Wie lassen sich Phishing und Social Engineering wirkungsvoll bekämpfen? Das diskutiert Roger A. Grimes im jetzt vorgestellten Buch „Fighting Phishing“. Damit adressiert der Data-Driven Defense Evangelist bei KnowBe4 unterschiedlichste Zielgruppen und verbindet grundlegende Definitionen für Einsteiger mit tiefen technischen Einblicken sowie Empfehlungen für formale Policys. Wir haben selbst in dem Buch geschmökert und herausgefunden, inwieweit dieser Spagat gelingt.
Im Kampf gegen Phisher setzt Roger A. Grimes auf Prioritäten und ein Zusammenspiel von Psychologie, Technik und Policys.
(Bild: Srocke)
Mit „Fighting Phishing“ hat Roger A. Grimes nicht zuletzt ein Buch für sein früheres Ich verfasst. Im Vorwort schreibt der heutige Data-Driven Defense Evangelist bei KnowBe4, einem Anbieter für Schulungen für Security Awareness : „This is the book I wish I read when I first got into the industry.“ Und die behandelten Themen sind offenbar aktueller denn je. Folgt man dem Autor, lassen sich 70 Prozent aller Datenlecks zumindest teilweise auf Social Engineering zurückführen.
Klare Tendenz und rhetorischer Fehlstart
Als Datenbasis hierfür zieht der Autor neben eigenen Erhebungen auch die Reports unterschiedlichster Anbieter heran. Die bestätigen zwar die grundlegende Tendenz, unterscheiden sich in den konkreten Zahlen jedoch erheblich. Auch das thematisiert Grimes und dokumentiert so auch eine bestenfalls zufriedenstellende, aber nie vollständige Faktenlage innerhalb der Security-Branche.
Nichtsdestotrotz versuchen Grimes und sein Mitautor Dr. John N. Just in 17 Kapiteln einen umfassenden Überblick über Angriffe per Social Engineering und Abwehrtechniken dagegen zu liefern. Augenscheinlich um Struktur bemüht, legt Grimes dabei einen eigentlich unnötigen, rhetorischen Fehlstart hin. „I think everyone knows what phishing is.“, heißt es da lapidar zu Beginn, und stößt den interessierten Laien womöglich etwas vor den Kopf. Es folgen einige motivierende Beispiele und die bereits erwähnten Statistiken. Etwas lieblos garniert wirkt das Ganze durch den bedingt aussagekräftigen Screenshot des Phishing-Versuchs einer vermeintlichen IT-Abteilung sowie ein trivial anmutenden Fluss-Diagramm, mit dem Anwender mögliche Phishing-Angriffe erahnen sollen.
Definitionen und Blick über IT-Tellerrand
Im zweiten Kapitel kondensiert Grimes seine Aussagen dann aber schließlich doch noch auf eine solide Definition des Phänomens Phishing im Kontext des Social Engineering. Die plastischen Beispiele verschiedener Angriffsformen liefern nicht nur Laien einen Überblick typischer Angriffsformen. Insbesondere die Ausführungen zu Callback Phishing, Sextortion oder Baiting verdeutlichen: Die Betrugsmaschen sind eben kein rein technisches Problem, sondern spielen gezielt mit den Schwächen der menschlichen Psyche.
Mehr Informationen zum Buch
Security-Insider Podcast – Folge 87
Warum selbst Experten auf Social Engineering hereinfallen
Noch mehr Informationen zum Buch liefern wir in der aktuellen Folge des Security-Insider Podcast. Als Gesprächsgast gewinnen konnten wir hierfür Dr. Martin J. Krämer – Keynote Speaker, Forscher und Dozent bei KnowB4. Security-Insider Podcast – Folge 87: Fighting Phishing
Solide Basis für die Säulen der Cybersecurity
Auf dieser Erkenntnis aufbauend widmet sich Kapitel 3 dem generellen Zusammenspiel von Policys, Technologie und Wissensvermittlung. Der Autor liefert so den Grundstock für folgenden großen Schwerpunktthemen des Buches, namentlich: „Policies“ (Teil 2), „Technical Defenses“ (Teil 3) und „Creating a Great Security Awareness Program“ (Teil 4) – in dem dann auch gestandene Security-Verantwortliche auf ihre Kosten kommen. Als erfrischend empfanden wir dabei Grimes’ kritischen Umgang mit den (auch im Wortsinn) großen und teils überbordenden Compliance-Frameworks der Branche und deren mangelnder Schwerpunktsetzung. So ließe sich PCI-DSS beispielsweise in Hunderte von Prozeduren übersetzen, die unmöglich mit gleicher Priorität realisiert werden könnten. Zugleich würden die Anforderungen für das Security Awareness Training mit lediglich 42 Worten bedacht. Als Abhilfe für das Dilemma um den fehlenden Fokus empfiehlt Grimes übrigens ein Heatmap-basierenden Risk Management.
Tools, Trends und tiefgreifende Ansätze
Dem allgemein gehaltenen Einstieg in Teil 1 lässt Grimes konkrete und thematisch tiefergehende Handlungshilfen folgen. Strukturierte Stichpunktlisten und Beispiele können dabei als gelungener Einstiegspunkt betrachtet werden, von dem aus Unternehmen eigene Policys ableiten.
Zumindest IT-Experten wenig überraschen dürften die Ausführungen zu Netzwerksegmentierung, Patches oder Security-Devices. Uns gefielen jedoch insbesondere Grimes’ Ausflüge in die reale Welt; etwa wenn er über das Potenzial physischer Mitarbeiterausweise für Zugangskontrolle und die Aufklärung von Sicherheitsvorfällen sinniert.
Besonders ausführlich widmet sich Grimes zudem technischen Verfahren und Standards, wie Domain-based Message Authentication, Reporting and Conformance (DMARC), Sender Policy Framework (SPF) und Domain Keys Identified Mail (DKIM) oder der forensischen Analyse von E-Mails. Hierbei bemüht sich der Autor um ein ausgewogenes Bild und erörtert neben den offensichtlichen Vorzügen von DMARC beispielsweise auch weiterhin mit der Spezifikation bestehende Schwachpunkte und Herausforderungen.
Gleiches lässt sich für die Punkte Mitarbeiter-Awareness und Phishing-Simulationen festhalten. Zum einen geht Grimes hier erfreulich offen mit dem Thema um und verheimlicht auch eigene Fehler nicht; so erfährt der Leser, wie und warum der Sicherheitsexperte selbst auch in jüngerer Vergangenheit noch von entsprechenden Testmails getäuscht wurde. Zum anderen plädiert Grimes dafür, entsprechende Verfahren mit Bedacht einzusetzen – um mit Fake-Mails beispielsweise keine falschen Hoffnungen bei Mitarbeitern zu wecken. Welche vertraulichen Geschäftsdaten man für Testmails nutzen sollte, besprechen wir übrigens eingehender in der aktuellen Folge des Security-Insider Podcast – hören Sie gern rein!
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
KI, Passkeys und Security Champions
Ebenfalls gelungen empfanden wir die Erwähnung aktueller Trends, darunter: die aktuell allgegenwärtig diskutierten Möglichkeiten der künstlichen Intelligenz, Phishing-resistente Authentifizierungslösungen wie Passkeys oder die auch schon in unserem Podcast thematisierten Mitarbeiter-Rolle des “Security Champions”.
Mit „Fighting Phishing“ ist Roger A. Grimes tatsächlich ein umfassendes Einstiegswerk zum Thema Phishing und Social Engineering gelungen, das Fachfremde und Experten gleichermaßen anspricht - als einführende und aktuelle Lektüre sowie als Nachschlagewerk und Literaturreferenz für später.
Als unnötiges Füllwerk empfanden wir dabei allerdings die meist wenig sinnstiftenden Screenshots beispielhafter Phishing-Versuche sowie teils triviale und wiederholt genutzte Flussdiagramme (vgl. 1-3 und 5-2). An mancher Stelle konnten wir uns auch nicht des Eindrucks erwehren, direkt vor einem Whitepaper des Anbieters KnowB4 zu sitzen.
Apropos KnowB4: Ganz und gar nicht gefallen haben uns die geradezu inflationär genutzten Verweise auf die Webseiten des Anbieters; insbesondere, weil wir damit in den meisten Fällen auf einer Eingabemaske landeten, die unsere Kontaktdaten abfrug. Das ist einerseits ärgerlich, weil der Leser des Buches ja bereits mit Geld für das versprochene Wissen gezahlt hat. Andererseits wirkt es unfreiwillig ironisch, wenn ein Buch gegen Phishing seine Leser permanent zur Eingabe persönlicher Daten im Web animiert; ganz gleich wie vertrauenswürdig die dahinterstehende Webseite sein mag.
Wo gibt es das Buch?
„Fighting Phishing – Everything You Can Do to Fight Social Engineering and Phishing“ ist 2024 bei John Wiley & Sons erschienen (ISBN-13: 978-1-394-24920-6). Als Paperback ist das Buch aktuell für knapp 27 Euro im Buchhandel erhältlich. Außerdem ist es als eBook (ePUB und Kindle) sowie als Audio-Book verfügbar. Das uns vorliegende Rezensionsexemplar umfasst 425 Seiten und wurde von der deutschen PR-Agentur des Anbieters KnowBe4 bereitgestellt.
Mehr Informationen zum Buch
Security-Insider Podcast – Folge 87
Warum selbst Experten auf Social Engineering hereinfallen
Noch mehr Informationen zum Buch liefern wir in der aktuellen Folge des Security-Insider Podcast. Als Gesprächsgast gewinnen konnten wir hierfür Dr. Martin J. Krämer – Keynote Speaker, Forscher und Dozent bei KnowB4. Security-Insider Podcast – Folge 87: Fighting Phishing
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/31/d4/31d4b366924d88dc446efaf4471563d7/0125926006v1.jpeg "Im Podcast haken wir nach: Wie schnell werden wir das Passwort wirklich los? (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/42/d2/42d2340c11ba5870c63458558fd56729/0117617546.jpeg "Wie funktionieren Passkeys? Kann man sich ohne Kennwort wirklich sicher anmelden? Wir geben Antworten auf wichtige Fragen von Admins und Anwendern. (Bild: Andres Victorero/Wirestock Creators - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/1f/da1ff3d8bc08da77806ffa7ccaed02a8/0112150345.jpeg "CISOs kämpfen mit Hamsterrad, Worst Practices und Manipulationen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b8/20/b8205ed10ad1f5ad5dad7af6f4e85ef9/0126221876v2.jpeg "Das SANS Institut gibt Unternehmen Empfehlungen an die Hand, mit denen sie Security-Awareness-Programme effizienter und erfolgreicher machen können. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/9f/449f2c0a4d894061ab86509122c91014/0112150345v1.jpeg "Im Podcast klären wir, wie Pentesting, Flaschenpfand und Betriebsblindheit zusammenhängen. (Bild: Vogel IT-Medien)")