Es ist 2026, KI schreibt unsere E-Mails, Quantencomputing steht vor der Tür, und doch... ist Phishing nach wie vor die häufigste Methode, mit der Angreifer bei kleinen Unternehmen zur Vordertür hereinkommen. Ein aktueller Bericht hat gezeigt, dass fast die Hälfte der britischen Unternehmen im vergangenen Jahr von einer Datenpanne betroffen war, und Phishing trägt dabei den Großteil der Last. Derselbe Trick, der 2005 funktionierte, funktioniert noch heute – nur mit besserer Grammatik und einer raffinierteren gefälschten Anmeldeseite.
Wenn Sie eine Website betreiben, eine WordPress-Seite verwalten oder ein Hosting-Konto besitzen, betrifft Sie das direkt. Ein Mitarbeiter, der auf einen dubiosen Link klickt, kann die Schlüssel zu Ihrem cPanel, Ihrer E-Mail, Ihrer Kundendatenbank – kurz allem – aushändigen. Die gute Nachricht? Sie brauchen kein sechsstelliges Sicherheitsbudget, um sich zur Wehr zu setzen. Sie brauchen nur ein praxisorientiertes Playbook – und genau das haben wir für Sie.
Warum Phishing noch immer funktioniert (und warum KMU ein so verlockendes Ziel sind)
Phishing funktioniert, weil es nicht Ihre Software angreift, sondern Ihre Mitarbeiter. Angreifer müssen keinen Zero-Day-Exploit finden, wenn sie Sarah aus der Buchhaltung einfach eine gefälschte Rechnungs-E-Mail schicken können, die sie direkt auf eine täuschend echte Microsoft-365-Anmeldeseite führt. Sie gibt ihre Zugangsdaten ein, erhält einen Fehler wie „Sitzung abgelaufen", zuckt mit den Schultern und macht weiter. Inzwischen sind die Angreifer bereits in ihrem Posteingang.
Kleine und mittlere Unternehmen sind besonders attraktiv, weil sie sich oft in einer Komfortzone befinden: genug Geld und Daten, um den Diebstahl lohnend zu machen, aber selten genug Sicherheitspersonal, um Angriffe frühzeitig zu erkennen. Viele KMU gehen davon aus, dass sie zu klein sind, um gezielt angegriffen zu werden. Doch automatisierte Phishing-Kampagnen interessieren sich nicht für Ihre Mitarbeiterzahl. Sie scrapen E-Mail-Adressen, verschicken Tausende von Nachrichten und warten auf die Klicks.
Und 2026 sind die Köder gefährlicher denn je. KI-generierte Phishing-E-Mails sind von legitimen kaum noch zu unterscheiden. Gefälschte Lieferantenrechnungen, geklonte Buchungsbestätigungen, sogar Deep-Fake-Sprachnachrichten mit der Bitte um dringende Überweisungen – das alles gibt es. Die Abwehr muss genauso clever sein.
Die drei wichtigsten Zugänge absichern: cPanel, WP-Admin und E-Mail
Wenn Sie nur eine Sache aus diesem Beitrag mitnehmen, dann diese: Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) überall, wo sie angeboten wird. Insbesondere für diese drei Konten, die das Herzstück jeder Website sind.
cPanel ist der Hauptschlüssel zu Ihrem Hosting. Gelingt es einem Angreifer, einzudringen, kann er Schadsoftware installieren, Ihre Domain umleiten, Ihre Datenbank exfiltrieren oder das Ganze als Geisel nehmen. Bei TPC Hosting ist 2FA direkt in Ihr Kontrollzentrum integriert und in etwa neunzig Sekunden aktiviert. Es gibt keinen Grund, darauf zu verzichten.
WP-Admin ist das nächste große Angriffsziel. Sobald Angreifer Administratorzugriff auf WordPress haben, können sie bösartige Skripte einschleusen, Ihre Besucher umleiten oder Ihre Website nutzen, um eigene Phishing-Seiten zu hosten – und Sie dabei auf Googles Blacklist bringen. Verwenden Sie ein seriöses 2FA-Plugin, erzwingen Sie starke Passwörter und begrenzen Sie Anmeldeversuche. Bonuspunkte gibt es für das Ändern der Standard-URL /wp-admin.
E-Mail-Konten werden oft vergessen, sind aber absolut entscheidend. Warum? Weil E-Mail das Mittel ist, über das Angreifer jedes andere Passwort zurücksetzen. Wer den Posteingang kompromittiert, kompromittiert alles, was damit verbunden ist. Aktivieren Sie 2FA für jede geschäftliche E-Mail-Adresse und ziehen Sie App-basierte Authentifikatoren anstelle von SMS in Betracht – SMS können durch SIM-Swapping abgefangen werden.
Schulen Sie Ihr Team, als hingen ihre Arbeitsplätze davon ab (denn das tun sie)
Technologie kann nur so viel leisten. Die stärkste Firewall der Welt hält niemanden davon ab, in einem bösartigen Word-Dokument auf „Makros aktivieren" zu klicken. Mitarbeiterschulungen sind die Sicherheitsinvestition mit dem höchsten ROI, die die meisten KMU tätigen können – und sie müssen weder teuer noch langweilig sein.
Beginnen Sie mit den Grundlagen. Bringen Sie Ihrem Team bei, vor dem Klicken den Mauszeiger über Links zu halten, ungewöhnliche Anfragen über einen zweiten Kanal zu verifizieren (zum Beispiel per kurzem Telefonanruf) und Dringlichkeit mit Misstrauen zu begegnen. Phishing-E-Mails erzeugen fast immer künstlichen Druck: „Ihr Konto wird in 24 Stunden gesperrt!" oder „Dringende Rechnung im Anhang, heute bezahlen!" Wenn etwas gehetzt wirkt, ist das das Warnsignal.
Führen Sie vierteljährlich simulierte Phishing-Tests durch. Es gibt viele erschwingliche Tools, die gefälschte Phishing-E-Mails an Ihre Mitarbeiter senden und melden, wer geklickt hat. Das Ziel ist nicht, jemanden bloßzustellen, sondern Schulungslücken zu identifizieren und ein Gedächtnis für Angriffsmuster aufzubauen. Nach einigen Runden werden Ihre Mitarbeiter auch die echten Angriffe erkennen.
Aufbau einer mehrschichtigen Verteidigung, die abfängt, was durchrutscht
Selbst mit guter Schulung und 2FA wird früher oder später etwas durchrutschen. Deshalb brauchen Sie Schichten – damit, wenn eine Verteidigung versagt, die nächste greift.
Stellen Sie auf der E-Mail-Seite sicher, dass Ihre Domain über ordnungsgemäß konfigurierte SPF-, DKIM- und DMARC-Einträge verfügt. Diese verhindern, dass Angreifer Ihre Domain fälschen, um Ihre Kunden und Partner zu phishen. Wenn Sie nicht sicher sind, wie Ihre Einträge konfiguriert sind, kann das Support-Team von TPC Hosting Sie Schritt für Schritt durchführen – ein schneller Gewinn, den die meisten Unternehmen übersehen.
Halten Sie auf der Website-Seite WordPress-Core, Themes und Plugins automatisch aktuell. Nutzen Sie eine Web Application Firewall, um bekannte Angriffsmuster zu blockieren. Erstellen Sie regelmäßige externe Backups, damit Sie im schlimmsten Fall innerhalb von Minuten statt Tagen zurücksetzen können. Und überwachen Sie Ihre Anmeldeprotokolle – ungewöhnliche Anmeldeorte oder wiederholte Fehlversuche sind frühe Warnsignale, dass jemand versucht, einzudringen.
Verfassen Sie abschließend einen Incident-Response-Plan – auch einen einfachen. Wen rufen Sie an? Wie setzen Sie Zugangsdaten zurück? Wie informieren Sie Kunden, wenn Daten offengelegt wurden? Dies vor einem Vorfall schriftlich festzuhalten macht einen stressigen Tag bei weitem weniger katastrophal.
FAQ
Ist SMS-basierte 2FA für mein Hosting-Konto ausreichend?
Es ist besser als nichts, aber App-basierte Authentifikatoren wie Google Authenticator oder Authy sind stärker, da sie nicht durch SIM-Swapping-Angriffe abgefangen werden können. Verwenden Sie für kritische Konten wie cPanel und E-Mail nach Möglichkeit eine Authentifikator-App.
Wie oft sollte ich Phishing-Simulationen für mein Team durchführen?
Vierteljährlich ist für die meisten KMU ein solider Ausgangspunkt. Das ist häufig genug, um das Bewusstsein hochzuhalten, ohne zur Hintergrundgeräusch zu werden. Variieren Sie die Szenarien – gefälschte Rechnungen, gefälschte Lieferbenachrichtigungen, gefälschte interne HR-E-Mails –, damit die Mitarbeiter wachsam bleiben.
Was sollte ich tun, wenn ein Mitarbeiter auf einen Phishing-Link geklickt hat?
Handeln Sie schnell. Setzen Sie sofort das Passwort zurück, widerrufen Sie aktive Sitzungen und prüfen Sie, ob Weiterleitungsregeln zur E-Mail hinzugefügt wurden. Überprüfen Sie die Anmeldeprotokolle von cPanel, WordPress und E-Mail auf verdächtige Aktivitäten. Informieren Sie dann Ihr Team, damit andere auf Folgeangriffe achten können.
