Eine E-Mail behauptet, ein Paket könne nicht zugestellt werden. Ein Konto werde angeblich gesperrt, eine Rechnung müsse sofort geprüft werden oder eine Sicherheitsbestätigung sei dringend nötig. Der Link führt auf eine Anmeldeseite, die vertraut aussieht: Logo, Farben und Formular wirken echt.
Phishing ist ein Betrugsversuch, bei dem Angreifer über gefälschte Nachrichten, Webseiten oder Anrufe vertrauliche Informationen wie Passwörter, TANs, Kreditkartendaten oder Zugangscodes erlangen wollen. Entscheidend ist nicht nur die Technik. Häufig zielt der Angriff auf Aufmerksamkeit, Vertrauen, Zeitdruck und Gewohnheiten: Man klickt, weil die Situation alltäglich wirkt.
Gerade weil moderne Phishing-Nachrichten sprachlich korrekt, optisch professionell und teilweise personalisiert sein können, reichen einfache Regeln wie „schlechte Rechtschreibung“ nicht mehr aus. Sicherer ist ein ruhiger Blick auf Absender, Domain, Linkziel, Aufforderung und Kontext.
Inhaltsverzeichnis
Phishing als Sicherheitsbegriff: Betrug über Vertrauen, nicht nur über Technik
Beim Phishing wird eine vertraute Situation nachgebaut. Eine Paketbenachrichtigung verweist auf eine angebliche Zustellgebühr, eine Banknachricht warnt vor einer Sperre, eine Rechnung soll sofort geprüft werden. Der Klick führt dann auf eine Seite, die wie der echte Dienst wirkt. Dort sollen Zugangsdaten, Zahlungsdaten oder Bestätigungscodes eingegeben werden.
Der Angriff muss dabei nicht zuerst den Computer technisch überwinden. Häufig wird eine Entscheidungssituation geschaffen: Die Nachricht wirkt alltäglich, der Absender scheinbar bekannt, die Frist knapp. Wer schnell handeln möchte, prüft Domain, Anlass und Zieladresse leichter nur oberflächlich.
Phishing ist deshalb nicht mit jeder Schadsoftware, jeder Spam-Nachricht oder jedem beliebigen Hackerangriff gleichzusetzen. Es kann mit Malware kombiniert werden, etwa über einen Anhang oder eine manipulierte Datei. Der Kern bleibt aber der Betrugsversuch über gefälschte Nachrichten, Webseiten oder Anrufe, um vertrauliche Informationen oder Freigaben zu erlangen.
Typische Ziele sind Passwörter, TANs, Kreditkartendaten, Einmalcodes, geschäftliche Logins, Zahlungsfreigaben und Identitätsdaten. Besonders wirksam sind gefälschte Login-Seiten, weil viele Nutzer Marke, Farben und Formular wiedererkennen, die genaue Domain und den Anlass des Logins aber nicht in jedem Moment prüfen.
Woran Phishing erkennbar wird: Kanäle, Warnzeichen und sichere Link-Prüfung
Phishing ist nicht an einen bestimmten Übertragungsweg gebunden. Eine gefälschte Nachricht kann per E-Mail kommen, aber ebenso per SMS, Messenger, über soziale Netzwerke, als Telefonanruf, über einen QR-Code, eine Werbeanzeige, eine gefälschte Supportseite oder ein manipuliertes Suchergebnis. Entscheidend ist nicht der Kanal allein, sondern die Kombination aus Zieladresse, Kontext und Aufforderung: Soll ein Login erfolgen, ein Code genannt, eine Zahlung freigegeben oder eine Datei geöffnet werden, obwohl der Anlass nicht eindeutig nachvollziehbar ist?
Einige Begriffe beschreiben besondere Varianten. Smishing ist Phishing per SMS oder vergleichbarer Kurznachricht. Vishing meint Telefon-Phishing, bei dem Angreifer am Telefon Druck aufbauen oder sich als Bank, IT-Support oder Behörde ausgeben. Spear-Phishing ist gezieltes Phishing gegen bestimmte Personen, Teams oder Organisationen; solche Nachrichten können interne Namen, laufende Projekte oder reale Geschäftsbeziehungen aufgreifen und wirken deshalb oft glaubwürdiger als massenhaft versendete Fälschungen.
Eine einzelne Auffälligkeit beweist selten alles. Umgekehrt ist eine Nachricht nicht sicher, nur weil sie fehlerfrei geschrieben ist, ein echtes Logo zeigt oder eine persönliche Anrede enthält. Moderne Phishing-Nachrichten können sprachlich korrekt, optisch professionell und in Teilen personalisiert sein. Die zuverlässigere Prüfung entsteht aus mehreren Fragen: Passt der Absender zur Situation? Stimmt die Domain Zeichen für Zeichen? War die Datei oder Zahlungsaufforderung zu erwarten? Und warum soll die Handlung gerade jetzt und über genau diesen Link erfolgen?
Zentrale Checkliste: starke Warnzeichen bei Nachrichten, Links und Login-Seiten
Die folgende Checkliste ist als praktischer Prüfzettel gedacht. Sie soll keine starre Ja-nein-Entscheidung ersetzen, sondern helfen, eine konkrete E-Mail, SMS, Messenger-Nachricht, Anzeige, Suchergebnis-Seite oder einen Telefonkontakt ruhig einzuordnen. Je sensibler die verlangte Handlung ist, desto weniger sollte der Vorgang über einen unerwarteten Link oder eine ungeprüfte Rückrufnummer fortgesetzt werden.
| Was Ihnen auffallen sollte | Warum das heikel ist | Was jetzt der sichere nächste Schritt ist |
|---|---|---|
| Die Login-Seite wirkt vertraut, aber die Domain passt nicht exakt zur Organisation. | Gefälschte Seiten übernehmen häufig Logo, Farben und Formularaufbau. Die eigentliche Unterscheidung liegt oft in der Adresse, nicht im Design. | Nicht einloggen. Lesen Sie die Domain vollständig und öffnen Sie den Dienst selbst über die bekannte Adresse oder ein gespeichertes Lesezeichen. |
| Ein unerwarteter Link fordert zur Eingabe von Passwort, Kundennummer oder geschäftlichem Login auf. | Phishing zielt häufig darauf, normale Anmeldegewohnheiten auszunutzen: Der Bildschirm sieht bekannt aus, der Auslöser war aber nicht vertrauenswürdig. | Keinen Login über diesen Link durchführen. Prüfen Sie den Kontostatus direkt in der offiziellen App oder über die selbst aufgerufene Webseite. |
| Eine Nachricht fordert eine TAN, einen Einmalcode, einen Bestätigungscode oder eine Freigabe in einer App an. | Solche Codes dienen eigentlich der Bestätigung einer konkreten Aktion. Wenn der Kontext nicht von Ihnen stammt, kann die Freigabe einem fremden Login oder einer Zahlung helfen. | Geben Sie keinen Code weiter und bestätigen Sie keine Anfrage, die Sie nicht selbst ausgelöst haben. Bei Bank- oder Arbeitskonten sollte der offizielle beziehungsweise interne Kontaktweg genutzt werden. |
| Die Nachricht droht mit Kontosperrung, Vertragskündigung, Strafgebühr oder sofortigem Verlust eines Dienstes. | Zeitdruck reduziert die Bereitschaft, Absender, Domain und Anlass sauber zu prüfen. Genau diese Eile ist ein typisches Mittel in Phishing-Szenarien. | Nehmen Sie die Drohung nicht als Beweis. Öffnen Sie den Dienst unabhängig vom Link und prüfen Sie dort, ob wirklich eine Meldung vorliegt. |
| Eine Rechnung, Mahnung oder Lieferbenachrichtigung erzeugt Zahlungsdruck. | Dringende Zahlungsaufforderungen können dazu verleiten, Bankdaten, Kreditkartendaten oder Zugangsdaten einzugeben, bevor der Vorgang sachlich geprüft wurde. | Zahlen Sie nicht über den Link. Vergleichen Sie Bestell- oder Vertragsdaten in Ihrem eigenen Kundenkonto oder fragen Sie über einen offiziellen Kontaktweg nach. |
| Für eine angebliche Rechnung wird eine neue oder ungewöhnliche Bankverbindung genannt. | Eine geänderte Bankverbindung ist besonders kritisch, weil der Schaden auch ohne Passwortverlust entstehen kann. Bei geschäftlichen Vorgängen ist das ein klassisches Risiko. | Verifizieren Sie die Änderung über einen unabhängigen Kanal, etwa eine bekannte Telefonnummer oder interne Freigabeprozesse. Nutzen Sie nicht die Kontaktdaten aus der Nachricht. |
| Ein Anhang kommt unerwartet, etwa als Rechnung, Lieferdokument, Scan, Sicherheitsdokument oder Formular. | Anhänge können als Vorwand dienen, um Zugangsdaten abzufragen, schädliche Inhalte einzuschleusen oder auf eine gefälschte Seite zu führen. | Öffnen Sie die Datei nicht vorschnell. Prüfen Sie, ob Sie dieses Dokument erwartet haben, und fragen Sie den angeblichen Absender über einen unabhängigen Kanal. |
| Eine angebliche Sicherheitsprüfung verlangt, dass ein Konto „bestätigt“, „reaktiviert“ oder „neu verifiziert“ wird. | Der Begriff Sicherheit schafft Vertrauen, kann aber gerade als Köder dienen. Seriöse Anbieter verlangen sensible Eingaben in der Regel nicht über unerwartete Nachrichtenlinks. | Rufen Sie die Kontoseite selbst auf. Wenn dort keine entsprechende Meldung erscheint, behandeln Sie die Nachricht weiterhin als verdächtig. |
| Am Telefon fordert jemand Zugangsdaten, Codes, Fernzugriff oder eine sofortige Überweisung. | Beim Vishing ersetzt die Stimme den Link. Druck, Autorität und ein angeblicher Notfall sollen verhindern, dass der Kontaktweg geprüft wird. | Beenden Sie das Gespräch sachlich und rufen Sie über eine bekannte offizielle Nummer zurück. Bei geschäftlichen Konten gelten interne Meldewege. |
| Ein QR-Code auf einem Schreiben, Plakat, Paketaufkleber oder in einer Nachricht führt zu einer Login- oder Zahlungsseite. | QR-Codes verdecken das Ziel zunächst. Der vertraute Ort des Codes sagt noch nichts darüber aus, ob die Zieladresse unverändert und legitim ist. | Prüfen Sie die angezeigte Adresse vor dem Öffnen. Für Logins und Zahlungen ist es sicherer, die bekannte Webseite oder App direkt zu verwenden. |
Besonders schwer wiegen Aufforderungen zu Passwort, TAN, Einmalcode, Zahlungsfreigabe oder neuer Bankverbindung. Wenn eines dieser Elemente mit Zeitdruck, unerwartetem Anlass oder einer abweichenden Domain zusammenkommt, sollte der Vorgang nicht über den angebotenen Link fortgesetzt werden. Das gilt auch dann, wenn die Nachricht höflich formuliert ist und auf den ersten Blick wie eine normale Servicemitteilung aussieht.
Ergänzende Auffälligkeiten: nicht allein entscheidend, aber wichtig im Zusammenhang
Weitere Signale sind weniger eindeutig, können aber den Verdacht verstärken. Sie sollten vor allem dann ernst genommen werden, wenn gleichzeitig sensible Daten, ein Login, eine Zahlung oder das Öffnen eines Anhangs verlangt werden.
| Was Ihnen auffallen sollte | Warum das im Zusammenhang zählt | Wie Sie damit umgehen sollten |
|---|---|---|
| Die Nachricht enthält Grammatikfehler, ungewohnte Formulierungen oder merkwürdig übersetzte Begriffe. | Sprachliche Fehler können auf eine Fälschung hinweisen, sind aber kein zuverlässiges Hauptmerkmal. Viele aktuelle Phishing-Texte sind fehlerfrei. | Nehmen Sie Fehler als Anlass zur Prüfung, verlassen Sie sich aber nicht auf Rechtschreibung als einziges Kriterium. |
| Die Ansprache ist unpersönlich, etwa „Sehr geehrter Kunde“, obwohl der Dienst normalerweise eine namentliche Ansprache verwendet. | Unpersönliche Anreden passen zu massenhaft versendeten Nachrichten. Sie schließen echte Mitteilungen nicht aus, erhöhen aber bei sensiblen Aufforderungen den Prüfbedarf. | Vergleichen Sie die Nachricht nicht nur sprachlich, sondern prüfen Sie Absender, Domain und Anlass unabhängig. |
| Der Absendername wirkt bekannt, die Absenderadresse dahinter jedoch ungewohnt. | Anzeigenamen lassen sich leicht so wählen, dass sie vertraut erscheinen. Entscheidend ist die tatsächliche Adresse und die dazu passende Domain. | Öffnen Sie die vollständigen Absenderdetails, sofern möglich. Passt die Domain nicht zur Organisation, sollten Sie nicht antworten und nicht auf Links reagieren. |
| Der Link ist verkürzt oder die Zieladresse bleibt in der Nachricht unklar. | Verkürzte Links können nützlich sein, verbergen aber das Ziel. Bei Login- und Zahlungsaufforderungen ist diese Unklarheit ein unnötiges Risiko. | Folgen Sie dem Link nicht, wenn sensible Daten betroffen sind. Rufen Sie den Dienst selbst über die bekannte Adresse auf. |
| Die Nachricht kommt zu einem ungewöhnlichen Zeitpunkt oder passt nicht zum aktuellen Kontext. | Eine angebliche Paketmeldung ohne Bestellung, eine Rechnung ohne Geschäftsbeziehung oder eine Supportmeldung ohne Anfrage sollte nicht als Routine behandelt werden. | Fragen Sie sich zuerst, ob der Vorgang erwartet wurde. Fehlt der nachvollziehbare Anlass, ist eine unabhängige Prüfung sinnvoll. |
| Eine Nachricht in sozialen Netzwerken oder im Messenger verweist auf ein angebliches Problem mit einem Konto. | Auch Konten realer Kontakte können missbraucht sein. Eine vertraute Absenderperson macht den Link nicht automatisch vertrauenswürdig. | Kontaktieren Sie die Person bei Bedarf über einen anderen Kanal oder öffnen Sie die Plattform direkt, statt dem Link zu folgen. |
| Ein Suchergebnis oder eine Werbeanzeige führt zu einer Support- oder Login-Seite, die besonders weit oben erscheint. | Platzierung allein ist kein Echtheitsnachweis. Manipulierte Suchergebnisse oder irreführende Anzeigen können Nutzer auf gefälschte Supportseiten lenken. | Achten Sie vor dem Login auf die Domain. Für Support und Kontoanmeldung ist die bekannte Hauptadresse des Anbieters der sicherere Weg. |
Die wichtigste Differenzierung lautet: Gute Gestaltung senkt den Verdacht nicht automatisch. Logos, Markenfarben, professionelle Sprache und sogar ein HTTPS-Schlosssymbol zeigen nur, dass eine Seite ordentlich gestaltet und die Verbindung verschlüsselt sein kann. Sie beweisen nicht, dass die Seite wirklich zum behaupteten Anbieter gehört. Auch eine gefälschte Seite kann ein gültiges Zertifikat nutzen und optisch sauber aufgebaut sein.
Links, Domains und Login-Seiten ohne Spezialwissen prüfen
Bei Links zählt weniger der sichtbare Text als die tatsächliche Zieladresse. Eine Schaltfläche kann „Zum Kundenkonto“ heißen und trotzdem auf eine andere Domain führen. Am Computer hilft es, den Mauszeiger über den Link zu halten, ohne zu klicken; viele Programme zeigen dann die Zieladresse in einer Vorschau oder Statuszeile an. Auf dem Smartphone ist die Prüfung je nach App schwieriger, weil Vorschauen unterschiedlich dargestellt werden. Gerade dort ist Zurückhaltung bei unerwarteten Login-Links besonders sinnvoll.
- Lesen Sie die Domain vollständig und nicht nur den Anfang der Adresse. Entscheidend ist der registrierte Domainname unmittelbar vor der Endung, nicht ein vertraut klingender Begriff irgendwo im Link.
- Verwechseln Sie Subdomains nicht mit der echten Hauptdomain. Eine Adresse kann den Markennamen am Anfang enthalten und trotzdem zu einer anderen Domain gehören.
- Achten Sie auf Schreibvarianten, zusätzliche Zeichen, vertauschte Buchstaben oder ungewöhnliche Endungen. Kleine Abweichungen können absichtlich übersehen werden.
- Betrachten Sie Logo, Layout und Schlosssymbol nur als Begleiteindruck, nicht als Entwarnung. Die Domain und der Anlass sind wichtiger als die optische Ähnlichkeit.
- Tippen Sie die bekannte Adresse selbst ein oder nutzen Sie ein gespeichertes Lesezeichen, wenn es um Konto, Zahlung, Bank, Paketdienst, Cloudspeicher oder geschäftliche Anmeldung geht.
- Melden Sie sich nicht über unerwartete Links an. Wenn ein Anbieter wirklich eine Aktion verlangt, sollte die Meldung nach dem direkten Aufruf des Kontos ebenfalls sichtbar sein.
- Prüfen Sie Anhänge getrennt vom Link. Unerwartete Rechnungen, Lieferdokumente oder Sicherheitsformulare sollten nicht geöffnet werden, nur weil der Absendername bekannt wirkt.
Diese Prüfhaltung gilt nicht nur für E-Mails. Bei SMS und Messenger-Nachrichten ist der Platz knapp, bei QR-Codes ist die Adresse zunächst verborgen, bei Werbeanzeigen und Suchergebnissen wirkt die Platzierung oft vertrauensbildend, und am Telefon entsteht Druck durch direkte Ansprache. In allen Fällen bleibt die sichere Grundlogik ähnlich: Bei sensiblen Daten nicht über den angebotenen Weg weitergehen, sondern den Dienst selbst öffnen, über einen offiziellen Kontaktweg nachfragen oder bei Arbeitskonten die zuständige interne Stelle informieren.
Was bei Verdacht zu tun ist: vom Nicht-Klicken bis zur Passworteingabe
Bei Phishing-Verdacht ist die wichtigste Regel, den Ablauf zu unterbrechen. Nicht antworten, keine Daten eingeben, keine Links oder Anhänge öffnen und die Nachricht nicht ungeprüft weiterverbreiten. Stattdessen sollte der betroffene Dienst über eine bekannte Adresse, eine offizielle App oder ein gespeichertes Lesezeichen geöffnet werden.
Wenn bereits auf einen Link geklickt wurde, aber keine Daten eingegeben wurden, ist das Risiko nicht automatisch gleich hoch wie nach einer Passworteingabe. Trotzdem sollte die Seite geschlossen und der Vorgang nicht fortgesetzt werden. Bei Unsicherheit helfen die offiziellen Hilfeseiten des Dienstes; außerdem ist es sinnvoll, Konto und Gerät in der nächsten Zeit aufmerksam zu beobachten.
Wenn ein Passwort eingegeben wurde, sollte es sofort über die offizielle Seite geändert werden, sofern der Zugriff noch möglich ist. Wurde dasselbe oder ein sehr ähnliches Passwort auch bei anderen Diensten verwendet, sollten diese Zugänge ebenfalls geändert werden. Je nach Dienst können außerdem aktive Sitzungen, angemeldete Geräte, Weiterleitungen, Wiederherstellungsadressen oder kürzlich vorgenommene Änderungen geprüft werden.
Zwei-Faktor-Authentifizierung ist eine wichtige zusätzliche Schutzschicht und sollte, sofern verfügbar, aktiviert oder überprüft werden. Sie schützt aber nur teilweise vor Phishing. Manche Angriffe fragen auch Einmalcodes ab oder bringen Nutzer dazu, eine Anmeldung oder Zahlung in einer App zu bestätigen. Deshalb bleibt entscheidend, Codes und Freigaben nur für Vorgänge zu verwenden, die selbst ausgelöst wurden.
Sind Zahlungsdaten, TANs, Kreditkarteninformationen oder ungewöhnliche Abbuchungen betroffen, sollte die Bank oder der jeweilige Dienstanbieter über offizielle Kanäle kontaktiert werden. Verdächtige Nachrichten können im Mailprogramm, beim betroffenen Dienst oder über vorgesehene Meldewege gemeldet werden. Bei geschäftlichen Konten sollten IT, Sicherheitsstelle, Vorgesetzte oder andere zuständige interne Stellen nach interner Vorgabe informiert werden.
FAQ zu Phishing
Was bedeutet Phishing?
Phishing ist ein Betrugsversuch, bei dem Angreifer über gefälschte Nachrichten, Webseiten oder Anrufe vertrauliche Informationen wie Passwörter, TANs, Kreditkartendaten oder Zugangscodes erlangen wollen.
Woran erkennt man eine Phishing-Mail?
Wichtige Warnzeichen sind abweichende Absenderadressen, ungewöhnliche Domains, dringende Drohungen, unerwartete Anhänge, verkürzte Links, Aufforderungen zur Passworteingabe, Code-Abfragen, Zahlungsdruck oder neue Bankverbindungen. Einzelne Merkmale sind selten eindeutig; der Zusammenhang ist entscheidend.
Kann eine Phishing-Mail echt aussehen?
Ja. Moderne Phishing-Nachrichten können sprachlich korrekt, optisch professionell und personalisiert sein. Logos, Layout, persönliche Anrede und fehlerfreie Sprache reichen daher nicht als Entwarnung aus.
Was ist Smishing?
Smishing ist SMS-Phishing. Dabei wird eine betrügerische Kurznachricht genutzt, häufig mit Link, Rückrufaufforderung oder angeblicher Paket-, Konto- oder Sicherheitsinformation.
Was ist Vishing?
Vishing ist Telefon-Phishing. Angreifer geben sich am Telefon etwa als Bank, Support, Behörde oder Dienstleister aus und versuchen, Daten, Codes, Freigaben oder Zahlungen zu erhalten.
Was tun nach Klick auf einen Phishing-Link?
Keine Daten eingeben, keine Datei herunterladen und die Seite schließen. Danach den Dienst über die bekannte Adresse oder App öffnen und prüfen, ob dort eine echte Meldung vorliegt. Bei Arbeitskonten sollte die interne Meldestelle informiert werden.
Was tun nach Passworteingabe?
Das Passwort sofort über die offizielle Seite ändern, sofern der Zugriff noch möglich ist. Gleiche oder ähnliche Passwörter bei anderen Diensten ebenfalls ändern, aktive Sitzungen und angemeldete Geräte prüfen, Zwei-Faktor-Authentifizierung aktivieren und den Anbieter über offizielle Kanäle kontaktieren.
Warum hilft Zwei-Faktor-Authentifizierung gegen Phishing nur teilweise?
Zwei-Faktor-Authentifizierung erschwert unbefugte Zugriffe, verhindert Phishing aber nicht vollständig. Wenn Nutzer Einmalcodes weitergeben oder eine fremde Anmeldung in einer App bestätigen, kann auch diese Schutzschicht umgangen werden. Sie ist wichtig, ersetzt aber nicht die Prüfung von Link, Domain und Anlass.
Phishing lässt sich am besten verstehen, wenn man nicht nur an gefälschte E-Mails denkt. Entscheidend ist die Kombination aus vertraut wirkender Nachricht, plausibler Geschichte, Zeitdruck und einer Aufforderung, vertrauliche Daten preiszugeben oder eine Zahlung auszulösen.
Wer Absender, Domain, Linkziel und Kontext ruhig prüft, reduziert das Risiko deutlich. Bei Unsicherheit ist der sicherste Weg fast immer derselbe: nicht über den unerwarteten Link handeln, sondern den Dienst selbst über die bekannte Adresse öffnen oder über einen offiziellen Kanal nachfragen.
Falls bereits Daten eingegeben wurden, zählt schnelles und geordnetes Handeln: Passwort ändern, Sitzungen prüfen, Zwei-Faktor-Authentifizierung nutzen, Bank oder Anbieter kontaktieren und verdächtige Nachrichten melden. Absolute Sicherheit gibt es dadurch nicht, aber der mögliche Schaden lässt sich oft begrenzen.
Meroth IT-Service ist Ihr lokaler IT-Dienstleister in Frankfurt am Main für kleine Unternehmen, Selbstständige und Privatkunden
Kostenfreie Ersteinschätzung Ihres Anliegens?
Werbung
(**) UVP: Unverbindliche Preisempfehlung
Preise inkl. MwSt., zzgl. Versandkosten