angriffe.

Zudem schrecken Anbieter nicht vor modernen Technologien zurück: KI-generierte E-Mails, überzeugende Deepfake-Elemente oder automatisch abgeglichene Fake-Websites lassen sich von Kriminellen heute problemlos integrieren. PhaaS beschleunigt damit nicht nur die Quantität, sondern auch die Qualität von Angriffen – und macht es zunehmend schwieriger, sie zu erkennen.

Phishing-Kits und ihre Funktionsweise

Das Herzstück vieler PhaaS-Angebote sind sogenannte Phishing-Kits. Dabei handelt es sich um fertig geschnürte Angriffspakete, die aus mehreren Komponenten bestehen. Typisch sind täuschend echte Website-Duplikate mit Login-Seiten, manipulierte E-Mail-Vorlagen, einfache Installationsanleitungen und meist auch ein automatisiertes Dashboard zur Auswertung der erfolgreichen Angriffe inklusive abgegriffener Daten. Kriminelle können solche Kits ohne Programmierkenntnisse ganz einfach implementieren und vielfach individuell anpassen – etwa mit gewünschten Zielansprachen oder personalisierten Texten.
Auch zusätzliche Funktionen wie Formularvalidierung, Zwei-Faktor-Abfrage oder Bot-Erkennung sind heute Bestandteile professioneller Kits. Nicht zuletzt hosten einige Anbieter ihre Phishing-Seiten wohl sogar selbst – inklusive Verschlüsselung, IP-Verschleierung und Tools zur Umgehung gängiger Sicherheitsmechanismen. Das sorgt dafür, dass viele der Seiten für Filter- und Erkennungssysteme kaum auffindbar sind. In Kombination mit regelmäßig bereitgestellten Updates und Support entwickelt sich PhaaS so zur industriell skalierten Angriffsplattform, die auch im Rahmen von Cyberkonflikten eingesetzt wird.

Schematische Infografik über die Gefahren von PhaaS mit Symbolen für KI, Deepfakes, Community-Support und Phishing-Kits, dargestellt in einem warnenden, rot-orangefarbenen Design. Bild: ChatGPT

PhaaS senkt nicht nur die Einstiegshürde für Phishing-Angriffe, sondern erhöht durch moderne Technologien wie KI und Deepfakes auch deren Qualität und Täuschungskraft. Bild: ChatGPT [Bild mit KI erstellt]

Zielgerichtete Angriffe durch PhaaS

PhaaS senkt nicht nur die Einstiegshürden, sondern erhöht zugleich die Präzision und Effektivität von etablierten Phishing-Angriffen. Viele Plattformen ermöglichen die gezielte Anpassung von E-Mail-Inhalten, Webseiten-Templates und Angriffsszenarien – abgestimmt auf Sprache, Branche oder konkrete Zielunternehmen. Dadurch wirken die PhaaS-Attacken realitätsnah, also unauffällig, und sind – ähnlich wie Spear-Phishing-Attacken – dadurch schwerer als herkömmliche Phishing-Angriffe zu identifieren.

Zielgerichtete PhaaS-Kampagnen greifen als Social-Engineering-Kampagnen häufig auf öffentlich zugängliche Informationen zurück: Jobtitel auf LinkedIn, Ansprechpartner auf Firmenwebseiten, Geschäftsberichte oder frühere Leaks liefern Kriminellen ausreichend Kontext, um personalisierte Angriffe zu starten. Eine E-Mail von der angeblichen Buchhaltung, die zur Zahlung einer offenen Rechnung auffordert, ein Kollege, der kurzfristig um Zugangsdaten bittet – solche Nachrichten wirken überzeugend, wenn sie gut vorbereitet sind.

Besonders gefährdet sind Personen mit erweiterten Berechtigungen: Administratoren, Geschäftsführung, Einkauf oder IT-Verantwortliche. Diese stehen im Zentrum gezielter Whaling-Aktivitäten. Ihr Zugang zu sensiblen Systemen macht sie zum strategischen Ziel – ein erfolgreich kompromittierter Account kann Angreifern Tür und Tor zu ERP-Systemen, Kundenportalen oder Finanzdaten öffnen. Besonders in kleinen und mittelständischen Unternehmen, in denen Rollen oft gebündelt sind, ist das Risiko entsprechend hoch.

Gefahr für Unternehmen durch PhaaS

Phishing-as-a-Service stellt eine wachsende Gefahr für kleine und mittelständische Unternehmen dar. Denn Angriffe, die früher gezielte Vorbereitung und Fachwissen erforderten, lassen sich heute schnell, günstig und weitgehend automatisiert durchführen. Die Folge: Eine zunehmende Anzahl an Phishing-Versuchen trifft auf Unternehmen, die nicht ausreichend geschützt sind – und das sind leider vor allem die kleinen oder mittelständischen. Die größten Risiken entstehen, wenn Angreifer durch menschliche Fehler Zugriff auf interne Systeme erlangen. Kommt es zu einem erfolgreichen Angriff, drohen unmittelbare Folgen:

  • Finanzielle Schäden: Durch Fake-Rechnungen, betrügerische Überweisungen oder Ransomware-Forderungen.
  • Reputationsverluste: Kunden und Partner verlieren das Vertrauen, wenn Daten kompromittiert oder E-Mail-Konten missbraucht werden.
  • Rechtliche Konsequenzen: Datenschutzverletzungen oder Compliance-Verstöße können Meldepflichten und Bußgelder nach sich ziehen.
  • Geschäftsausfälle: Blockierte Systeme, verschlüsselte Daten oder der Verlust von Zugangsdaten legen betroffene Bereiche oft über Tage lahm.

Besonders gefährlich ist dabei die Zeitverzögerung: Viele Phishing-Angriffe bleiben zunächst unentdeckt. Ist ein Mitarbeitender erst einmal getäuscht worden, können sich Angreifer oft unbemerkt weiter durch die IT-Infrastruktur bewegen – und wenn dann der Schaden irgendwann sichtbar wird, ist es schon zu spät.

Infografik im flachen Designstil zeigt, wie Phishing-as-a-Service (PhaaS) gezielte Social-Engineering-Angriffe ermöglicht, mit Symbolen für E-Mails, LinkedIn, Fake-Websites und privilegierte Zielpersonen. Bild: ChatGPT

PhaaS ermöglicht präzise, personalisierte Angriffe durch die Kombination aus Social Engineering (Datenabgriff über bspw. LinkedIn und frei zugänglichen Informationen) und täuschend echten Kommunikationsvorlagen. Bild: ChatGPT [Bild mit KI erstellt]

So umgehen PhaaS-Plattformen die 2FA

Zwei-Faktor-Authentifizierung (2FA) gilt als zentrale Schutzmaßnahme gegen unbefugten Zugriff. Doch auch diese Hürde lässt sich von Kriminellen mit PhaaS-Plattformen gezielt aushebeln. Die eingesetzten Angriffsmethoden werden dabei immer raffinierter – insbesondere durch sogenannte Adversary-in-the-Middle-Angriffe (AiTM). PhaaS-Plattformen wie Tycoon 2FA, EvilProxy oder Sneaky 2FA haben sich auf diese Art des Device-Code-Phishings spezialisiert. Sie analysieren sogar den genutzten Browser, nutzen verschlüsselte Datenübertragung und manipulieren die Darstellung von Webseiteninhalten gezielt, um Sicherheitslösungen zu umgehen. Viele der (Device-Code-)Phishing-as-a-Service-Plattformen kommunizieren über verschlüsselte Kanäle wie Telegram, um gestohlene Zugangsdaten unbemerkt zu exfiltrieren. Für Unternehmen bedeutet das: Klassische 2FA-Lösungen – etwa per SMS, App oder Push-Benachrichtigung – reichen nicht allein aus. Nur phishing-resistente Verfahren können dieser Art von Angriffen dauerhaft standhalten.

Schutzmaßnahmen gegen PhaaS-Angriffe

Die Abwehr von Phishing-as-a-Service erfordert mehr als nur klassische Sicherheitsmaßnahmen. Da PhaaS-Angriffe technisch ausgefeilt, massentauglich und schwer zu erkennen sind, müssen Unternehmen ihre Schutzstrategie in mehreren Ebenen denken: technisch, organisatorisch und menschlich.

Ein effektiver Schutz beginnt bei der E-Mail-Sicherheit. Spam-Filter, Sandboxing-Verfahren und KI-gestützte Erkennung helfen, verdächtige Nachrichten frühzeitig als Phishing oder Spear-Phishing zu identifizieren. Ebenso wichtig: ein konsequent gepflegter DNS-Eintrag mit SPF-, DKIM- und DMARC-Richtlinien, um E-Mail-Spoofing zu verhindern. Auch die Netzwerksicherheit spielt eine zentrale Rolle. Firewalls, Intrusion-Detection-Systeme und segmentierte Netze können verdächtige Aktivitäten isolieren. Kommt es trotzdem zu einem Vorfall, begrenzen gute Backup-Strategien (etwa nach der 3-2-1-Regel) den Schaden.

Gleichzeitig braucht es eine starke Awareness-Kultur im Unternehmen. Wer Phishing-Versuche erkennt, handelt schneller und sicherer. Regelmäßige Schulungen und Phishing-Simulationen schärfen den Blick für verdächtige Inhalte und schaffen Sicherheit im Alltag. Wir bei PC-SPZEIALIST bieten für Sie und Ihre Kollegen professionelle Awareness-Schulungen an, mit denen Sie lernen, Phishing-Angriffe zu identifizieren und zu verhindern. Wichtig dabei: Führungskräfte müssen mit gutem Beispiel vorangehen – denn auch sie gehören zu den häufigsten Zielen. Nicht zuletzt kommt es auf die richtige Authentifizierungsstrategie an. Wer weiterhin auf SMS-Codes oder einfache OTP-Apps setzt, läuft Gefahr, durch AiTM-Angriffe kompromittiert zu werden. Eine Umstellung auf phishing-resistente Verfahren wie FIDO2 (Hardware-Sicherheitsschlüssel) ist langfristig unverzichtbar.

Schematische Infografik im Flat-Design-Stil zeigt sichere Login-Prozesse mit Symbolen für Passwort, Smartphone, Schloss, Schutzschild und moderne Authentifizierungsmethoden auf rotem Hintergrund. Bild: ChatGPT

Starke Authentifizierungsverfahren bieten wirksamen Schutz vor digitalen Angriffen. Entscheidend sind Mehrfaktor-Authentifizierung und Methoden, die nicht übertragbar oder leicht abfangbar sind. Bild: ChatGPT [Bild mit KI erstellt]

Maßnahmen für mehr Resilienz im Unternehmen

Dass Angriffe durch Phishing-as-a-Service stattfinden, lässt sich nicht vollständig vermeiden – aber durch gezielte Maßnahmen verhindern Sie, dass sie erfolgreich sind. Wer auf zeitgemäße Technologien setzt und interne Strukturen überdenkt, stärkt die eigene Cybersicherheitsresilienz langfristig. Besonders wichtig sind folgende Schritte:

  1. Phishing-resistente Authentifizierung etablieren: Stellen Sie Ihre Multi-Faktor-Authentifizierung auf aktuelle Standards um. Sicherheitsschlüssel oder biometrische Verfahren ermöglichen eine starke Authentifizierung. So verhindern Sie Phishing und Session-Übernahmen zuverlässig.
  2. Zugriffskontrollen nach Risiko priorisieren: Nicht alle Benutzer, Geräte oder Anwendungen benötigen den gleichen Schutz. Legen Sie gezielt fest, welche Systeme und Rollen besonders geschützt werden müssen – zum Beispiel administrative Zugänge, Finanzsysteme oder externe Schnittstellen. Kombinieren Sie diese Bewertung mit standort-, geräte- oder kontextabhängiger Authentifizierung.
  3. Sichere Zukunft vorbereiten: Verwalten Sie Ihre Zugangsdaten zentral über einen Passwortmanager, um sichere und eindeutige Passwörter zu speichern und an Ihr Team bereitzustellen. So vermeiden Sie Wiederverwendung und minimieren Sicherheitslücken.

Sie möchten Ihre IT-Sicherheitsstrategie an die aktuellen Bedrohungslagen anpassen? Ob Awareness-Schulung, sicheres Passwortmanagement oder Einführung von FIDO2-basierten Verfahren – Ihr PC-SPEZIALIST-Partner unterstützt Sie mit praxiserprobten Lösungen für kleine und mittelständische Unternehmen. Lassen Sie sich jetzt persönlich beraten und finden Sie den passenden Ansprechpartner in Ihrer Nähe: Jetzt den passenden IT-Dienstleister vor Ort finden!
_______________________________________________
Quellen: Security-Insider, BeforeCrypt, connect professional, Pexels/Jep Gambardella (Headerbild)

, ,

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

0 Kommentare

    Das könnte Sie auch interessieren