• Whaling-Angriffe erklärt: So zielen Cyberkriminelle auf Führungskräfte

Whaling-Angriffe erklärt: So zielen Cyberkriminelle auf Führungskräfte

Stefan Feist | Technischer Redakteur
Autor: Stefan FeistTechnischer RedakteurAuf LinkedIn vernetzen

Das sogenannte Whaling ist eine Form des Phishings, das die „großen Fische“ eines Unternehmens ins Visier nimmt, also CEOs und andere Führungskräfte, die über Macht, Geld, Informationen und Einfluss verfügen. In unserem Blogartikel erfahren Sie, was Whaling ist, wie es funktioniert und wie Sie sich und Ihr Unternehmen davor schützen können.

20.10.2025|zuletzt aktualisiert:27.10.2025

Wer kennt sie nicht, die Geschichte von Kapitän Ahab, der auf der Jagd auf den weißen Wal Moby Dick ist? In Herman Melvilles Roman geht es um ein großes und seltenes Wesen, das zur Obsession wird. Während Ahab (Spoiler!) an dieser Obsession zu Grunde geht, sind Cyberkriminelle in der echten Welt leider häufig erfolgreich.

Das sogenannte Whaling ist eine Form des Phishings, das die „großen Fische“ eines Unternehmens ins Visier nimmt, also CEOs und andere Führungskräfte, die über Macht, Geld, Informationen und Einfluss verfügen.

Whaling ist also kein Angriff auf die breite Masse, sondern eine hochpräzise Attacke, die mit psychologischen Tricks, maßgeschneiderten E-Mails und manipulativen Szenarien arbeitet. Gelingt der Schlag, kann der Schaden für das Unternehmen enorm sein – sowohl in finanzieller Hinsicht also auch bezüglich der Reputation.

Was ist Whaling?

Einfach gesagt ist Whaling Phishing nichts anderes als Phishing nach besonders wichtigen beziehungsweise wertvollen Zielen. Ein bisschen genauer gesagt ist Whaling wie Spear Phishing, das sich ausschließlich gegen Führungskräfte richtet. Wie auch beim Spear Phishing sind die Angriffsversuche hochgradig personalisiert und sorgfältig vorbereitet.

Die Angreifer versuchen, den Schreibstil dem der echten Absender anzugleichen. Sie erwähnen in ihren Nachrichten aktuelle geschäftliche Gespräche oder andere Informationen, die den Eindruck der Authentizität erwecken. Die Zielpersonen werden deshalb zuvor gründlich durchleuchtet, damit dann maßgeschneiderte, glaubwürdige E-Mails und Dokumente erstellt werden können, die als Köder dienen. Hier kommt auch das OSINT-Prinzip (siehe unten) zum Einsatz, also das Auslesen öffentlich verfügbarer Quellen.

Die Kriminellen spionieren aber auch die Interaktionen zwischen dem Absender und der Zielperson aus, indem sie das echte E-Mail-Konto des Absenders kapern. So können sie dann auch Nachrichten direkt von dort aus versenden. Wie auch bei den anderen Formen des Phishings ist das Ziel der Kriminellen, die Opfer um ihr Geld zu betrügen, sensible Daten abzugreifen oder Zugang zu Netzwerken zu erhalten – um später einen umso größeren Betrug zu begehen.

Phishing, Whaling, CXO Fraud – was sind die Unterschiede?

Wie bereits erwähnt, ist Whaling eine Unterform des Phishings. Auch bei Whaling-Angriffen finden sich in den E-Mails vielen der typischen Merkmale von Phishing-E-Mails. Reden wir vom „herkömmlichen“ Phishing, so zielt es auf die breite Masse an Nutzern, so wie beim Phishing mit gefälschten Rechnungen oder beim Phishing mit gefälschten Autokatalogen.

Spear Phishing dagegen nimmt einzelne Person ins Visier, in einigen Fällen auch ganze Abteilungen oder Teams. Das Vorgehen unterscheidet sich dabei deutlich: Der Grad der Personalisierung ist hoch, und Social Engineering ist die Voraussetzung dafür, dass die gefälschten E-Mails glaubwürdig erscheinen.

Noch problematischer ist, dass Spear Phishing heutzutage skalierbar ist – dank Künstlicher Intelligenz. Entsprechend gibt es auch groß angelegte Spear-Phishing-Kampagnen, die trotz der Masse der versendeten E-Mails authentisch erscheinen und personalisiert sind.

CXO Fraud ist eng mit Chefbetrug, CEO Fraud, Fake President Fraud (FPF) oder BEC (Business Email Compromise) verwandt. Alle diese Begriffe beschreiben das Vortäuschen falscher Identitäten als Grundlage für eine Betrugsmasche; beim CXO Fraud (auch als CEO Fraud bekannt), geben sich die Angreifer als Vorgesetzte oder andere Entscheider eines Unternehmens aus. Sie bewegen Angestellte dazu, Geld auf ihr Konto zu überweisen. Dabei täuschen sie in einigen Fällen die Identität des eigenen Vorgesetzten vor, in anderen Fällen die eines Kunden oder Lieferanten, um beispielsweise vermeintliche Rechnungen in dessen Namen zu schicken.

    Whaling ist häufig erfolgreich

    Während sich die Kriminellen beim CXO Fraud als großer Fisch ausgeben, um Mitarbeitende unterhalb der C-Ebene zu hintergehen, werden beim Whaling-Angriff die großen Fische anvisiert – und das sehr häufig mit Erfolg, wie die folgenden beiden Beispiele zeigen:

    Ubiquity Networks erlitt im Jahr 2015 einen Verlust von fast 47 Millionen US-Dollar. Angreifer hatten den Chief Accounting Officer davon überzeugt, eine Reihe von Überweisungen zu tätigen und so eine geheime Akquisition zu finanzieren.

    Eine hochrangige Führungskraft bei Mattel fiel auf eine gefälschte E-Mail herein, die angeblich vom CEO stammte. Die Führungskraft veranlasste eine Überweisung von über 3 Millionen US-Dollar, die nur zum Teil zurückgeholt werden konnten.

    Welche Techniken kommen beim Whaling zum Einsatz?

    Beim Whale Phishing wird eine Mischung aus klassischem Social Engineering, technischen Kniffen und gezielter Recherche genutzt. Hier ein paar Beispiele für häufig eingesetzte Techniken:

    • Sammeln von Informationen nach dem OSINT-Prinzip

      OSINT steht für Open Source Intelligence und beschreibt das Sammeln von Informationen aus frei verfügbaren Quellen, beispielsweise LinkedIn-, Instagram- oder Facebook-Profilen.

    • Spear Phishing

      Weltweit werden jeden Tag zahllose Menschen Opfer von Phishing-Angriffen. Dabei überzeugen die Kriminellen die Menschen durch geschickt angelegte und ausgeschmückte Szenarien davon, einen Link zu klicken oder ein angehängtes Dokument zu öffnen. Der Begriff Spear Phishing beschreibt den Versuch, die Opfer mit gezielten Angriffen dazu zu bewegen, bestimmte Handlungen auszuführen oder Informationen herauszugeben.

    • Spoofing

      Spoofing ist eine Taktik, die sowohl beim Phishing als auch bei anderen Cyberangriffen eingesetzt werden kann. Beim E-Mail-Spoofing wird die Adresse des Absenders gefälscht, um den Eindruck zu erwecken, die Nachricht stamme von einer vertrauenswürdigen Quelle. Dazu wird die Absenderadresse so manipuliert, dass die E-Mail beispielsweise von einem bekannten Unternehmen, einer Behörde oder einer dem Empfänger bekannten Person zu stammen scheint.

    • Pretexting

      Pretexting gehört zum Social Engineering. Durch eine möglichst überzeugende Geschichte wird Vertrauen aufgebaut – noch vor dem Angriff. Kriminelle geben beispielsweise vor, an einem wichtigen Projekt zu arbeiten – eine realitätsnahe Situation für einen CEO.

    • Dringlichkeit und Geheimhaltung

      Damit Angriffe erfolgreich sind, muss das Opfer das Gefühl haben, dass schnell gehandelt werden muss – und am besten ohne weitere Prüfung durch andere Personen, die Unstimmigkeiten erkennen könnten. Insgesamt gleichen die Merkmale denen anderer Formen des Phishings.

    • Deepfakes und Vishing (Voice Phishing)

      Die künstliche Intelligenz bietet Angreifern bisher ungeahnte Möglichkeiten: Mit Hilfe von künstlich erzeugten Stimmen und Videos werden Opfer sogar per Videochats oder Anrufen ausgetrickst.

    Wie kann ich mich vor Whaling schützen?

    Ein zentraler Aspekt für den Schutz vor Whaling-Phishing-Angriffen ist eine genaue Auswertung der Absenderreputation. Unternehmen sollten deshalb konsequent die Verfahren SPF(Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting & Conformance) nutzen. DKIM und DMARC ermöglichen es, die Authentizität und Integrität von E-Mails sicherzustellen.

    Eine korrekt konfigurierte DMARC-Richtlinie („reject“) verhindert, dass gefälschte E-Mails zugestellt werden. Außerdem sind DMARC-Einträge ein wirksames Mittel, um zu verhindern, dass E-Mails im Namen Ihrer Domain von nicht autorisierten Absendern versendet werden. Tools wie 25Reports sind ein unersetzliches Hilfsmittel bei der Einrichtung und Pflege Ihrer DMARC-Einträge. 25Reports übernimmt das komplette DMARC-Monitoring für Sie – automatisiert, grafisch aufbereitet und DSGVO-konform.

    Darüber hinaus empfiehlt sich der Einsatz moderner E-Mail-Security-Gateways mit Funktionen wie Inhaltsfilter, Sandboxing und URL-Prüfung. So werden verdächtige E-Mails blockiert, bevor sie den Posteingang erreichen.

    In NoSpamProxy arbeitet der URL Safeguard mit dem Metadaten-Service 32Guards zusammen und unterbindet den Zugriff auf Links, die nach der Zustellung als bösartig identifiziert wurden. Dies ermöglicht eine erneute Prüfung von Links in E-Mails bei jedem erneuten Klick.

    Der Inhaltsfilter in NoSpamProxy schützt durch Content Disarm and Reconstruction: Anhänge im PDF-, Word- und Excel-Format werden regelbasiert und automatisiert in unkritische PDF-Dateien umgewandelt. Zusätzlich werden aktive Inhalte (JavaScript, Flash) aus PDF-Dateien entfernt. So wird dem Empfänger ein Anhang ohne Malware oder Ransomware zugestellt.

    Sie haben NoSpamProxy noch nicht im Einsatz?

    Mit NoSpamProxy Protection und 25Reports schützen Sie Ihr Unternehmen zuverlässig vor gefährlichen Whaling-E-Mails und profitieren von vielen weiteren Sicherheitsfunktionen. Fordern Sie jetzt Ihre kostenlose Testversion an!

    NoSpamProxy kostenfrei testen
    NoSpamProxy bietet automatisierte Zertifikatsverwaltung für DFN und HARICANoSpamProxy bietet automatisierte Zertifikatsverwaltung fuer DFN und HARICA 800x800Info IconEnde der TLS-Client-Authentifizierungszertifikate