PhiShark Logo
Zurück zum Blog
PhiShark Geschichte2. Juni 202610 Min. LesezeitFurkan Çolhak

Warum ich angefangen habe, PhiShark zu entwickeln

Phishing ist nicht neu, aber es ist immer noch nicht gelöst. Hier ist der Grund, warum ich mich entschieden habe, ein anderes Phishing-Schutz-Tool zu entwickeln.

PhishingCybersicherheitPhiSharkKI-SicherheitBrowser-Erweiterung

Phishing ist nicht neu.

Wir sprechen seit vielen Jahren über gefälschte E-Mails, gefälschte Login-Seiten, betrügerische Links, gefälschte Banknachrichten, gefälschte Liefer-SMS und Social Engineering. Aber das Problem ist immer noch da. Tatsächlich wird es größer, schneller und persönlicher.

Heute kann ein Betrug jeden in Sekunden erreichen.

Ein Phishing-Link kann aus einer E-Mail, einer WhatsApp-Nachricht, einer Telegram-Gruppe, einem gefälschten Jobangebot, einem QR-Code, einer PDF-Datei, einer Social-Media-Anzeige oder sogar einem einfachen Kommentar unter einem Beitrag kommen. APWG meldete mehr als 1 Million Phishing-Angriffe im Q1 2025, die höchste Zahl seit Ende 2023, und stellte außerdem fest, dass Kriminelle Millionen von QR-Code-Phishing-E-Mails versenden, die Menschen zu Phishing-Seiten und Malware führen. (APWG)

Das ist die einfache Wahrheit:

Das Internet ist offen. Und weil es offen ist, sind Betrügereien immer nur einen Klick entfernt.

Diese Offenheit ist wunderbar. Sie ist der Grund, warum wir aufbauen, teilen, lernen und uns mit Menschen auf der ganzen Welt verbinden können. Aber sie bedeutet auch, dass jeder eine Domain kaufen, eine gefälschte Seite erstellen, ein Zertifikat erhalten und sehr schnell damit beginnen kann, Menschen anzugreifen.

Und deshalb ist Phishing immer noch eines der größten Probleme im Internet.

Die alten Lösungen reichen nicht mehr aus

Die meisten Unternehmen arbeiten immer noch mit Threat-Intelligence-Feeds, Blocklisten und Reputationssystemen.

Die Idee ist einfach: Wenn eine Website als Phishing bekannt ist, füge sie einer Liste hinzu und blockiere sie später.

Das funktioniert manchmal. Aber Phishing ist nicht mehr so langsam.

Eine Phishing-Website kann nur wenige Stunden aktiv sein. In einer akademischen Studie aus dem Jahr 2025 fanden Forscher heraus, dass Phishing-Websites eine mittlere Lebensdauer von nur 5,46 Stunden hatten, während Google Safe Browsing nur 18,4 % der Phishing-Websites in ihrem Datensatz erkannte und durchschnittlich 4,5 Tage brauchte, um sie zu erkennen. Dieselbe Studie fand auch heraus, dass viele Phishing-Seiten bereits abgeschaltet wurden, bevor sie von der Blockliste erkannt wurden. (7 Days Later: Analyzing Phishing-Site Lifespan After Detected)

Das ist ein sehr wichtiger Punkt.

Wenn der Angriff nur Stunden aktiv ist, aber die Verteidigung in Tagen reagiert, dann sind viele Nutzer bereits betroffen.

Deshalb reicht ein reiner Blocklisten-Schutz nicht aus.

Er ist nicht nutzlos. Er hat immer noch einen Wert. Aber er reicht für modernes Phishing nicht aus.

Angreifer wissen, wie man sich versteckt

Ein weiteres Problem ist die Umgehung.

Angreifer zeigen nicht immer allen dieselbe Seite. Sie können die echte Phishing-Seite nur dem Opfer zeigen und Sicherheitstools eine saubere Seite anzeigen.

Das nennt man Cloaking.

Eine Phishing-Website kann sich unterschiedlich verhalten, abhängig von:

  • dem Land des Besuchers,
  • dem Gerätetyp,
  • dem Browser,
  • der IP-Adresse,
  • der Tageszeit,
  • ob der Besucher wie ein echter Mensch oder ein Sicherheits-Crawler aussieht.

Aktuelle akademische Arbeiten unterstützen ebenfalls die Notwendigkeit adaptiverer Erkennungssysteme. Zum Beispiel zeigt die PhishParrot-Arbeit auf arXiv, dass Phishing-Seiten Cloaking einsetzen können, um die echte bösartige Seite nur ausgewählten Nutzern anzuzeigen, während Sicherheits-Crawlern saubere Inhalte gezeigt werden. In ihrer 21-tägigen Auswertung zeigten die Forscher, dass ein adaptiver Crawling-Ansatz die Erkennungsgenauigkeit um bis zu 33,8 % im Vergleich zu Standardanalysesystemen verbesserte (PhishParrot: LLM-Driven Adaptive Crawling to Unveil Cloaked Phishing Sites). Für mich ist das ein starkes Signal: Statische und einheitliche Erkennung reicht nicht mehr aus. Wir brauchen Systeme, die sich daran anpassen können, wie Angreifer ihre Phishing-Seiten verstecken, verändern und selektiv preisgeben.

Wenn also jemand fragt: „Warum ist Phishing immer noch nicht gelöst?", ist das eine der Antworten.

Weil Angreifer nicht einfach nur gefälschte Seiten erstellen.

Sie erstellen gefälschte Seiten, die sich verstecken.

Maschinelles Lernen hat geholfen, aber das Problem nicht vollständig gelöst

Nachdem Blocklistensysteme zu langsam wurden, wandten sich viele Forscher und Unternehmen dem maschinellen Lernen zu.

Das war sinnvoll.

Anstatt nur zu fragen „Ist diese URL bereits bekannt?", stellt maschinelles Lernen eine bessere Frage:

„Sieht diese URL verdächtig aus?"

Das ist nützlich. Aber es bringt auch ein weiteres Problem mit sich: False Positives.

Wenn ein Sicherheitsprodukt eine sichere Website blockiert, verlieren die Menschen das Vertrauen darin. In einem Unternehmen verursacht dies auch operative Schmerzen. Sicherheitsteams werden langsamer. Mitarbeiter sind genervt. Analysten verschwenden Zeit damit, Alarme zu überprüfen, die es nicht geben sollte.

Ich habe dieses Problem auch direkt beim Aufbau der ersten Version von PhiShark erlebt.

Die erste Version von PhiShark basierte auf maschinellem Lernen. Und ehrlich gesagt hat es uns geholfen, das Problem viel besser zu verstehen.

Die wichtigste Lektion war einfach:

Daten, Daten, Daten.

Beim maschinellen Lernen ist man immer von Daten abhängig. Aber beim Phishing ändern sich die Daten jede Sekunde. Morgen kann eine neue Betrugsmethode auftauchen. Ein neues Domain-Muster kann populär werden. Eine neue gefälschte Markenkampagne kann starten. Ein neuer Cloaking-Trick kann Ihren alten Datensatz weniger nützlich machen.

Und dann stehen Sie vor einer sehr schwierigen Frage:

Welchen Daten sollten Sie vertrauen?

Welche Daten sollten Sie für das Training verwenden?

Welche alten Beispiele sind noch nützlich?

Welche alten Beispiele sind jetzt irreführend?

Wie halten Sie das Modell aktuell, ohne es verrauscht zu machen?

Wie vermeiden Sie es, unter Ihren eigenen historischen Daten zusammenzubrechen?

Das ist viel schwieriger, als es aussieht.

Denn Phishing ist kein statisches Problem. Es bewegt sich. Es verändert sich. Es passt sich an.

Deshalb hatte ich von Anfang an das Gefühl, dass ein Phishing-Produkt mehr als nur ein trainiertes Modell braucht. Es braucht Intelligenz.

Es braucht ein System, das neue Signale betrachten, den Kontext verstehen, verschiedene Beweisstücke verbinden und eine Entscheidung treffen kann, die näher an der Denkweise eines menschlichen Analysten liegt.

Und für uns wurde dies mit einer agentischen Architektur viel möglicher.

Ich werde in zukünftigen Beiträgen detaillierter darüber schreiben, aber dies war einer der größten Wendepunkte für PhiShark.

Deshalb ist Phishing-Erkennung schwierig.

Wenn Sie zu nachsichtig sind, verpassen Sie Angriffe. Wenn Sie zu aggressiv sind, blockieren Sie das normale Leben.

Ein gutes Phishing-Produkt braucht Balance. Es muss schnell sein, aber nicht verrauscht. Es muss Menschen schützen, aber ihre tägliche Internetnutzung nicht stören.

Phishing ist nicht nur ein technisches Problem

Wenn wir uns Cybersicherheitsprodukte ansehen, sehen wir viele Tools für Endpunktsicherheit, Cloud-Sicherheit, Identitätssicherheit, SIEM, SOAR, Netzwerksicherheit und Threat Intelligence.

Aber wenn wir uns den Phishing-Schutz für normale Menschen ansehen, sind die Optionen immer noch begrenzt.

Warum?

Weil Phishing nicht nur ein technisches Problem ist.

Es ist ein menschliches Problem.

CISA beschreibt Social Engineering als einen Angriff, bei dem der Angreifer menschliche Interaktion nutzt, um Informationen zu erlangen oder zu kompromittieren. Einfach ausgedrückt: Angreifer hacken nicht immer das System. Manchmal hacken sie Vertrauen. (CISA)

Und das ist viel schwieriger.

Denn Menschen sind emotional. Wir werden müde. Wir haben es eilig. Wir geraten in Panik. Wir vertrauen bekannten Marken. Wir vertrauen Nachrichten, die dringend aussehen. Wir klicken, wenn etwas normal aussieht.

Eine Software-Schwachstelle kann gepatcht werden.

Aber wie patcht man Angst? Wie patcht man Stress? Wie patcht man ein Elternteil, das einen gefälschten Schulzahlungslink erhält? Wie patcht man eine ältere Person, die eine gefälschte Bank-SMS erhält?

Deshalb ist Phishing immer noch wirkungsvoll.

Schulungen sind nützlich, aber Schulungen allein reichen nicht aus

Eine Zeit lang konzentrierten sich viele Unternehmen auf Phishing-Awareness-Schulungen.

Und ja, Schulungen sind wichtig.

Mitarbeiter sollten lernen, wie eine Phishing-E-Mail aussieht. Sie sollten gefälschte Domains, dringende Sprache, verdächtige Anhänge und gefälschte Login-Seiten verstehen.

Aber Schulungen allein können nicht die vollständige Lösung sein.

Denn Angreifer zielen nicht nur auf Mitarbeiter ab.

Sie können deren Familien, Freunde, Partner, Eltern oder Kinder ins Visier nehmen.

Heute ist aufgrund sozialer Medien fast jeder erreichbar. Unser Leben ist öffentlich. Unsere Jobs, Schulen, Freunde, Familienmitglieder, Standorte und täglichen Gewohnheiten sind leichter zu finden als je zuvor.

Das bedeutet, dass Angreifer uns umgehen können.

Vielleicht können sie den Mitarbeiter nicht direkt erreichen. Also erreichen sie jemanden, der dieser Person nahesteht. Und dann kommt der Angriff aus einer vertrauten Richtung.

Deshalb glaube ich, dass Phishing-Schutz nicht nur innerhalb von Unternehmen existieren sollte.

Er sollte Menschen auch im normalen Leben schützen.

Die am stärksten gefährdeten Menschen sind oft am wenigsten geschützt

Dieser Teil ist mir sehr wichtig.

Die meisten Cybersicherheits-Tools sind für Experten gebaut.

Sie haben Dashboards, Alarme, Risikobewertungen, Protokolle, Richtlinien, Integrationen und komplexe Einstellungen.

Das ist in Ordnung für ein SOC-Team.

Aber was ist mit einem Kind?

Was ist mit einer älteren Person?

Was ist mit jemandem, der nur eine Liefernachricht öffnen möchte?

Was ist mit jemandem, der einen QR-Code in einem Restaurant scannt?

Die FBI-Daten zu Internetkriminalität 2024 zeigten, dass Menschen in den USA im Jahr 2024 mehr als 16 Milliarden $ durch Betrug und Cyberkriminalität verloren haben. Menschen ab 60 Jahren reichten mehr als 147.000 Beschwerden ein und meldeten 4,8 Milliarden $ an Verlusten. Phishing oder Spoofing war eine der häufigsten Beschwerden bei Senioren. (Axios)

Das sagt uns etwas sehr deutlich:

Die Menschen, die Schutz brauchen, sind nicht nur Unternehmen.

Normale Menschen brauchen auch Schutz.

Familien brauchen Schutz. Eltern brauchen Schutz. Kinder brauchen Schutz. Ältere Menschen brauchen Schutz.

Und die Lösung muss einfach genug für sie sein.

Deshalb haben wir PhiShark entwickelt

Bei PhiShark sind wir mit einer einfachen Idee gestartet:

Was wäre, wenn Phishing-Schutz näher am Nutzer sein könnte?

Nicht nur innerhalb des Unternehmensnetzwerks.

Nicht nur innerhalb eines Enterprise-Dashboards.

Nicht erst, nachdem eine URL bereits gemeldet wurde.

Sondern direkt dort, wo Menschen klicken.

Deshalb haben wir die PhiShark-Browser-Erweiterung entwickelt.

Das Ziel ist einfach:

Bevor jemand auf einen gefährlichen Link klickt, soll PhiShark ihm helfen, das Risiko zu verstehen.

Wir wollten es nicht nur für Sicherheitsteams nützlich machen, sondern auch für normale Internetnutzer. Denn Phishing findet nicht mehr nur in Unternehmens-E-Mails statt.

Es passiert in PDFs. Es passiert in QR-Codes. Es passiert in Nachrichten. Es passiert in gefälschten Rechnungen. Es passiert auf gefälschten Lieferseiten. Es passiert in gefälschten Behördenformularen. Es passiert auf gefälschten Social-Media-Login-Seiten.

APWG warnte auch davor, dass QR-Code-Phishing zu einem ernstzunehmenden Kanal geworden ist, wobei Kriminelle Millionen von E-Mails mit QR-Codes versenden, die Menschen zu Phishing-Seiten und Malware führen. (APWG)

Also haben wir PhiShark so konzipiert, dass es mehr als nur eine einfache URL überprüft.

Wir wollen, dass es Links in E-Mails untersucht. Wir wollen, dass es PDFs analysiert. Wir wollen, dass es QR-Codes überprüft. Wir wollen, dass es Menschen schützt, bevor der Fehler passiert.

Wir brauchen Tools, die mehr wie menschliche Analysten denken

Ein menschlicher Analyst stellt nicht nur eine Frage.

Sie fragen nicht nur:

„Ist diese URL in einer Blockliste?"

Sie stellen viele kleine Fragen:

Warum sieht diese Domain seltsam aus? Wann wurde sie erstellt? Welches Zertifikat verwendet sie? Wo wird sie gehostet? Sieht die Seite wie eine Login-Seite aus? Kopiert sie eine bekannte Marke? Gibt es eine verdächtige Weiterleitung? Versteckt sich die Website vor Crawlern? Ist sie nur in einem Land aktiv? Verhält sie sich auf Mobilgeräten anders?

Das ist die Richtung, die wir für PhiShark wollen.

Wir wollen ein System bauen, das viele Signale gemeinsam betrachtet.

Nicht nur ein Signal.

Nicht nur eine Blockliste.

Nicht nur eine Bewertung.

Sondern eine echte Analyse.

Ein System, das sagen kann:

„Das sieht verdächtig aus, und hier ist der Grund."

Dieses „Warum" ist wichtig.

Denn Vertrauen ist wichtig.

Menschen sollten nicht nur eine rote Warnung sehen. Sie sollten den Grund dahinter verstehen.

Warum dieser Bereich mehr Aufmerksamkeit braucht

Ich glaube immer noch, dass Phishing eines der am meisten unterschätzten Probleme in der Cybersicherheit ist.

Viele Menschen denken immer noch, Phishing bedeutet schlechte E-Mails mit Rechtschreibfehlern.

Aber modernes Phishing ist viel besser als das.

Die Seiten sehen echt aus. Die Nachrichten sind persönlich. Das Timing ist clever. Die Domains sehen glaubwürdig aus. Die Angriffe bewegen sich schnell. Die Angreifer verstecken sich vor Sicherheitstools.

Selbst Verizons DBIR 2026 stellt fest, dass Mobilgeräte zu einem stärkeren Ziel werden, wobei mobile Bedrohungen höhere Klickraten als traditionelle E-Mail-Bedrohungen erzielen. (Verizon)

Phishing bleibt also nicht im alten E-Mail-Posteingang.

Es bewegt sich in unseren Alltag.

Und unser Schutz muss sich mit ihm bewegen.

Das ist die Geschichte hinter PhiShark

Deshalb habe ich angefangen, PhiShark zu entwickeln.

Nicht, weil Phishing ein neues Problem ist.

Sondern weil es immer noch nicht gelöst ist.

Und ich glaube, dass die aktuellen Lösungen nicht einfach genug, nicht schnell genug und nicht nah genug an echten Menschen sind.

Wir brauchen Tools, die Unternehmen schützen können.

Aber wir brauchen auch Tools, die Eltern, Kinder, ältere Menschen, Studenten, Kleinunternehmer und jeden, der das Internet nutzt, schützen können.

Wir brauchen schnellere Validierung.

Wir brauchen bessere Erkennung.

Wir brauchen weniger Rauschen.

Wir brauchen Phishing-Schutz, der im echten Leben funktioniert.

Dieser Blog wird mein Ort sein, um darüber zu schreiben.

Ich werde teilen, was ich aus der Forschung, aus der Branche, aus echten Phishing-Beispielen und aus der Entwicklung von PhiShark sehe.

Phishing ist ein großes Problem.

Aber ich glaube, wir können bessere Tools dagegen bauen.

Bleiben Sie sicher.

Laden Sie PhiShark herunter.

Und wenn Sie mir direkt auf LinkedIn schreiben, gebe ich Ihnen 3 Monate professionellen Zugang. :D

Beste Grüße, Furkan.