Sven Johns, Rechtsanwalt, externer Datenschutzbeauftragter und Datenschutzauditor (Bitkom)
Der Schutz vor Phishing-Mails und damit verbundenen Hackerangriffen gehört zu den technischen und organisatorischen Maßnahmen in jedem Immobilienbüro und ist damit auch eine Aufgabe des Datenschutzes.
Die Immobilienbranche boomt nicht nur auf dem Markt für Wohn- und Gewerbeobjekte, sondern rückt zunehmend in das Visier von Cyberkriminellen. Maklerbüros, Immobilienverwaltungen, aber auch Wohnungsunternehmen und Bauträger verarbeiten viele Daten, die auch für Hacker „interessant“ sind: Personalausweiskopien, Gehaltsnachweise, Bonitätsauskünfte, Kontodaten aus Notar- oder Mietverträgen, Mietkontenbuchhaltung usw.
Ziel für Phishing-Angriffe
Genau diese Kombination aus vertraulichen Daten und hohem Kapitalfluss macht sie zu einem interessanten Ziel für Phishing-Angriffe. Dabei haben Phishing-Mails im Jahr 2026 eine ganz andere Art des Angriffs-Designs als noch vor einem oder zwei Jahren. Phishing-Mails der „Erbschafts- oder Lotterie-Connections“ haben lange ausgedient. Stattdessen stehen E-Mails im Vordergrund, die oft auf schon gewechselten Schriftverkehr mit Geschäftspartnern Bezug nehmen.
Wenn Betrüger heute eine gefälschte E-Mail im Namen eines Notars, einer Bank oder eines potenziellen Käufers versenden, geht es längst nicht mehr um offensichtlich schlecht übersetzte Massenmails. Es handelt sich um richtiggehend professionelle, oft durch Künstliche Intelligenz gestützte Täuschungsmanöver, die den Makleralltag perfekt imitieren. Und wenn die KI im Einsatz ist, dann werden auch die früher üblichen Rechtschreibfehler in den E-Mails eliminiert.
Wie schützen sich Immobilienbüros?
E-Mails sind die häufigste Quelle, über die sich Hacker Zugriff auf Mailkonten verschaffen und aus den gehackten Konten E-Mails weitersenden, die ebenfalls wieder Schadsoftware im weitesten Sinn enthalten.
Der erste und wichtigste Schritt besteht darin, zu verhindern, dass betrügerische E-Mails überhaupt im Posteingang des Teams landen. Eine moderne IT-Infrastruktur filtert den Großteil der Bedrohungen bereits im Vorfeld heraus.
Intelligente E-Mail-Filter nutzen professionelle Sicherheitslösungen (z.B. erweiterte Funktionen von Microsoft 365 o.ä. Diese scannen eingehende Nachrichten mittels Algorithmen auf verdächtige Muster, schädliche Links und manipulierte Anhänge.
Absender-Authentifizierung (SPF, DKIM, DMARC) über technische Protokolle. Diese stellen sicher, dass E-Mails, die scheinbar von einer eigenen Domain gesendet werden, auch wirklich von Ihnen stammen. Das verhindert das sogenannte „Spoofing“, bei dem Betrüger intern Mails im Namen der Geschäftsleitung an das Backoffice verschicken (z. B. „Bitte überweise dringend Betrag X auf folgendes Konto“).
Multi-Faktor-Authentifizierung (MFA): Dies ist der wirksamste Einzelschutz überhaupt. Selbst wenn ein Mitarbeiter auf einen gut gemachten Phishing-Link klickt und versehentlich sein Passwort preisgibt, verhindert die MFA (z. B. per Bestätigungs-App auf dem Smartphone), dass sich Angreifer in das Postfach oder das CRM-System einloggen können.
Prozesse verbessern
Da raffinierte Phishing-Mails selbst die besten Filter umgehen können, müssen Technik und bürointerne Richtlinien zusammengehen.
Die vielleicht wichtigste Regel: Etablieren Sie eine unverhandelbare Regel im Büro: Wird per E-Mail eine neue IBAN für Provisionszahlungen, Kautionen oder Notaranderkonten mitgeteilt, wird diese immer über einen zweiten Kanal verifiziert. Ein kurzer Anruf beim Kunden oder Notar unter der im System (nicht in der E-Mail!) hinterlegten Nummer entlarvt den Betrug sofort.
ACHTUNG: Oft sind E-Mail-Routinen im Einsatz, die bei einer Rückfrage an die Absender-Adresse automatisiert antworten, dass alles seine Richtigkeit habe. Deshalb muss die Verifizierung immer über einen anderen Kanal erfolgen.
Vorsicht bei Anhängen: Im Makleralltag sind Dateianhänge (z.B. Anfragen via Immobilienportale) völlig normal. Schulen Sie das Team darauf, kritische Dateiformate (wie ZIP-Archive oder Office-Dokumente, die Makros fordern) niemals blind zu öffnen. Derzeit sind besonders häufig angeblich zu unterzeichnende Dokumente, die eine digitale Unterschrift erfordern im Phishing-Einsatz.
Das Team sensibilisieren
Der Mensch ist nicht, wie oft behauptet, das schwächste Glied in der Sicherheitskette. Richtig geschult ist das Team der stärkste Abwehrmechanismus.
Regelmäßige Sensibilisierung: Ein einmaliges IT-Meeting pro Jahr reicht nicht aus, da sich die Bedrohungslage rasant wandelt. Informieren Sie Ihr Team regelmäßig über aktuelle Phishing-Trends, wie beispielsweise täuschend echte E-Mails, die angeblich von einem Immobilienportal, der Hausbank oder einem Beratungsunternehmen aus dem Umfeld stammen.
Phishing-Simulationen: Sie können auch unangekündigte, harmlose Phishing-Tests durchführen. Wer auf einen Link der Test-Mail klickt, erhält keine Strafe, sondern eine kurze Aufklärung. Dies trainiert den kritischen Blick im stressigen Arbeitsalltag enorm.
Eine offene Fehlerkultur etablieren: Das ist psychologisch ein sehr wichtiger Faktor. Wenn ein Mitarbeiter bemerkt, dass er auf einen gefährlichen Link geklickt hat, muss er dies sofort der IT oder Geschäftsführung melden. Aus Angst vor Konsequenzen verschwiegene Klicks geben Kriminellen wertvolle Zeit. Etablieren Sie eine Kultur des „Melden ohne Strafe“.
Phishing kostet viel Zeit
Allein die Aufklärung von Phishing-Attacken und deren Auswirkungen im eigenen Computer-Netzwerk erfordert sehr viel Zeit.
Phishing-Schutz ist deshalb kein IT-Projekt, das man einmalig abschließt, sondern ein kontinuierlicher Prozess. Für Immobilienfirmen ist das wertvollste Gut das absolute Vertrauen der Kunden in ihre Seriosität und Diskretion. Wer technische Hürden wie die Multi-Faktor-Authentifizierung mit gut geschulten Mitarbeitern kombiniert, entzieht Cyberkriminellen die Geschäftsgrundlage.
Artikelbild: @ nerthuz – stock.adobe.com
