Smishing erklärt: Was phishing und wie man sich dagegen schützen kann

Wichtige Erkenntnisse

Smishing dominiert phishing mobile phishing. SMS-basierte Angriffe machen 69,3 % aller auf Mobilgeräte abzielenden phishing Mishing) aus, wobei die Zahl der Vorfälle im Vergleich zum Vorjahr um 22 % gestiegen ist.
Sicherheitsverletzungen in Unternehmen beginnen mit einer SMS. Die viel beachteten Sicherheitsvorfälle bei Twilio, Uber und MGM Resorts lassen sich alle auf Social Engineering per SMS als ursprünglichen Zugangsweg zurückführen.
Phishing industrialisieren Smishing. Kriminelle Netzwerke wie Darcula und Lucid haben seit Januar 2024 über 194.000 bösartige Domains registriert und nutzen nun generative KI zur Erstellung mehrsprachiger Köder.
Die SMS-basierte MFA stellt ein Sicherheitsrisiko dar. Die CISA und das FBI raten ausdrücklich von der SMS-basierten Multi-Faktor-Authentifizierung ab und fordern Unternehmen nachdrücklich auf, phishing FIDO2/WebAuthn-Alternativen einzuführen.
Die Erkennung nach einem Sicherheitsverstoß ist unerlässlich. Wenn eine Smishing-Nachricht die Präventionsmaßnahmen umgeht, erkennen Verhaltensanalysen und KI-gestützte Signalanalysen die nächsten Schritte des Angreifers – den Missbrauch von Anmeldedaten, laterale Bewegungen und Datenexfiltration.

Jeden Tag erreichen Milliarden von Textnachrichten Mobilgeräte weltweit. Angreifer wissen das – und sie nutzen das Vertrauen der Menschen in SMS aus, um die E-Mail-Sicherheitskontrollen zu umgehen, die Unternehmen über Jahre hinweg aufgebaut haben. Laut dem „Verizon 2025 Data Breach Report“ begannen 16 % der Sicherheitsverletzungen mit phishing 60 % waren auf menschliches Handeln zurückzuführen, was Social Engineering zum hartnäckigsten Vektor für den ersten Zugriff in der Cybersicherheit macht. Smishing – phishing per SMS – hat sich zum dominierenden Kanal für Angriffe auf Mobilgeräte entwickelt und verursachte laut FTC allein im Jahr 2024 Verluste in Höhe von 470 Millionen US-Dollar für Verbraucher. Für Sicherheitsteams ist Smishing nicht mehr nur ein Ärgernis für Verbraucher. Es ist eine Bedrohung auf Unternehmensebene, die eine mehrschichtige Verteidigungsstrategie erfordert.

Was ist Smishing?

Smishing ist eine Social-Engineering-Attacke, bei der Kriminelle betrügerische Textnachrichten – per SMS, RCS oder iMessage – versenden, um die Empfänger dazu zu verleiten, auf bösartige Links zu klicken, sensible Informationen preiszugeben oder malware. Der Begriff setzt sich aus „SMS“ undphishing zusammen und beschreibt diesen vorrangig auf Mobilgeräte ausgerichteten Angriffsvektor.

Smishing ist Teil der übergeordneten Kategorie „Mishing“, einem von Zimperium geprägten Oberbegriff für alle auf Mobilgeräte abzielenden phishing , darunter phishing Vishing) und phishing Quishing). Von allen Mishing-Angriffsarten ist Smishing bei weitem die häufigste. Laut dem „Zimperium 2025 Global Mobile Threat Report“ basieren 69,3 % aller auf Mobilgeräte abzielenden phishing auf SMS.

Das Ausmaß des Problems nimmt rapide zu. Laut einer Studie von Zimperium stiegen die Smishing-Vorfälle im Jahr 2025 im Vergleich zum Vorjahr um 22 %, und laut dem „Proofpoint 2024 State of the Phish“-Bericht – den aktuellsten verfügbaren jährlichen Erhebungsdaten zur Verbreitung von Smishing in Unternehmen – waren im Jahr 2023 75 % der Unternehmen von Smishing-Angriffen betroffen.

Warum Smishing eine Bedrohung für Unternehmen darstellt

Der Grund, warum Smishing so gut funktioniert, ist einfach: Die Menschen vertrauen SMS-Nachrichten. Die Klickraten bei SMS liegen zwischen 8,9 % und 14,5 %, verglichen mit etwa 2 % bei phishing. Die Nachrichten kommen auf privaten Geräten an, auf denen unter Umständen keine Sicherheitskontrollen des Unternehmens vorhanden sind, und das kleine Bildschirmformat erschwert es, URLs vor dem Antippen zu überprüfen.

Die Folgen für die Unternehmen sind gravierend. Der Twilio-Hack im August 2022, der Angriff auf Uber im September 2022 und der Angriff auf MGM Resorts im September 2023 begannen alle mit SMS-basiertem oder mobilem Social Engineering als Einstiegsvektor. Dabei handelte es sich nicht um Betrugsversuche gegenüber Verbrauchern. Es waren koordinierte Kampagnen von raffinierten Angreifern – und sie führten zu Hunderten von kompromittierten Konten, Zugriff auf interne Systeme und Verlusten in Höhe von über 100 Millionen Dollar.

So funktionieren Smishing-Angriffe

Ein Smishing-Angriff folgt einem vorhersehbaren Ablauf, wobei die Raffinesse der einzelnen Phasen mit dem Aufkommen von phishing(PhaaS) und generativer KI dramatisch zugenommen hat.

Ablauf des Angriffs:

Erstellung von Ködern – Der Angreifer verfasst eine Textnachricht, die ein Gefühl der Dringlichkeit, Angst oder Neugier wecken soll. In diesen Nachrichten geben sich die Absender als Banken, Behörden, Arbeitgeber oder Lieferdienste aus.
Nachrichtenübermittlung – Der Köder wird per herkömmlicher SMS, RCS oder iMessage versendet. PhaaS-Plattformen nutzen mittlerweile alle drei Kanäle, um Filter auf Netzbetreiber-Ebene zu umgehen.
Interaktion mit dem Opfer – Der Empfänger tippt auf einen Link, der ihn auf eine Seite zum Ausspähen von Zugangsdaten weiterleitet, die einem legitimen Anmeldeportal nachempfunden ist, oder einen malware auslöst.
Datenexfiltration – Die erbeuteten Zugangsdaten werden für die Übernahme von Konten oder für unbefugten Zugriff genutzt oder auf kriminellen Marktplätzen verkauft.
Aktivitäten nach dem Kompromittieren – Angreifer nutzen gestohlene Zugangsdaten für die laterale Bewegung, die Ausweitung von Berechtigungen und das weitere Eindringen in das Netzwerk.

Mehrere neu aufkommende Übermittlungstechniken erschweren die Erkennung von Smishing. Apples iMessage deaktiviert Links von unbekannten Absendern standardmäßig, doch Angreifer weisen die Empfänger nun an, mit „Y“ zu antworten, um sie wieder zu aktivieren – eine von BleepingComputer dokumentierte Technik, die Apples integrierten phishing effektiv umgeht. Im Vereinigten Königreich nahmen die Behörden Personen fest, die fahrzeugmontierte SMS-Blaster einsetzten – physische Geräte, die Mobilfunkmasten imitieren, um Smishing-Nachrichten direkt an Telefone in der Nähe zu senden und so die Filterung durch die Netzbetreiber vollständig zu umgehen (SecurityWeek). Forscher bei Sekoia dokumentierten zudem stille Smishing-Kampagnen, die anfällige Router-APIs (CVE-2023-43261 auf Milesight-Routern) ausnutzen, um Nachrichten ohne Wissen des Gerätebesitzers zu versenden (Sekoia).

Kann man gehackt werden, wenn man auf eine SMS antwortet? In vielen Fällen ja. Allein durch die Antwort auf eine Smishing-Nachricht wird bestätigt, dass die Nummer aktiv ist, was weitere Angriffe nach sich ziehen kann. Im Fall der iMessage mit dem Aufruf „Antworte mit Y“ wird durch die direkte Antwort eine Sicherheitsfunktion deaktiviert, wodurch der Nutzer bösartigen Links ausgesetzt wird.

phishing „Phishing-as-a-Service“-Ökosystem

Die bedeutendste Veränderung in der Smishing-Landschaft ist das Aufkommen von phishing(PhaaS), die eine schlüsselfertige kriminelle Infrastruktur im industriellen Maßstab bereitstellen. Plattformen wie Darcula, Lucid und Lighthouse bieten fertige Smishing-Kits – einschließlich Nachrichtenvorlagen, Seiten zum Sammeln von Anmeldedaten, Zustellinfrastruktur und Tracking-Dashboards – für nur 8 US-Dollar pro 1.000 Nachrichten über Dienste wie Oak Tel (Resecurity) an.

Die Zahlen sind erschreckend. Untersuchungen von Unit 42 ergaben, dass seit Januar 2024 194.345 bösartige Domains identifiziert wurden, die mit Smishing-Kampagnen aus China in Verbindung stehen, wobei etwa 600 kriminelle Gruppen diese Infrastruktur nutzen. Innerhalb von sieben Monaten wurden allein über diese Plattformen rund 884.000 Zahlungskarten kompromittiert (Infosecurity Magazine).

Die Integration generativer KI macht diese Plattformen noch gefährlicher. Im April 2025 erweiterte Darcula seine Funktionen um GenAI-Fähigkeiten zur automatisierten Erstellung mehrsprachiger phishing (The Hacker News), wodurch die Betreiber in der Lage sind, überzeugende Köder in jeder beliebigen Sprache ohne menschliche Übersetzung zu erstellen. Forschungsergebnisse deuten darauf hin, dass von großen Sprachmodellen (LLM) generierte Smishing-Nachrichten um 24 % effektiver sind als von Menschen verfasste, was die Einstiegshürde für KI-gestützte phishing weiter senkt.

Google reichte Ende 2025 RICO-Klagen gegen die Betreiber von Darcula und Lighthouse ein (NBC News), was eine Eskalation der rechtlichen Schritte gegen PhaaS-Infrastrukturen signalisiert. Aufgrund des dezentralen Charakters dieser Plattformen haben solche Abschaltungen jedoch nur begrenzte langfristige Auswirkungen.

Arten von Smishing-Angriffen

Smishing-Angriffe unterscheiden sich je nach Art des Köders und des Ziels. Die folgende Tabelle fasst die gängigsten Kategorien zusammen, die jeweils durch von Sicherheitsforschern beobachtete reale Kampagnen untermauert werden.

Häufige Arten von Smishing-Angriffen und ihre charakteristischen Merkmale:

Typ	Gängige Köder	Ziel	Risikostufe
Vortäuschung der Identität eines Finanzinstituts	„Verdächtige Aktivitäten auf Ihrem Konto“, „Konto gesperrt“	Bankdaten, Kartennummern	Hoch
Vortäuschung einer Identität als Regierungsstelle oder Behörde	Nicht bezahlte Mautgebühren, Steuerrückerstattungen, Überprüfung von Sozialleistungen	personenbezogene Daten, Zahlungsdaten	Hoch
Versand-/Lieferbenachrichtigungen	„Paket konnte nicht zugestellt werden“, Sendungsverfolgung	Zahlungsdaten, Zugangsdaten	Mittel
IT/Vortäuschung einer Arbeitgeberidentität	Passwortzurücksetzungen, Erfassung von SSO-Anmeldedaten, Aktualisierung von Richtlinien	Unternehmenszugangsdaten, MFA-Codes	Kritisch
Betrugsmaschen mit Preis- oder Gewinnversprechen	Geschenkkarten, Lottogewinne, Treueprämien	Zahlungsdaten, personenbezogene Daten	Mittel
Diebstahl des MFA-Codes	„Bitte bestätigen Sie Ihre Identität“, so lautet die gefälschte MFA-Aufforderung	Einmalpasswörter, Sitzungstoken	Kritisch
Betrugsmaschen unter dem Vorwand einer „falschen Nummer“	Freundliche, versehentlich falsch adressierte Nachrichten, die Vertrauen aufbauen	Finanzielle Ausbeutung (Schlachtung von Schweinen)	Hoch

Das Vortäuschen der Identität von Finanzinstituten und Behörden ist nach wie vor die häufigste Art von Betrugsmasche. Die FBI-Mautkampagne von 2025 – auf die weiter unten näher eingegangen wird – ist ein Beispiel für das Vortäuschen der Identität von Behörden in großem Stil. Angriffe, bei denen sich die Angreifer als IT-Mitarbeiter oder Arbeitgeber ausgeben, stellen für Unternehmen das größte Risiko dar, da sie auf SSO-Anmeldedaten abzielen und direkt zu Datenlecks führen können, die das gesamte Unternehmen betreffen.

Gezielte Smishing-Kampagnen weisen viele Gemeinsamkeiten mit phishing auf: Sie nutzen die Erkundung über LinkedIn und personalisierte Köder, um ihre Glaubwürdigkeit zu erhöhen. Der Unterschied liegt im Übermittlungskanal – und in den höheren Klickraten, die SMS bieten.

Smishing vs. phishing Vishing

Das Verständnis der Unterschiede zwischen Smishing, phishing und Vishing ist entscheidend für den Aufbau eines umfassenden Schutzes. Obwohl es sich bei allen drei um Social-Engineering-Angriffe handelt, unterscheiden sie sich hinsichtlich des Übertragungswegs, der Wirksamkeit und der zur Erkennung erforderlichen Kontrollmaßnahmen.

Vergleich der Angriffsvektoren bei phishing, Smishing und Vishing:

Angriffstyp	Kanal	Gängige Köder	Schlüsselverteidigung
Phishing	E-Mail	Rechnungsbetrug, Das Sammeln von Zugangsdaten, malware	E-Mail-Sicherheitsgateways, DMARC, Benutzerschulungen
Smishing	SMS, RCS, iMessage	Mautgebühren, Lieferbenachrichtigungen, Kontowarnungen, MFA-Anfragen	Schutz vor mobilen Bedrohungen, FIDO2-MFA, Filterung nach Netzbetreibern
Vishing	Sprachanrufe	Betrugsmaschen im Bereich technischer Support, Vortäuschen einer Identität als Helpdesk-Mitarbeiter, Steuerbetrug	Protokolle zur Anrufüberprüfung, Mitarbeiterschulungen
Quishing	QR-Codes	Parkuhren, Speisekarten, gefälschte Rechnungen	URL-Prüfung, Sicherheits-Apps für Mobilgeräte

Der wichtigste Trend ist die Konvergenz. Moderne Angreifer verlassen sich selten auf einen einzigen Kanal. Die Scattered Spider kombiniert Smishing und Vishing in koordinierten Kampagnen, und die Operation „ShinyHunters“ von Januar bis Februar 2026 drang mithilfe von Vishing und Social Engineering in mehr als 15 Organisationen ein, was zu einem Datenleck von über 50 Millionen Datensätzen führte (Help Net Security). Verteidiger, die Smishing, phishing und Vishing als separate Probleme betrachten, werden Multi-Channel-Angriffsketten übersehen.

Smishing in der Praxis: Angriffe aus der Praxis und Warnungen des FBI

Die folgenden Fallstudien zeigen, warum Smishing ein Einfallstor für Angriffe auf Unternehmen darstellt – und nicht nur ein Ärgernis für Verbraucher.

Twilio-Hack (August 2022). Scattered Spider SMS-Nachrichten an aktuelle und ehemalige Twilio-Mitarbeiter, in denen sich die Gruppe als IT-Abteilung ausgab und behauptete, Passwörter seien abgelaufen. Mitarbeiter, die auf den Link klickten, wurden auf ein gefälschtes SSO-Portal weitergeleitet. Die Folge: 209 Kundenkonten sowie 93 Authy-Endnutzerkonten wurden kompromittiert. Die Lehre daraus: Das Sammeln von Anmeldedaten per SMS kann einen gesamten Kundenstamm gefährden (The Hacker News).

MFA-Ermüdungsangriff auf Uber (September 2022). Ein Angreifer erwarb gestohlene Zugangsdaten eines Uber-Mitarbeiters, kontaktierte diesen über WhatsApp und bombardierte ihn mit MFA-Push-Benachrichtigungen, bis der Mitarbeiter aus Frustration eine davon bestätigte. Der Angreifer verschaffte sich Zugriff auf G-Suite, Slack und interne Tools. Die Lehre daraus: SMS- und Push-basierte MFA allein reichen nicht aus – Unternehmen benötigen eine MFA mit Nummernabgleich und Begrenzungen für Push-Versuche (UpGuard).

MGM Resorts und Caesars (September 2023). Scattered Spider LinkedIn-Recherchen sowie Social Engineering über den Helpdesk, um Passwörter und MFA-Zurücksetzungen zu erlangen. MGM verzeichnete im dritten Quartal Verluste in Höhe von 100 Millionen US-Dollar. Caesars zahlte rund 15 Millionen US-Dollar Lösegeld. Die Lehre daraus: Social Engineering umgeht technische Sicherheitsmaßnahmen, indem es auf menschliche Abläufe abzielt – die Identitätsprüfung am Helpdesk muss verstärkt werden (CISA-Hinweis AA23-320A).

FBI-Smishing-Kampagne im Zusammenhang mit Mautgebühren (März 2025). Das FBI erhielt über 2.000 Beschwerden über Smishing-Nachrichten, in denen sich die Absender als staatliche Mautbehörden in mehr als 10 Bundesstaaten ausgaben. Palo Alto Networks identifizierte über 10.000 Domains, die für diese Betrugsmaschen registriert worden waren und mit chinesischen Cyberkriminellengruppen in Verbindung standen (FBI Atlanta). Diese Kampagne verdeutlicht, in welchem Ausmaß PhaaS-Infrastrukturen die Vortäuschung einer staatlichen Identität ermöglichen.

Die Multi-Channel-Kampagne von ShinyHunters (Januar–Februar 2026). ShinyHunters drang durch eine Kombination aus Vishing und Social Engineering in mehr als 15 Organisationen ein und entwendete dabei über 50 Millionen Datensätze. Die Kampagne verdeutlicht den Trend zur Konvergenz – Smishing, Vishing und Social Engineering werden mittlerweile als koordinierte Angriffsketten eingesetzt und nicht mehr als isolierte Taktiken.

Jeder dieser Vorfälle unterstreicht die Notwendigkeit von Notfallplänen, die auf durch Mobilgeräte ausgelöste Sicherheitsverletzungen und die nach dem ersten Zugriff folgenden seitlichen Bewegungen Rechnung tragen.

Smishing erkennen und verhindern

So erkennen Sie Smishing-SMS

Um Smishing zu erkennen, darf man sich nicht nur auf Grammatikfehler verlassen – von KI generierte Nachrichten werden immer ausgefeilter und fehlerfreier. Achten Sie stattdessen auf diese Verhaltensmerkmale:

Unerwartete Dringlichkeit. „Handeln Sie jetzt, sonst wird Ihr Konto gesperrt“ ist eine Drucktaktik, die darauf abzielt, umsichtiges Nachdenken außer Kraft zu setzen.
Unbekannte Absendernummern. Seriöse Organisationen nehmen selten per SMS von unbekannten Nummern Kontakt zu Ihnen auf, um vertrauliche Angelegenheiten zu besprechen.
Verkürzte oder verdächtige URLs. Bit.ly-Links, falsch geschriebene Domains und unbekannte Subdomains sind Warnsignale.
Anfragen nach Zugangsdaten oder persönlichen Informationen. Keine seriöse Bank, kein Arbeitgeber und keine Behörde fragt per SMS nach Passwörtern oder Sozialversicherungsnummern.
Allgemeine Anreden. „Sehr geehrter Kunde“ oder „Sehr geehrter Nutzer“ anstelle Ihres Namens deuten oft auf eine Massenkampagne hin.

Was tun, wenn Sie eine Smishing-SMS erhalten?

Klicken Sie nicht auf Links und antworten Sie nicht auf die Nachricht
Leiten Sie die verdächtige SMS an die Nummer 7726 (SPAM) weiter, um sie Ihrem Mobilfunkanbieter zu melden
Melden Sie die Nachricht an ReportFraud.ftc.gov und IC3.gov
Die Nachricht löschen
Sollte die Nachricht seriös erscheinen, wenden Sie sich bitte direkt über die offizielle Website oder die angegebene Telefonnummer an die Organisation.
Falls Sie bereits auf einen Link geklickt haben, trennen Sie die Internetverbindung, ändern Sie die Passwörter für alle betroffenen Konten, aktivieren Sie die Kontoüberwachung und wenden Sie sich an Ihr Finanzinstitut

Eine wirksame Erkennung von Bedrohungen auf Unternehmensebene erfordert mehr als nur das Bewusstsein der Benutzer. Lösungen zur Verhaltensanalyse können abweichende Authentifizierungsmuster, ungewöhnliche Zugriffsversuche und den Missbrauch von Anmeldedaten nach einem erfolgreichen Smishing-Angriff erkennen – selbst wenn die ursprüngliche Nachricht nicht abgefangen wurde.

Rahmenkonzept zur Abwehr von Smishing in Unternehmen

Verbraucherorientierte Ratschläge – „Klicken Sie nicht auf verdächtige Links“ – sind zwar notwendig, reichen für die Unternehmenssicherheit jedoch nicht aus. Unternehmen benötigen eine mehrschichtige Verteidigungsarchitektur, die Smishing über den gesamten Angriffszyklus hinweg bekämpft.

Phishing MFA. Ersetzen Sie SMS-basierte Einmalpasswörter durch FIDO2/WebAuthn-Hardware-Sicherheitsschlüssel oder biometrische Authentifizierung. NIST SP 800-63 schränkt die SMS-basierte Authentifizierung für Bundesbehörden ein, und die Leitlinien der CISA zu bewährten Verfahren für die mobile Kommunikation vom Dezember 2024 raten ausdrücklich von einer SMS-basierten MFA ab. Dies ist keine optionale Empfehlung mehr – es handelt sich um die Sicherheitsgrundvoraussetzung. Die im Januar 2026 veröffentlichte Richtlinie CIO-IT Security-21-112 Rev 1 der GSA schreibt eine phishing Multi-Faktor-Authentifizierung für nicht-föderale Systeme vor, die kontrollierte, nicht klassifizierte Informationen verarbeiten.

Mobile Threat Defense (MTD). Implementieren Sie MTD-Lösungen auf den Mobilgeräten Ihres Unternehmens, um schädliche Links in Echtzeit zu erkennen und zu blockieren, wie im „CIS Controls Mobile Companion Guide“ empfohlen.

Durchsetzung von MDM/MAM. Mobile Device Management und Mobile Application Management sorgen für die Durchsetzung von Sicherheitsrichtlinien, verhindern die Installation nicht autorisierter Apps und ermöglichen die Fernlöschung von kompromittierten Geräten.

Schulung zur Smishing-Simulation. Erweitern Sie phishing um Übungen auf SMS-Basis. Unternehmen, die lediglich das Bewusstsein für E-Mail-Bedrohungen testen, übersehen dabei den Kanal, in dem die Klickraten vier- bis siebenmal höher sind (Hoxhunt).

Sicherheitsoptimierung des Helpdesks. Die Sicherheitsvorfälle bei MGM und Caesars haben gezeigt, dass Social Engineering technische Sicherheitsmaßnahmen umgeht, indem es auf menschliche Abläufe abzielt. Führen Sie eine mehrstufige Identitätsprüfung für alle Zurücksetzungen von Zugangsdaten ein, wie in der CISA-Empfehlung AA23-320A empfohlen.

SIEM Integration. Vereinheitlichen Sie Warnmeldungen zu mobilen Bedrohungen mit bestehenden SOC-Arbeitsabläufen. Durch Smishing verursachte Kompromittierungen führen zu denselben Verhaltensweisen nach dem Zugriff – Missbrauch von Anmeldedaten, Ausweitung von Berechtigungen, laterale Bewegung – wie jeder andere anfängliche Zugriffsvektor. Ihr SOC benötigt Transparenz über alle Kanäle hinweg.

MITRE ATT&CK für Smishing

Zuordnung von Smishing zum MITRE ATT&CK ermöglicht es Teams für Erkennungstechnologien, gezielte Analysen zu erstellen, und Compliance-Teams, die Abdeckung zu dokumentieren. Derzeit bietet kein bedeutender Wettbewerber diese Zuordnung an, obwohl sie für den Sicherheitsbetrieb in Unternehmen von grundlegender Bedeutung ist.

Für Smishing-Angriffe relevante MITRE ATT&CK :

Technik-ID	Technikname	Taktik	Bezug zu Smishing	Erkennungsstrategie
T1566	Phishing: Spearphishing-Link	Erster Zugriff (Enterprise)	SMS-Nachrichten mit bösartigen URLs, die auf Unternehmenszugangsdaten abzielen	Überwachung auf ungewöhnliche Authentifizierungsversuche von neuen Geräten nach der Eingabe von Anmeldedaten
T1660	Phishing Mobilgeräte)	Erster Zugriff (Mobil)	Bezieht SMS-basiertes phishing ausdrücklich phishing mobilen Erstzugangsweg mit ein	MTD-Lösungen zur Erkennung bösartiger URLs auf Mobilgeräten
T1566.003	Spearphishing über Dienstleistungen	Erster Zugriff (Enterprise)	Smishing über iMessage, RCS oder WhatsApp	Überwachen Sie den Datenverkehr von Messaging-Diensten von Drittanbietern auf Anzeichen für das Ausspähen von Anmeldedaten
T1636.004	Geschützte Benutzerdaten: SMS-Nachrichten	Kollektion (Mobil)	Erfassung von SMS-Nachrichten einschließlich MFA-Codes nach dem Kompromittieren	Unbefugte Zugriffe auf SMS-APIs oder Nachrichtenspeicher auf Mobilgeräten erkennen
T1582	SMS-Steuerung	Command and Control mobil)	Malware die SMS-Funktionen kompromittierter Geräte, um Smishing zu verbreiten	Überwachung auf ungewöhnliche Muster bei ausgehenden SMS von unternehmensverwalteten Geräten

Regulatorischer und Compliance-Kontext

Die Abwehr von Smishing in Unternehmen lässt sich direkt auf etablierte Compliance -Rahmenwerke abbilden:

NIST-CSF-Funktionen. Identifizieren (Bestandsaufnahme der Ressourcen einschließlich mobiler Geräte), Schützen (phishing MFA), Erkennen (MTD und Verhaltensanalyse), Reagieren (Incident Response bei durch mobile Geräte ausgelösten Sicherheitsverletzungen).
NIST SP 800-63. Beschränkt die SMS-basierte Authentifizierung für Systeme der Bundesbehörden aufgrund von Risiken durch SIM-Swapping und Abhörversuche.
Leitlinien der CISA und des FBI vom Dezember 2024. Darin wird ausdrücklich davon abgeraten, SMS-basierte MFA für alle Organisationen einzusetzen, nicht nur für Bundesbehörden.
CIS-Kontrollpunkt 14. Schulungen zur Sensibilisierung und Kompetenzentwicklung im Bereich Sicherheit, die Smishing als eigenständigen Angriffsvektor behandeln.
CIS Controls Mobile Companion Guide. Empfiehlt MDM-, MTD- und mobile Antiviren-Technologien für den Schutz mobiler Geräte in Unternehmen.

Moderne Ansätze zur Abwehr von Smishing

Die Sicherheitsbranche entwickelt ihren Ansatz im Umgang mit Smishing weiter: weg von der reinen Prävention hin zu Erkennung und Reaktion. KI-gestützte Erkennungsmodelle erreichen laut aggregierten Forschungsergebnissen für den Zeitraum 2025–2026 mittlerweile eine Smishing-Erkennungsrate von 96,2 %, verglichen mit 25–35 % bei herkömmlichen kommerziellen Filtertools. Diese Diskrepanz verdeutlicht die Grenzen regel- und signaturbasierter Ansätze angesichts von KI-generierten, mehrsprachigen Ködern, die gleichzeitig über SMS-, RCS- und iMessage-Kanäle versendet werden.

Verhaltensanalysen spielen eine entscheidende Rolle bei der Abwehr von Smishing auf Unternehmensebene. Anstatt zu versuchen, jede bösartige SMS zu blockieren – was immer schwieriger wird –, profitieren Unternehmen davon, die Verhaltensmuster zu erkennen, die nach einem erfolgreichen Smishing-Angriff auftreten: anomale Nutzung von Anmeldedaten, laterale Bewegung über Netzwerke und cloud hinweg, Ausweitung von Berechtigungen und Datenexfiltration. Eine einheitliche Erkennung über die gesamte Angriffsfläche hinweg – Netzwerk, Identitäten, cloud und SaaS – stellt sicher, dass durch Smishing ausgelöste Kompromittierungen unabhängig vom ursprünglichen Zugangskanal erkannt werden.

Unternehmen, die Lösungen für Managed Detection and Response (MDR) und Network Detection and Response (NDR) prüfen, sollten beurteilen, ob diese Lösungen Einblick in die durch Smishing ausgelöste Kette von Aktivitäten nach einer Kompromittierung bieten – und nicht nur in die SMS-Übermittlung selbst.

Wie Vectra AI die Abwehr von Smishing Vectra AI

Smishing ist oft der erste Schritt eines mehrstufigen Angriffs. Attack Signal Intelligence Vectra AI Attack Signal Intelligence auf die Erkennung der Verhaltensmuster nach einer erfolgreichen Smishing-Attacke – Missbrauch von Anmeldedaten, laterale Bewegung, Ausweitung von Berechtigungen und Datenexfiltration – im gesamten modernen Netzwerk, das lokale, cloud, Identitäts- und SaaS-Umgebungen umfasst. Dieser „Assume-Compromise“-Ansatz bedeutet, dass selbst wenn eine Smishing-Nachricht die Präventionskontrollen umgeht, die nachfolgenden Aktionen des Angreifers durch KI-gesteuerte Verhaltensanalysen erkannt und priorisiert werden, anstatt sich allein auf Signaturen zu verlassen. Durch die Korrelation von Signalen zwischen Identitätsbedrohungserkennung und -reaktion (ITDR) sowie Netzwerkerkennung Vectra AI SOC-Teams dabei, Angriffe zu erkennen und zu stoppen, die mit einer Textnachricht beginnen.

Künftige Trends und neue Überlegungen

Die Bedrohungslage im Bereich Smishing entwickelt sich in vielerlei Hinsicht weiter, und Unternehmen sollten sich auf mehrere wichtige Entwicklungen in den nächsten 12 bis 24 Monaten einstellen.

Die Einführung von RCS vergrößert die Angriffsfläche. Da Apple RCS im Jahr 2025 einführt, stehen PhaaS-Plattformen nun drei Messaging-Kanäle – SMS, RCS und iMessage – zur Verfügung, die sie ausnutzen können. RCS-Nachrichten können umfangreichere Formatierungen und Branding-Elemente enthalten, wodurch Smishing-Köder überzeugender wirken, und die Sicherheitslage bei RCS-Implementierungen variiert je nach Netzbetreiber und Gerätehersteller.

Generative KI treibt die Raffinesse von Smishing voran. Die Integration von GenAI in PhaaS-Plattformen (wie Darcula im April 2025 demonstriert hat) ermöglicht automatisierte, mehrsprachige und kontextbezogen personalisierte Köder in großem Maßstab. Unternehmen müssen damit rechnen, dass sich Smishing-Nachrichten zunehmend kaum noch von legitimen Mitteilungen unterscheiden lassen, wodurch eine auf Grammatik basierende Erkennung überholt sein wird.

Die regulatorischen Bestrebungen nehmen zu. Die Veröffentlichung von NIST SP 800-63-4 wird voraussichtlich im Jahr 2026 abgeschlossen sein und dürfte die Auflagen für die SMS-basierte Authentifizierung verschärfen. Die von der GSA für Januar 2026 vorgesehene Vorschrift für phishing MFA auf Systemen, die kontrollierte, nicht klassifizierte Informationen verarbeiten, signalisiert eine umfassendere Initiative auf Bundesebene, der Organisationen des privaten Sektors wahrscheinlich folgen werden. Sicherheitsverantwortliche sollten bereits jetzt mit der Planung der Umstellung auf FIDO2 beginnen, anstatt auf verbindliche Vorschriften zu warten.

Die PhaaS-Infrastruktur dezentralisiert sich weiter. Trotz der RICO-Klagen und der Strafverfolgungsmaßnahmen von Google bauen PhaaS-Plattformen ihre Infrastruktur schnell wieder auf. Unternehmen sollten in Echtzeit-Prüfungen der URL-Reputation, KI-gestützte Erkennung und Verhaltensanalysen nach einer Kompromittierung investieren, anstatt sich ausschließlich auf Filter auf Netzbetreiber-Ebene zu verlassen.

Schlussfolgerung

Smishing hat sich von einem Ärgernis für Verbraucher zu einem der wirksamsten Einfallstore entwickelt, die die Sicherheit von Unternehmen bedrohen. Die Kombination aus hohen Klickraten bei SMS, einer industrialisierten PhaaS-Infrastruktur und generativer KI bedeutet, dass das Volumen, die Raffinesse und die Erfolgsquote von Smishing-Angriffen weiter zunehmen werden.

Der Weg in die Zukunft besteht nicht allein in Prävention. Unternehmen, die von einer Kompromittierung ausgehen – also anerkennen, dass einige Smishing-Nachrichten ihre Mitarbeiter erreichen und einige Mitarbeiter darauf klicken werden –, sind besser in der Lage, Angriffe zu erkennen und zu stoppen, bevor sie Schaden anrichten. Dies erfordert phishing MFA, Schutz vor mobilen Bedrohungen, Simulationsschulungen, gehärtete Prozesse und Verhaltenserkennung, die Angreifer nach dem ersten Zugriff aufspürt.

Die beste Abwehr gegen Smishing ist dieselbe, die bei jedem Erstzugriffsvektor funktioniert: Transparenz über die gesamte Angriffsfläche hinweg, KI-gestützte Signale, um Störsignale auszublenden, und die Fähigkeit, zu handeln, bevor Angreifer ihre Ziele erreichen.

Erfahren Sie, wie Vectra AI Bedrohungen nach einem Sicherheitsvorfall in Netzwerk-, Identitäts-, cloud und SaaS-Umgebungen Vectra AI .

Häufig gestellte Fragen

Was ist Smishing?

Smishing ( phishing) ist eine Social-Engineering-Attacke, bei der Kriminelle betrügerische Textnachrichten versenden, um Empfänger dazu zu verleiten, auf bösartige Links zu klicken, sensible Informationen preiszugeben oder malware zu installieren. Es handelt sich um eine Variante des phishing SMS, RCS oder iMessage anstelle von E-Mails als Übertragungskanal genutzt werden. Der Begriff setzt sich aus „SMS“ undphishing zusammen. Smishing fällt unter die übergeordnete Kategorie „Mishing“ – ein Oberbegriff für alle phishing , die auf Mobilgeräte abzielen. Laut einer Studie von Zimperium aus dem Jahr 2025 machen SMS-basierte Angriffe 69,3 % aller auf Mobilgeräte abzielenden phishing aus, was Smishing zum dominierenden Angriffsvektor für Mobilgeräte macht. Für Unternehmen stellt Smishing ein erhebliches Risiko dar, da die Klickraten bei SMS zwischen 8,9 % und 14,5 % liegen und damit die Rate von etwa 2 % bei phishing bei weitem übertreffen. Bei den viel beachteten Sicherheitsverletzungen bei Twilio, Uber und MGM Resorts diente jeweils SMS-basiertes oder mobiles Social Engineering als erster Zugangsweg.

Was ist der Unterschied zwischen Smishing und phishing?

Phishing erfolgt Phishing per E-Mail, während Smishing über Textnachrichten – SMS, RCS oder iMessage – versendet wird. Der wesentliche Unterschied liegt im Übertragungskanal, doch diese Unterscheidung hat erhebliche Auswirkungen auf die Sicherheit. Smishing-Nachrichten erzielen deutlich höhere Klickraten (8,9–14,5 % gegenüber etwa 2 % bei E-Mails), da die Menschen Textnachrichten mehr vertrauen und sie schneller lesen. phishing durch E-Mail-Sicherheitsgateways von Unternehmen, DMARC-Richtlinien und Sandboxing-Tools abgefangen werden. Smishing gelangt oft auf private Mobilgeräte, denen entsprechende Sicherheitskontrollen fehlen, was es für Unternehmen schwieriger macht, solche Angriffe zu erkennen und zu blockieren. Beide Angriffe nutzen Social-Engineering-Taktiken – Dringlichkeit, Vortäuschen von Autorität und Angst – um die Empfänger zu manipulieren. Die raffiniertesten Angreifer kombinieren mittlerweile beide Kanäle in mehrstufigen Kampagnen und nutzen Smishing für den ersten Kontakt sowie phishing die anschließende Erfassung von Anmeldedaten.

Woran erkenne ich, ob es sich bei einer SMS um einen Smishing-Versuch handelt?

Achten Sie auf folgende Anzeichen: unerwartete Dringlichkeit („Handeln Sie jetzt, sonst wird Ihr Konto geschlossen“), unbekannte Absendernummern, verkürzte oder verdächtige URLs (bit.ly-Links, falsch geschriebene Domains), Aufforderungen zur Angabe persönlicher Daten oder Zugangsdaten sowie allgemeine Anreden wie „Sehr geehrter Kunde“. Es ist jedoch wichtig zu beachten, dass KI-generierte Smishing-Nachrichten zunehmend fehlerfrei sind, sodass Grammatik und Rechtschreibung allein keine verlässlichen Indikatoren mehr sind. Die ausgefeiltesten Smishing-Kampagnen nutzen personalisierte Details, die aus sozialen Medien oder Datenlecks stammen. Im Zweifelsfall klicken Sie auf keinen Fall auf Links. Kontaktieren Sie stattdessen die Organisation direkt über deren offizielle Website oder Telefonnummer. Seriöse Organisationen fragen nicht per SMS nach Passwörtern, Sozialversicherungsnummern oder Zahlungsinformationen.

Was soll ich tun, wenn ich eine Smishing-SMS erhalte?

Klicken Sie nicht auf Links und antworten Sie nicht auf die Nachricht. Leiten Sie die SMS an die Nummer 7726 (SPAM) weiter, um sie Ihrem Mobilfunkanbieter zu melden, und melden Sie sie außerdem an ReportFraud.ftc.gov und IC3.gov. Löschen Sie die Nachricht nach der Meldung. Wenn Sie glauben, dass die Nachricht echt sein könnte – zum Beispiel eine Zustellbenachrichtigung, wenn Sie ein Paket erwarten –, kontaktieren Sie die Organisation direkt über deren offizielle Website oder Telefonnummer, nicht über einen Link in der SMS. Wenn Sie für eine Organisation mit einem Security Operations Center (SOC) arbeiten, melden Sie die Nachricht auch Ihrer IT-Sicherheitsabteilung. Ihre Meldung hilft dem SOC dabei, festzustellen, ob die Nachricht Teil einer größeren Kampagne ist, die auf die Organisation abzielt.

Was passiert, wenn man auf einen Smishing-Link klickt?

Wenn Sie auf einen Smishing-Link klicken, werden Sie in der Regel auf eine Seite weitergeleitet, die darauf ausgelegt ist, Anmeldedaten zu stehlen und wie ein legitimes Anmeldeportal aussieht (Ihre Bank, das SSO Ihres Arbeitgebers, eine Mautzahlungsseite), oder es wird möglicherweise ein malware auf Ihr Gerät ausgelöst. Wenn Sie geklickt haben, ergreifen Sie sofort folgende Maßnahmen: Trennen Sie Ihr Gerät vom Internet, ändern Sie die Passwörter für alle Konten, bei denen Sie Anmeldedaten eingegeben haben, aktivieren Sie die Kontoüberwachung und Betrugswarnungen, kontaktieren Sie Ihr Finanzinstitut, falls Zahlungsdaten offengelegt wurden, und melden Sie den Vorfall Ihrem IT-Sicherheitsteam. Zeit ist entscheidend – je schneller Sie handeln, desto weniger Gelegenheit hat der Angreifer, die gestohlenen Anmeldedaten für eine Kontoübernahme oder für seitliche Bewegungen in andere Systeme zu nutzen.

Ist Smishing eine Straftat?

Ja. Smishing ist eine Form des Betrugs und in den meisten Rechtsordnungen weltweit illegal. In den Vereinigten Staaten kann Smishing gemäß den Bundesgesetzen gegen Telekommunikationsbetrug (18 U.S.C. 1343), dem Computer Fraud and Abuse Act (18 U.S.C. 1030) sowie verschiedenen Betrugsgesetzen der Bundesstaaten strafrechtlich verfolgt werden. Auch im Vereinigten Königreich wurden Smishing-Betreiber aktiv strafrechtlich verfolgt, darunter ein Fall aus dem Jahr 2025, in dem Personen Fahrzeug-montierte SMS-Blaster einsetzten, um massenhaft Smishing-Nachrichten zu versenden. Google reichte Ende 2025 RICO-Klagen (Racketeer Influenced and Corrupt Organizations Act) gegen die Betreiber der PhaaS-Plattformen Darcula und Lighthouse ein, was zeigt, dass sich rechtliche Schritte auch auf die Infrastrukturanbieter erstrecken und nicht nur auf die Personen, die die Nachrichten versenden.

Was ist der beste Schutz vor Smishing?

Für Unternehmen besteht die wirksamste Verteidigung aus einer Kombination mehrerer Schutzebenen: phishing MFA (FIDO2/WebAuthn) anstelle von SMS-basierten Einmalpasswörtern, Mobile Threat Defense (MTD)-Lösungen auf Unternehmensgeräten, Simulationsschulungen zum Thema Smishing neben phishing , verstärkte Verfahren zur Identitätsprüfung am Helpdesk sowie SIEM-Integration, um Warnmeldungen zu mobilen Bedrohungen mit den Arbeitsabläufen des SOC zu verknüpfen. Ebenso wichtig ist die Erkennung nach einem Kompromittierungsversuch durch Verhaltensanalysen – um den Missbrauch von Anmeldedaten, laterale Bewegungen und die Ausweitung von Berechtigungen aufzudecken, die auf einen erfolgreichen Smishing-Angriff folgen. Für Einzelpersonen gilt: Klicken Sie niemals auf Links in unerwarteten SMS, überprüfen Sie Absender über offizielle Kanäle, leiten Sie verdächtige Nachrichten an die Nummer 7726 weiter und melden Sie diese der FTC. Keine einzelne Maßnahme reicht aus. Eine wirksame Smishing-Abwehr erfordert mehrschichtige technische Kontrollen, geschultes Personal und Erkennungsfähigkeiten, die über die ursprüngliche Nachricht hinausgehen.

Was ist Mishing?

„Mishing“ ist ein Oberbegriff für alle phishing , die auf Mobilgeräte abzielen. Der Begriff – geprägt vom Mobil-Sicherheitsunternehmen Zimperium – umfasst Smishing (SMS-basiertes phishing), Vishing ( phishing per Sprachanruf), Quishing ( phishing) und andere mobile Angriffsvektoren. Laut dem „2025 Global Mobile Threat Report“ von Zimperium macht Smishing 69,3 % aller Mishing-Angriffe aus und ist damit die dominierende Unterkategorie. Die Mishing-Taxonomie hilft Sicherheitsteams zu erkennen, dass mobile Geräte einem koordinierten Spektrum von Social-Engineering-Bedrohungen ausgesetzt sind und nicht nur einzelnen Angriffstypen. Das Verständnis dieser Taxonomie ist wichtig, da moderne Angreifer zunehmend mehrere Mishing-Vektoren in einer einzigen Kampagne kombinieren – beispielsweise indem sie eine Smishing-SMS senden, gefolgt von einem Vishing-Anruf, um die Glaubwürdigkeit zu erhöhen.

Was ist der Unterschied zwischen Smishing und Quishing?

Bei Smishing werden phishing über Textnachrichten (SMS, RCS oder iMessage) versendet, während Quishing QR-Codes nutzt, um Opfer auf bösartige Websites zu leiten oder malware auszulösen. phishing parallel zur zunehmenden Verwendung von QR-Codes im Alltag – an Parkuhren, auf Speisekarten in Restaurants und beim Check-in bei Veranstaltungen – zugenommen. Beide sind Unterkategorien von Mishing (auf Mobilgeräte ausgerichtetes phishing) und zielen oft auf dieselben Arten von Informationen ab: Anmeldedaten, Zahlungsdetails und persönliche Daten. Der entscheidende Unterschied bei der Abwehr besteht darin, dass Smishing teilweise durch Filter auf Netzbetreiberebene und MTD-Lösungen gemindert werden kann, während Quishing mobile Sicherheitswerkzeuge erfordert, die die Ziele von QR-Codes überprüfen können, bevor diese geladen werden. Einige Kampagnen kombinieren beides – sie versenden eine Smishing-SMS, die einen QR-Code anstelle eines anklickbaren Links enthält.

Wie beugt man Smishing-Angriffen am Arbeitsplatz vor?

Die Prävention von Smishing in Unternehmen erfordert einen mehrschichtigen Ansatz. Erstens: Stellen Sie von SMS-basierter MFA auf phishing Alternativen wie FIDO2/WebAuthn um – sowohl die CISA als auch das NIST empfehlen dies. Zweitens: Setzen Sie Mobile Threat Defense auf allen mobilen Geräten des Unternehmens ein, um bösartige URLs in Echtzeit zu erkennen und zu blockieren. Drittens: Führen Sie Smishing-Simulationsprogramme zusätzlich zu bestehenden phishing ein, um die Widerstandsfähigkeit der Mitarbeiter kanalübergreifend zu messen und zu verbessern. Viertens sollten die Identitätsprüfungsverfahren des Helpdesks verschärft werden, um Resets durch Social Engineering zu verhindern, wie die Vorfälle bei MGM und Caesars gezeigt haben. Fünftens sollten Warnmeldungen zu mobilen Bedrohungen in Ihre SIEM- und SOC-Workflows integriert werden, damit durch Smishing verursachte Kompromittierungen mit derselben Strenge behandelt werden wie jeder andere anfängliche Zugriffsvektor. Schließlich sollten Sie in Erkennungsmaßnahmen nach einer Kompromittierung investieren, die den Missbrauch von Anmeldedaten, laterale Bewegungen und Datenexfiltration identifizieren können, unabhängig davon, wie der Angreifer eingedrungen ist.