Phishing-Mail im Unternehmen geöffnet – Sofortmaßnahmen und Meldepflicht

Inhalt in Kürze

• Nur geöffnet reicht oft schon: Moderne Phishing-Mails können bereits beim Öffnen Tracking-Pixel laden oder Schadcode nachladen – selbst ohne Klick auf einen Link.
• 7 Sofortmaßnahmen: Vom Netzwerk trennen bis zur Meldung an die Aufsichtsbehörde. Jede Minute zählt.
• Meldepflicht prüfen: Sobald personenbezogene Daten betroffen sein könnten, greift Art. 33 DSGVO mit der 72-Stunden-Frist.
• Auch vermeintlich harmlose Vorfälle dokumentieren: Wer nicht meldet, riskiert ein Bußgeld – selbst wenn kein Schaden entstanden ist.

---

Es passiert schneller, als Sie denken. Ein Mitarbeiter öffnet eine E-Mail. Sie sieht aus wie eine Rechnung vom Lieferanten. Oder wie eine Termineinladung vom Geschäftspartner. Ein Klick auf den Anhang. Vielleicht sogar Zugangsdaten eingegeben.

Jetzt läuft die Uhr.

Phishing ist der häufigste Einstiegspunkt für Cyberangriffe auf deutsche Unternehmen. Laut BSI-Lagebericht 2025 sind KI-gesteuerte Phishing-Angriffe im Vergleich zum Vorjahr um 300 % gestiegen. Und die Angriffe werden besser. Rechtschreibfehler und seltsame Absenderadressen waren gestern. Heute kommen Phishing-Mails von echten Absendern – aus bereits kompromittierten Postfächern.

Aus der Praxis

Das zeigt das Problem: Sie können die beste Firewall haben, den besten Spamfilter. Wenn die E-Mail von einem echten, vertrauenswürdigen Absender kommt, versagen technische Filter. Dann entscheidet nur noch, wie Ihre Mitarbeiter reagieren – und wie gut Ihr Notfallplan ist.

Die 7 Sofortmaßnahmen nach einer Phishing-Mail

Wenn ein Mitarbeiter auf eine Phishing-Mail hereingefallen ist, zählt Geschwindigkeit. Hier ist der Ablauf:

1. Gerät sofort vom Netzwerk trennen WLAN deaktivieren, LAN-Kabel ziehen. Das verhindert, dass sich Schadsoftware im Unternehmensnetzwerk ausbreitet. Gerät nicht ausschalten – eventuell werden forensische Daten benötigt.
2. IT-Abteilung oder IT-Dienstleister informieren Sofort. Nicht erst am nächsten Morgen. Nicht erst, wenn Sie sicher sind, dass es ein Angriff war. Lieber einmal zu viel melden als einmal zu wenig. Die IT muss wissen, was geöffnet, angeklickt oder eingegeben wurde.
3. Alle Passwörter ändern Wurden Zugangsdaten eingegeben? Dann sofort das betroffene Passwort ändern – und jedes andere Konto, das dasselbe Passwort nutzt. Alle aktiven Sessions beenden. MFA-Methoden prüfen und neu einrichten.
4. Betroffene Systeme auf Schadsoftware prüfen Vollständiger Virenscan des betroffenen Geräts. Audit-Logs auf ungewöhnliche Aktivitäten prüfen. Postfachregeln kontrollieren – Angreifer richten häufig Weiterleitungsregeln ein, um mitzulesen.
5. Datenschutzbeauftragten einbinden Ihr [externer Datenschutzbeauftragter](/externer-datenschutzbeauftragter-hamburg/) bewertet, ob personenbezogene Daten betroffen sind und ob eine Meldepflicht besteht. Je früher Sie ihn einbinden, desto besser.
6. Vorfall dokumentieren Was genau ist passiert? Wann? Wer war betroffen? Welche Daten könnten kompromittiert sein? Diese Dokumentation brauchen Sie für die Behördenmeldung und für Ihre interne Nachbereitung.
7. Meldung an die Aufsichtsbehörde prüfen und durchführen Wenn personenbezogene Daten betroffen sind, haben Sie 72 Stunden. Nicht ab dem Zeitpunkt des Angriffs – ab dem Zeitpunkt, an dem Sie davon erfahren. Mehr dazu im nächsten Abschnitt.

Meldepflicht-Check: Muss ich den Vorfall melden?

Nach Art. 33 DSGVO müssen Sie eine Datenschutzverletzung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden – es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die betroffenen Personen.

Nutzen Sie diese Checkliste:

Meldepflicht besteht wahrscheinlich, wenn:

• ☐ Zugangsdaten wurden auf einer gefälschten Seite eingegeben
• ☐ Ein E-Mail-Postfach wurde kompromittiert (enthält personenbezogene Daten)
• ☐ Anhänge mit Schadsoftware wurden geöffnet und ausgeführt
• ☐ Kundendaten, Mitarbeiterdaten oder Gesundheitsdaten waren im betroffenen System
• ☐ Der Angreifer hatte Zugriff auf Cloud-Dienste (M365, Google Workspace, CRM)
• ☐ Weiterleitungsregeln wurden eingerichtet (Datenabfluss wahrscheinlich)

Meldepflicht besteht eher nicht, wenn:

• ☐ Die E-Mail wurde nur geöffnet, aber kein Link angeklickt und kein Anhang geöffnet
• ☐ Kein Zugriff auf personenbezogene Daten möglich war
• ☐ Die IT konnte nachweislich bestätigen, dass keine Daten abgeflossen sind

Im Zweifel gilt: Melden. Eine unnötige Meldung hat keine negativen Folgen. Eine unterlassene Meldung kann teuer werden. Ihr Datenschutzbeauftragter hilft bei der Einschätzung. Falls Sie noch keinen haben, ist jetzt der richtige Zeitpunkt – der Cyberangriff-Notfall-Guide zeigt, warum.

Warum Phishing heute gefährlicher ist als je zuvor

Die Zeiten von „Nigerianischer Prinz”-E-Mails sind vorbei. Moderne Phishing-Angriffe nutzen KI, um täuschend echte E-Mails zu generieren. Sie verwenden kompromittierte Absenderadressen. Sie umgehen MFA durch Adversary-in-the-Middle-Angriffe.

Seit Ende 2025 gilt zudem NIS-2 verpflichtend. Für betroffene Unternehmen bedeutet das: strengere Meldepflichten, höhere Sicherheitsanforderungen und persönliche Haftung der Geschäftsführung bei Versäumnissen.

Phishing-as-a-Service (PhaaS) macht es Kriminellen noch leichter. Laut Sicherheitsexperten könnten PhaaS-Kits bis Ende 2026 für über 90 % der Credential-Diebstähle verantwortlich sein. Die Einstiegshürde für Angreifer sinkt. Die Qualität der Angriffe steigt.

So schützen Sie Ihr Unternehmen langfristig

Reaktion ist wichtig. Prävention ist besser. Diese Maßnahmen reduzieren das Risiko eines erfolgreichen Phishing-Angriffs erheblich:

Mitarbeiter-Schulungen: Regelmäßige Phishing-Simulationen senken die Klickrate um 60–80 % innerhalb eines Jahres. Nicht als Bestrafung, sondern als Training.

Phishing-resistente Authentifizierung: FIDO2-Sicherheitsschlüssel oder Passkeys statt klassischer MFA per SMS oder App. Kosten: ca. 25–50 € pro Mitarbeiter.

E-Mail-Security-Gateway: Professionelle E-Mail-Filterung erkennt verdächtige Links, Anhänge und Absendermuster – bevor die Mail im Postfach landet.

Incident-Response-Plan: Dokumentieren Sie vorher, wer im Ernstfall was tut. In der Hektik einer Datenpanne ist keine Zeit, Zuständigkeiten zu klären.

Datenschutzbeauftragten einbinden: Ein externer Datenschutzbeauftragter kennt die Meldepflichten, die Fristen und die richtigen Ansprechpartner bei den Behörden. Bei einem Vorfall übernimmt er die Kommunikation – das spart Zeit und Nerven.

Takeaway

Phishing-Prävention für Hamburger Unternehmen

Hamburger Unternehmen melden überdurchschnittlich viele Phishing-Vorfälle — kein Wunder bei der hohen Dichte an Handels-, Logistik- und Finanzdienstleistern. Die Angreifer nutzen gezielt branchenspezifische Köder: gefälschte Zollbescheide, vermeintliche Reederei-Rechnungen oder Hafengebühren-Mails. Regelmäßige Phishing-Simulationen und Vor-Ort-Schulungen senken die Klickrate nachweislich. Unsere Cybersicherheitsberatung in Hamburg kombiniert beides — abgestimmt auf Ihre Branche.

Häufige Fragen (FAQ)

Ist es gefährlich, eine Phishing-Mail nur zu öffnen?

Das reine Öffnen einer E-Mail ist in den meisten Fällen noch nicht kritisch. Allerdings können Tracking-Pixel oder nachgeladene Inhalte dem Angreifer bestätigen, dass Ihre Adresse aktiv ist. Gefährlich wird es, wenn Sie Links anklicken, Anhänge öffnen oder Daten eingeben. Trotzdem: Melden Sie auch das reine Öffnen an Ihre IT-Abteilung.

Was passiert, wenn ich die 72-Stunden-Frist verpasse?

Eine verspätete Meldung ist besser als keine Meldung. Sie müssen allerdings begründen, warum die Frist nicht eingehalten wurde. Die Aufsichtsbehörde kann bei unterlassener oder verspäteter Meldung Bußgelder verhängen. Mit einem Datenschutzbeauftragten an Ihrer Seite wird die Frist in der Regel eingehalten.

Mein Mitarbeiter hat auf einen Phishing-Link geklickt, aber keine Daten eingegeben. Muss ich trotzdem handeln?

Ja. Allein durch den Klick auf einen manipulierten Link kann Schadsoftware heruntergeladen werden (Drive-by-Download). Lassen Sie das Gerät von der IT prüfen und dokumentieren Sie den Vorfall. Ob eine Meldung an die Behörde nötig ist, hängt davon ab, ob personenbezogene Daten gefährdet waren.

Wie oft sollten Mitarbeiter zu Phishing geschult werden?

Mindestens vierteljährlich. Kombinieren Sie kurze Theorie-Einheiten mit praktischen Phishing-Simulationen. Unternehmen, die regelmäßig simulieren, reduzieren die Klickrate auf Phishing-Mails um bis zu 80 %.

Haftet der Geschäftsführer persönlich bei einem Phishing-Vorfall?

Seit NIS-2 (Dezember 2025) kann die Geschäftsführung persönlich haftbar gemacht werden, wenn angemessene Sicherheitsmaßnahmen nicht umgesetzt wurden. Auch nach DSGVO trägt der Verantwortliche – also das Unternehmen und dessen Leitung – die Pflicht, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen.