Phishing erkennen: Warnzeichen, Beispiele und Sofortmaßnahmen
Phishing nutzt Vertrauen, Stress und Zeitdruck. Ziel ist fast immer, Zugangsdaten, Zahlungsdaten oder Schadsoftware auf Ihr Gerät zu bekommen. Dieser Ratgeber zeigt, wie Sie Phishing-Mails, Smishing per SMS, gefälschte Login-Seiten und gefährliche Anhänge systematisch prüfen.
Phishing-Schnelltest: 30 Sekunden vor dem Klick
Wenn eine Nachricht Sie zu einem Login, einer Zahlung, einer Datei oder einer schnellen Entscheidung drängt, lohnt sich ein kurzer Stopp. Je mehr Punkte zutreffen, desto wahrscheinlicher ist ein Betrugsversuch.
- Die Nachricht kommt unerwartet oder passt nicht zu einer aktuellen Bestellung, Buchung oder Anfrage.
- Sie sollen sofort handeln, sonst drohen Kontosperre, Mahngebühren, Datenverlust oder Paket-Rücksendung.
- Der Link führt nicht klar zur bekannten Hauptdomain des Anbieters.
- Sie sollen Passwort, TAN, Kreditkartendaten, Ausweiskopie oder Wiederherstellungscode eingeben.
- Der Anhang ist überraschend, doppelt gepackt oder als Rechnung, Bewerbung, Versandlabel oder Sicherheitsupdate getarnt.
Die sichere Alternative: Öffnen Sie den Dienst direkt über die bekannte Website oder App. Wenn dort keine Warnung, Rechnung oder Nachricht sichtbar ist, war der Link aus der E-Mail meistens unnötig oder gefährlich.
Typische Warnzeichen
Früher waren viele Phishing-Mails an schlechtem Deutsch, fehlenden Umlauten oder groben Rechtschreibfehlern zu erkennen. Das ist heute kein verlässlicher Schutz mehr. Viele gefälschte Nachrichten sind gut formuliert, nutzen echte Logos und greifen aktuelle Ereignisse oder persönliche Daten auf.
- Die Nachricht erzeugt Druck: Konto gesperrt, Paket wartet, Zahlung fehlgeschlagen oder Frist läuft ab.
- Der Absender wirkt bekannt, aber die E-Mail-Adresse passt nicht zur offiziellen Domain.
- Der Link führt auf eine ungewohnte Domain oder enthält Schreibfehler, lange Zahlenketten oder fremde Endungen.
- Anhänge sollen sofort geöffnet oder Makros aktiviert werden.
- Die Nachricht fordert sensible Daten an, die seriöse Anbieter nicht per E-Mail oder SMS abfragen.
- Die Anrede ist sehr allgemein, obwohl der Anbieter Sie normalerweise persönlich anspricht.
- Der Text enthält ungewöhnliche Formulierungen, alte Logos, falsche Fußzeilen oder nicht passende Kontaktwege.
Phishing-Beispiele aus dem Alltag
Phishing funktioniert besonders gut, wenn die Geschichte alltäglich klingt. Die folgenden Muster tauchen in vielen Varianten auf und lassen sich auf E-Mail, SMS, Messenger und soziale Netzwerke übertragen.
Bank, Kreditkarte oder Zahlungsdienst
Typisch sind Hinweise auf angebliche Sicherheitsprüfungen, neue AGB, ungewöhnliche Abbuchungen oder gesperrte Karten. Die Nachricht führt auf eine gefälschte Login-Seite und fragt neben dem Passwort oft auch TAN, Kartennummer oder Bestätigungscodes ab.
Paketdienst, Zoll oder Lieferproblem
Die Nachricht behauptet, ein Paket könne nur gegen eine kleine Gebühr zugestellt werden. Gerade kleine Beträge wirken harmlos, sollen aber Zahlungsdaten, Adresse und Telefonnummer abgreifen.
Cloud, Microsoft 365, Google oder Apple
Bei Cloud- und E-Mail-Konten geht es häufig um angeblich volle Postfächer, ablaufende Speicherpläne, ungewöhnliche Logins oder gesperrte Dateien. Wer hier Daten eingibt, gefährdet oft auch andere Konten, weil über E-Mail viele Passwörter zurückgesetzt werden können.
Kleinanzeigen, Marktplätze und Verkauf
Betrüger senden Links zu angeblichen Zahlungs- oder Versandseiten. Verkäufer sollen dort Bankdaten eingeben, eine Zahlung bestätigen oder einen QR-Code scannen. Seriöse Marktplätze wickeln Zahlungen über die eigene Plattform ab, nicht über externe Chat-Links.
Chef-Masche und interne Freigaben
In Unternehmen geben sich Angreifer als Geschäftsführung, Buchhaltung, IT oder Lieferant aus. Ziel sind Überweisungen, Gutscheinkarten, Passwort-Zurücksetzungen oder vertrauliche Dateien. Auffällig sind ungewöhnliche Eile, Vertraulichkeit und der Wechsel auf private Kommunikationskanäle.
Links und Domains prüfen
Öffnen Sie wichtige Dienste nicht über Links in Nachrichten. Tippen Sie die Adresse selbst ein oder nutzen Sie ein gespeichertes Lesezeichen. Bei Banken, Paketdiensten, Cloud-Anbietern und Marktplatzkonten ist dieser Umweg fast immer die sicherere Wahl.
Die Domain von rechts nach links lesen
Entscheidend ist die Hauptdomain direkt vor der Endung. Bei login.bankname.de wäre bankname.de die relevante Domain. Bei bankname.de.login-pruefung.example ist dagegen example der eigentliche Anbieter. Betrüger nutzen solche Konstruktionen, weil vertraute Markennamen irgendwo im Link auftauchen.
Warum https keine Entwarnung ist
Ein Schloss-Symbol oder https bedeutet nur, dass die Verbindung verschlüsselt ist. Es sagt nicht, ob die Website wirklich zur Bank, zum Paketdienst oder zum Cloud-Anbieter gehört. Auch gefälschte Seiten können verschlüsselt sein.
Vorsicht bei Kurzlinks und QR-Codes
Kurzlinks verstecken das eigentliche Ziel. QR-Codes können denselben Trick nutzen, besonders auf angeblichen Rechnungen, Paketkarten oder Plakaten. Scannen Sie QR-Codes nur, wenn Quelle und Kontext plausibel sind, und prüfen Sie die angezeigte Zieladresse vor dem Öffnen.
Merksatz: Eine echte Sicherheitsmeldung zwingt Sie nicht, über einen Mail-Link sofort Daten einzugeben.
Absender richtig kontrollieren
Der angezeigte Name einer E-Mail ist leicht manipulierbar. Wichtig ist die tatsächliche Adresse, vor allem der Teil hinter dem @. Eine Nachricht kann als "PayPal Sicherheit" erscheinen und trotzdem von einer völlig fremden Domain kommen.
- Display-Name: Kann frei gewählt werden und ist allein kein Beweis.
- E-Mail-Adresse: Prüfen Sie die Domain nach dem @-Zeichen genau.
- Antwortadresse: Wenn Antworten an eine andere Domain gehen, ist Vorsicht angebracht.
- Weiterleitungen: Eine echte Nachricht kann kompromittiert wirken, wenn ein Konto gehackt wurde. Auch bekannte Absender sind deshalb keine automatische Entwarnung.
Anhänge, Downloads und QR-Codes prüfen
Gefährliche Anhänge tarnen sich oft als Rechnung, Mahnung, Bewerbung, Versandlabel, Steuerdokument oder Sicherheitsupdate. Besonders kritisch sind ausführbare Dateien, Office-Dokumente mit Makros, Archive und Dateien mit doppelten Endungen wie rechnung.pdf.exe.
- Öffnen Sie unerwartete Anhänge nicht direkt aus der Nachricht.
- Fragen Sie den angeblichen Absender über einen bekannten zweiten Kanal nach.
- Laden Sie Rechnungen, Verträge oder Versandlabels lieber aus dem offiziellen Kundenkonto herunter.
- Aktivieren Sie keine Makros und installieren Sie keine angeblichen Updates aus E-Mail-Anhängen.
Smishing: Phishing per SMS, Messenger und Chat
Smishing nutzt dieselben psychologischen Tricks wie E-Mail-Phishing, wirkt auf dem Smartphone aber oft glaubwürdiger. Der kleine Bildschirm zeigt Domains schlechter an, Nachrichten landen direkt in bekannten Apps, und viele Menschen reagieren unterwegs schneller.
- Paket-SMS: "Ihr Paket wartet", "Zollgebühr offen" oder "Adresse unvollständig".
- Bank-SMS: "Ungewöhnlicher Login", "Karte gesperrt" oder "Sicherheitsverfahren bestätigen".
- Familienmasche: "Hallo Mama/Papa, neue Nummer" mit späterer Bitte um Überweisung.
- App-Installation: Eine angebliche Sendungsverfolgung oder Sicherheits-App soll installiert werden.
Antworten Sie nicht auf verdächtige SMS und tippen Sie keine Links ab. Öffnen Sie die offizielle App des Anbieters oder die bekannte Website. Bei angeblichen Familiennotfällen rufen Sie die bisher bekannte Nummer an.
Gefälschte Login-Seiten erkennen
Phishing-Seiten sehen oft täuschend echt aus. Logo, Farben und Formulare sind schnell kopiert. Prüfen Sie deshalb nicht nur das Aussehen, sondern den gesamten Kontext.
- Die Domain muss exakt zur offiziellen Website passen.
- Passwort-Manager füllen gespeicherte Zugangsdaten meist nur auf der richtigen Domain automatisch aus.
- Ungewöhnliche Zusatzfragen nach TAN, Wiederherstellungscode, Ausweisfoto oder kompletter Kartennummer sind ein Warnsignal.
- Nach einem falschen Login leiten Betrugsseiten manchmal zur echten Website weiter, damit der Angriff unbemerkt bleibt.
Praktischer Schutz: Speichern Sie wichtige Logins im Passwort-Manager. Wenn die automatische Ausfüllung auf einer vermeintlichen Login-Seite nicht angeboten wird, prüfen Sie die Domain besonders genau.
Was tun, wenn Sie geklickt haben?
Ein Klick allein bedeutet nicht automatisch, dass alles verloren ist. Entscheidend ist, was danach passiert ist: Haben Sie nur die Seite geöffnet, Daten eingegeben, eine Datei heruntergeladen oder eine App installiert?
- Keine weiteren Daten eingeben und die Seite schließen.
- Passwort des betroffenen Kontos über die echte Website ändern.
- Zwei-Faktor-Authentifizierung aktivieren oder Wiederherstellungscodes erneuern.
- Bei Zahlungsdaten Bank oder Anbieter kontaktieren und Transaktionen prüfen.
- Bei Firmenkonten sofort die IT-Verantwortlichen informieren.
Wenn Sie nur geklickt haben
Schließen Sie die Seite, löschen Sie den verdächtigen Link aus dem Verlauf, prüfen Sie Downloads und beobachten Sie das betroffene Konto. Geben Sie keine Daten ein, auch wenn die Seite seriös aussieht.
Wenn Sie Passwort oder Zahlungsdaten eingegeben haben
Ändern Sie das Passwort sofort über die echte Website. Wenn das Passwort auch anderswo genutzt wurde, ändern Sie es dort ebenfalls. Kontaktieren Sie bei Bank-, Kreditkarten- oder Zahlungsdaten sofort den Anbieter und lassen Sie verdächtige Transaktionen prüfen.
Wenn Sie einen Anhang geöffnet oder eine App installiert haben
Trennen Sie das Gerät bei konkretem Verdacht vom Netzwerk, führen Sie einen Sicherheitscheck durch und sichern Sie keine neuen Passwörter auf einem möglicherweise kompromittierten System. In Unternehmen sollte die IT sofort informiert werden, bevor Dateien gelöscht oder Spuren entfernt werden.
Phishing melden und Beweise sichern
Verdächtige Nachrichten können Sie beim betroffenen Anbieter melden. Viele Banken, Zahlungsdienste, Paketdienste und Plattformen haben eigene Meldeadressen oder Formulare. In Unternehmen sollte es eine zentrale Adresse wie security@, ein Ticketsystem oder einen klaren Meldeweg geben.
- Leiten Sie verdächtige E-Mails möglichst als Anhang weiter, damit technische Kopfzeilen erhalten bleiben.
- Machen Sie Screenshots von SMS, Chatverlauf, Zielseite und Zahlungsaufforderung.
- Löschen Sie die Nachricht erst, wenn sie gemeldet oder dokumentiert wurde.
- Bei finanziellem Schaden kommen Bank, Zahlungsanbieter und gegebenenfalls Polizei als nächste Stellen infrage.
Phishing dauerhaft vorbeugen
Phishing lässt sich nicht vollständig verhindern, aber die Folgen lassen sich deutlich begrenzen. Wichtig ist eine Kombination aus Technik, Gewohnheiten und klaren Regeln.
- Nutzen Sie für jedes Konto ein eigenes Passwort aus einem Passwort-Manager.
- Aktivieren Sie Zwei-Faktor-Authentifizierung für E-Mail, Banking, Cloud, Shops, Social Media und Passwort-Manager.
- Halten Sie Browser, Betriebssystem, Smartphone und Apps aktuell.
- Speichern Sie wichtige Websites als Lesezeichen statt über E-Mail-Links zu gehen.
- Legen Sie in Teams fest, wie Zahlungsänderungen, neue IBANs und dringende Freigaben geprüft werden.
- Testen Sie Backups, damit Schadsoftware oder Kontodiebstahl nicht zum Totalausfall wird.
Quellen und weiterführende Informationen
Für vertiefende Informationen lohnt sich ein Blick auf die Hinweise des Bundesamts für Sicherheit in der Informationstechnik zu Phishing-E-Mails und Phishing-Webseiten sowie zu gefälschten Absenderadressen.
Häufige Fragen zu Phishing
Wie erkenne ich Phishing am schnellsten?
Achten Sie auf Zeitdruck, Drohungen, unerwartete Anhänge, Login-Links, ungewöhnliche Domains und Forderungen nach Passwörtern, TANs oder Zahlungsdaten. Bei Zweifel öffnen Sie den Dienst direkt über die bekannte Adresse.
Ist eine Website mit https automatisch sicher?
Nein. https zeigt nur, dass die Verbindung verschlüsselt ist. Auch Betrugsseiten können ein Zertifikat nutzen. Entscheidend sind die richtige Domain und der Kontext der Nachricht.
Was soll ich tun, wenn ich auf einen Phishing-Link geklickt habe?
Geben Sie keine weiteren Daten ein, schließen Sie die Seite, ändern Sie das Passwort über die echte Website, aktivieren Sie Zwei-Faktor-Authentifizierung und prüfen Sie Kontoaktivitäten. Bei Zahlungsdaten kontaktieren Sie sofort Bank oder Anbieter.
Woran erkenne ich Smishing per SMS oder Messenger?
Typische Hinweise sind Paketprobleme, angebliche Zollgebühren, Konto-Warnungen, kurze Fristen, verkürzte Links und die Aufforderung, eine App zu installieren oder Zahlungsdaten einzugeben.
Sollte ich verdächtige Anhänge öffnen?
Nein. Öffnen Sie unerwartete Anhänge nicht, auch wenn der Absender bekannt wirkt. Fragen Sie über einen zweiten Kanal nach und laden Sie Rechnungen oder Dokumente lieber direkt im Kundenkonto herunter.
Wie kann ich Phishing langfristig vorbeugen?
Nutzen Sie eindeutige Passwörter, einen Passwort-Manager, Zwei-Faktor-Authentifizierung, aktuelle Geräte, sichere Browser, regelmäßige Backups und klare Meldewege für verdächtige Nachrichten.
Konten besser schützen
Phishing ist weniger gefährlich, wenn jedes Konto ein eigenes Passwort und einen zweiten Faktor hat.
Passwort-Manager einrichten