{"id":74565,"date":"2025-04-17T08:00:39","date_gmt":"2025-04-17T06:00:39","guid":{"rendered":"https:\/\/www.pcspezialist.de\/blog\/?p=74565"},"modified":"2025-06-27T10:26:21","modified_gmt":"2025-06-27T08:26:21","slug":"phishing-as-a-service","status":"publish","type":"post","link":"https:\/\/pcspezialist.de\/blog\/2025\/04\/17\/phishing-as-a-service\/","title":{"rendered":"Phishing-as-a-Service (PhaaS) ## Warum PhaaS-Angriffe eine wachsende Bedrohung f\u00fcr Unternehmen darstellen"},"content":{"rendered":"

Phishing-as-a-Service (PaaS) bedroht die IT-Sicherheit von Unternehmen aller Gr\u00f6\u00dfen und Branchen.<\/strong><\/p>\n

PhaaS senkt die Einstiegsh\u00fcrde f\u00fcr Angriffe massiv \u2013 Cyberangriffe werden damit auch f\u00fcr Laien m\u00f6glich \u2013und das hat fatalen Folgen. Mehr dazu erfahren Sie bei uns.<\/p>\n

<\/p>\n

\n

Unser Beitrag \u00fcber Phishing-as-a-Service (PhaaS) im \u00dcberblick:\u00a0<\/strong><\/p>\n

    \n
  1. Was ist Phishing-as-a-Service (PhaaS)?<\/a><\/li>\n
  2. Was macht PhaaS so gef\u00e4hrlich?<\/a><\/li>\n
  3. Phishing-Kits und ihre Funktionsweise<\/a><\/li>\n
  4. Zielgerichtete Angriffe durch PhaaS<\/a><\/li>\n
  5. Gefahr f\u00fcr Unternehmen durch PhaaS<\/a><\/li>\n
  6. So umgehen PhaaS-Plattformen die 2FA<\/a><\/li>\n
  7. Schutzma\u00dfnahmen gegen PhaaS-Angriffe<\/a><\/li>\n
  8. Ma\u00dfnahmen f\u00fcr mehr Resilienz im Unternehmen<\/a><\/li>\n<\/ol>\n<\/div>\n

    Was ist Phishing-as-a-Service (PhaaS)?<\/h2>\n

    Phishing-as-a-Service<\/strong> \u2013 etabliert abgek\u00fcrzt als PhaaS<\/strong>, da PaaS bereits als Akronym f\u00fcr Platform-as-a-Service etabliert ist \u2013 beschreibt ein kriminelles Gesch\u00e4ftsmodell, bei dem professionelle Phishing-Infrastrukturen als Dienstleistung bereitgestellt werden. Statt selbst komplexe Phishing-<\/a> und Spear-Phishing-Kampagnen<\/a> aufzusetzen, k\u00f6nnen Cyberkriminelle<\/a> mit PhaaS heute auf fertige Bauk\u00e4sten und Servicepakete<\/strong> zur\u00fcckgreifen. Das Prinzip orientiert sich an klassischen Software-as-a-Service-Modellen.<\/p>\n

    PhaaS-Angebote umfassen unter anderem vorgefertigte E-Mail-Vorlagen, t\u00e4uschend echt wirkende Duplikate von Webseiten mit Logins, Domainservices und sogar technischen Support<\/strong>. Selbst Zahlungs- und Abofunktionen<\/strong> geh\u00f6ren wohl mittlerweile bei PhaaS zum Standard. Kriminelle, die entsprechende Dienste nutzen, m\u00fcssen dabei keine technischen Kenntnisse<\/strong> mitbringen \u2013 das senkt die Einstiegsh\u00fcrden und macht Phishing-Angriffe leider noch massentauglicher. Angriffe lassen sich so aber nicht nur einfacher, sondern auch professioneller und skalierbarer durchf\u00fchren. Die Folge ist eine deutliche Zunahme an hochgradig personalisierten und kaum zu erkennenden Phishing-Attacken.<\/p>\n

    \"Schematische

    PhaaS-Angebote erm\u00f6glichen auch unerfahrenen Cyberkriminellen den Zugang zu professionellen Phishing-Diensten. Die modulare Struktur senkt Einstiegsh\u00fcrden und macht Angriffe skalierbar. Bild: ChatGPT [Bild mit KI erstellt]<\/p><\/div>\n

    Was macht PhaaS so gef\u00e4hrlich?<\/h2>\n

    PhaaS ver\u00e4ndert die Bedrohungslage grundlegend. W\u00e4hrend vor einigen Jahren noch f\u00fcr professionelle Angriffe<\/strong> technisches Know-how notwendig war, gen\u00fcgen heute wenige Klicks und ein Zahlungsmittel<\/strong>. Die professionell aufbereiteten Dienste senken nicht nur die H\u00fcrden f\u00fcr Einsteiger, sondern erm\u00f6glichen auch erfahrenen Cyberkriminellen, ihre Angriffe effizienter und wirkungsvoller zu gestalten. Was diese Entwicklung besonders gef\u00e4hrlich macht: Phishing wird zur Dienstleistung mit Service-Versprechen. PhaaS-Plattformen bieten Rabatte, Abomodelle, Community-Foren und 24\/7-Support \u2013 alles darauf ausgerichtet, eine m\u00f6glichst breite Nutzerschaft zu erreichen. Je gr\u00f6\u00dfer die Nutzerbasis, desto h\u00f6her die Zahl der Angriffe.<\/p>\n

    Zudem schrecken Anbieter nicht vor modernen Technologien zur\u00fcck: KI-generierte E-Mails<\/a>, \u00fcberzeugende Deepfake-Elemente<\/a> oder automatisch abgeglichene Fake-Websites<\/a> lassen sich von Kriminellen heute problemlos integrieren. PhaaS beschleunigt damit nicht nur die Quantit\u00e4t, sondern auch die Qualit\u00e4t von Angriffen \u2013 und macht es zunehmend schwieriger, sie zu erkennen.<\/p>\n

    Phishing-Kits und ihre Funktionsweise<\/h2>\n

    Das Herzst\u00fcck vieler PhaaS-Angebote sind sogenannte Phishing-Kits<\/strong>. Dabei handelt es sich um fertig geschn\u00fcrte Angriffspakete, die aus mehreren Komponenten bestehen<\/strong>. Typisch sind t\u00e4uschend echte Website-Duplikate mit Login-Seiten, manipulierte E-Mail-Vorlagen, einfache Installationsanleitungen und meist auch ein automatisiertes Dashboard zur Auswertung der erfolgreichen Angriffe inklusive abgegriffener Daten. Kriminelle k\u00f6nnen solche Kits ohne Programmierkenntnisse ganz einfach implementieren und vielfach individuell anpassen \u2013 etwa mit gew\u00fcnschten Zielansprachen oder personalisierten Texten.
    \nAuch zus\u00e4tzliche Funktionen wie Formularvalidierung, Zwei-Faktor-Abfrage oder Bot-Erkennung sind heute Bestandteile professioneller Kits. Nicht zuletzt hosten einige Anbieter ihre Phishing-Seiten wohl sogar selbst \u2013 inklusive Verschl\u00fcsselung, IP-Verschleierung und Tools zur Umgehung g\u00e4ngiger Sicherheitsmechanismen. Das sorgt daf\u00fcr, dass viele der Seiten f\u00fcr Filter- und Erkennungssysteme kaum auffindbar sind. In Kombination mit regelm\u00e4\u00dfig bereitgestellten Updates und Support entwickelt sich PhaaS so zur industriell skalierten Angriffsplattform, die auch     im Rahmen von Cyberkonflikten<\/a> eingesetzt wird.<\/p>\n

    \"Schematische

    PhaaS senkt nicht nur die Einstiegsh\u00fcrde f\u00fcr Phishing-Angriffe, sondern erh\u00f6ht durch moderne Technologien wie KI und Deepfakes auch deren Qualit\u00e4t und T\u00e4uschungskraft. Bild: ChatGPT [Bild mit KI erstellt]<\/p><\/div>\n

    Zielgerichtete Angriffe durch PhaaS<\/h2>\n

    PhaaS senkt nicht nur die Einstiegsh\u00fcrden, sondern erh\u00f6ht zugleich die Pr\u00e4zision und Effektivit\u00e4t von etablierten Phishing-Angriffen. Viele Plattformen erm\u00f6glichen die gezielte Anpassung von E-Mail-Inhalten, Webseiten-Templates und Angriffsszenarien<\/strong> \u2013 abgestimmt auf Sprache, Branche oder konkrete Zielunternehmen. Dadurch wirken die PhaaS-Attacken<\/strong> realit\u00e4tsnah, also unauff\u00e4llig, und sind \u2013 \u00e4hnlich wie Spear-Phishing-Attacken<\/a> \u2013 dadurch schwerer als herk\u00f6mmliche Phishing-Angriffe zu identifieren.<\/p>\n

    Zielgerichtete PhaaS-Kampagnen<\/strong> greifen als Social-Engineering-Kampagnen<\/a> h\u00e4ufig auf \u00f6ffentlich zug\u00e4ngliche Informationen zur\u00fcck: Jobtitel auf LinkedIn, Ansprechpartner auf Firmenwebseiten, Gesch\u00e4ftsberichte oder fr\u00fchere Leaks<\/a> liefern Kriminellen ausreichend Kontext, um personalisierte Angriffe zu starten. Eine E-Mail von der angeblichen Buchhaltung, die zur Zahlung einer offenen Rechnung auffordert, ein Kollege, der kurzfristig um Zugangsdaten bittet \u2013 solche Nachrichten wirken \u00fcberzeugend, wenn sie gut vorbereitet sind.<\/p>\n

    Besonders gef\u00e4hrdet sind Personen mit erweiterten Berechtigungen<\/strong>: Administratoren, Gesch\u00e4ftsf\u00fchrung, Einkauf oder IT-Verantwortliche. Diese stehen im Zentrum gezielter Whaling-Aktivit\u00e4ten<\/a>. Ihr Zugang zu sensiblen Systemen macht sie zum strategischen Ziel \u2013 ein erfolgreich kompromittierter Account kann Angreifern T\u00fcr und Tor zu ERP-Systemen, Kundenportalen oder Finanzdaten \u00f6ffnen. Besonders in kleinen und mittelst\u00e4ndischen Unternehmen, in denen Rollen oft geb\u00fcndelt sind, ist das Risiko entsprechend hoch.<\/p>\n

    Gefahr f\u00fcr Unternehmen durch PhaaS<\/h2>\n

    Phishing-as-a-Service<\/strong> stellt eine wachsende Gefahr f\u00fcr kleine und mittelst\u00e4ndische Unternehmen dar. Denn Angriffe, die fr\u00fcher gezielte Vorbereitung und Fachwissen erforderten, lassen sich heute schnell, g\u00fcnstig und weitgehend automatisiert durchf\u00fchren. Die Folge: Eine zunehmende Anzahl an Phishing-Versuchen trifft auf Unternehmen, die nicht ausreichend gesch\u00fctzt sind \u2013 und das sind leider vor allem die kleinen oder mittelst\u00e4ndischen. Die gr\u00f6\u00dften Risiken entstehen, wenn Angreifer durch menschliche Fehler Zugriff auf interne Systeme erlangen. Kommt es zu einem erfolgreichen Angriff, drohen unmittelbare Folgen:<\/p>\n