Was ist Phishing und wie schützen Sie sich

Phishing ist einer der ältesten und effektivsten Cyberangriffe – und wird immer raffinierter. Es funktioniert, indem Sie dazu gebracht werden, Ihre Anmeldedaten, persönliche Informationen oder Finanzdaten über gefälschte Nachrichten preiszugeben, die legitim aussehen.

Von gefälschten E-Mails, die sich als Ihre Bank ausgeben, bis hin zu SMS-Nachrichten, die behaupten, Ihr Paket sei aufgehalten – Phishing kommt in vielen Formen vor. Es zu erkennen ist Ihre beste Verteidigung gegen Kontoübernahmen und Datendiebstahl.

Was ist Phishing?

Phishing ist eine Art von Social-Engineering-Angriff, bei dem ein Krimineller sich als vertrauenswürdige Instanz ausgibt – etwa eine Bank, eine Social-Media-Plattform oder eine Behörde – um Sie dazu zu bringen, sensible Informationen preiszugeben.

Der Begriff „Phishing" leitet sich vom englischen „fishing" (Angeln) ab – der Angreifer wirft einen Köder (eine gefälschte Nachricht) aus und wartet darauf, dass jemand anbeißt. Anders als bei technischem Hacking nutzt Phishing keine Software-Schwachstellen aus. Es nutzt menschliches Vertrauen und Dringlichkeitsgefühl aus.

Ein typischer Phishing-Angriff funktioniert so:

  • Sie erhalten eine Nachricht, die offiziell aussieht (E-Mail, SMS oder Direktnachricht)
  • Die Nachricht erzeugt Dringlichkeit: „Ihr Konto wird gesperrt", „Verdächtige Anmeldung erkannt", „Bestätigen Sie jetzt Ihre Identität"
  • Sie klicken auf einen Link, der zu einer gefälschten Login-Seite führt, die identisch mit der echten aussieht
  • Sie geben Ihre Zugangsdaten ein – die direkt an den Angreifer gehen

Phishing ist die häufigste Ursache für Kontokompromittierungen auf Plattformen wie Facebook, E-Mail-Anbietern und Bankdiensten.

Gängige Phishing-Methoden

Phishing hat sich weit über offensichtliche Betrugs-E-Mails hinaus entwickelt. Hier sind die häufigsten Formen, denen Sie begegnen werden:

E-Mail-Phishing

  • Die klassische Form – gefälschte E-Mails, die sich als Banken, Plattformen oder Dienste ausgeben
  • Enthalten oft dringliche Sprache und einen Link zu einer gefälschten Login-Seite
  • Die Absenderadresse sieht der echten ähnlich, weist aber subtile Unterschiede auf

SMS-Phishing (Smishing)

  • Textnachrichten, die vorgeben, von Paketdiensten, Banken oder Behörden zu sein
  • Enthalten oft gekürzte URLs, die das wahre Ziel verbergen
  • Zunehmend verbreitet und schwerer zu filtern als E-Mail

Social-Media-Phishing

  • Direktnachrichten von gehackten Konten von Freunden, die Sie bitten, „das anzuschauen" oder „für mich abzustimmen"
  • Gefälschte Urheberrechts- oder Verifizierungshinweise auf Instagram und Facebook
  • Kommentar-Betrug mit Links zu gefälschten Gewinnspielen oder Login-Seiten

Voice-Phishing (Vishing)

  • Telefonanrufe, die vorgeben, vom technischen Support, Ihrer Bank oder Strafverfolgungsbehörden zu kommen
  • Der Anrufer erzeugt Dringlichkeit und bittet Sie, Kontodaten preiszugeben oder Software zu installieren

Der gemeinsame Nenner: Alle Formen von Phishing nutzen Vertrauen aus und erzeugen ein falsches Dringlichkeitsgefühl, damit Sie handeln, bevor Sie nachdenken.

Wie Sie eine Phishing-Nachricht oder -Seite erkennen

Phishing zu erkennen wird einfacher, wenn Sie wissen, worauf Sie achten müssen. Dies sind die zuverlässigsten Warnzeichen:

  • Dringlichkeit und Drohungen – „Handeln Sie jetzt, oder Ihr Konto wird gelöscht." Seriöse Dienste drohen selten mit sofortigen Konsequenzen in einer einzelnen Nachricht.
  • Verdächtige Absenderadresse – schauen Sie genau hin. „support@faceb00k-security.com" ist nicht Facebook. Überprüfen Sie die tatsächliche E-Mail-Domain, nicht nur den Anzeigenamen.
  • Allgemeine Anrede – „Sehr geehrter Nutzer" oder „Sehr geehrter Kunde" statt Ihres tatsächlichen Namens kann auf eine Massen-Phishing-Kampagne hindeuten.
  • Nicht übereinstimmende URLs – fahren Sie mit der Maus über Links (klicken Sie nicht), um das wahre Ziel zu sehen. Wenn der Linktext „instagram.com" sagt, die URL aber woanders hinführt, ist es Phishing.
  • Schlechte Grammatik oder Formatierung – obwohl Phishing professioneller geworden ist, enthalten viele Versuche noch Rechtschreibfehler, seltsame Formatierung oder inkonsistentes Branding.
  • Unerwartete Anhänge – seriöse Plattformen senden fast nie Anhänge. Wenn Sie unerwartet einen erhalten, öffnen Sie ihn nicht.
  • Anfragen nach Zugangsdaten per Nachricht – kein seriöser Dienst wird Sie jemals auffordern, Ihr Passwort, Ihre PIN oder Ihren Bestätigungscode per E-Mail oder Chat zu senden.

Wenn Sie unsicher sind, klicken Sie nicht auf den Link. Öffnen Sie stattdessen ein neues Browserfenster und gehen Sie direkt auf die Website des Dienstes, indem Sie die Adresse selbst eingeben.

Was tun, wenn Sie auf einen Phishing-Link geklickt haben

Wenn Sie feststellen, dass Sie auf einen Phishing-Link geklickt oder Ihre Zugangsdaten auf einer gefälschten Seite eingegeben haben, geraten Sie nicht in Panik – handeln Sie aber sofort:

  • Ändern Sie sofort Ihr Passwort – gehen Sie direkt auf die echte Website (geben Sie die URL selbst ein) und ändern Sie Ihr Passwort in ein komplett neues.
  • Aktivieren Sie sofort 2FA – wenn noch nicht geschehen, aktivieren Sie Zwei-Faktor-Authentifizierung auf dem betroffenen Konto und Ihrer E-Mail.
  • Prüfen Sie auf unbefugten Zugriff – überprüfen Sie aktive Sitzungen und kürzliche Aktivitäten. Melden Sie alle Geräte ab, die Sie nicht erkennen.
  • Sichern Sie Ihre E-Mail – wenn Sie Ihre E-Mail-Zugangsdaten auf einer Phishing-Seite eingegeben haben, hat Ihr E-Mail-Konto jetzt Priorität. Eine kompromittierte E-Mail gibt Angreifern Zugang zu allem.
  • Überprüfen Sie Weiterleitungsregeln – Angreifer richten oft E-Mail-Weiterleitungen ein, um im Stillen Kopien Ihrer Nachrichten zu erhalten.
  • Überwachen Sie Ihre Konten – achten Sie in den nächsten Tagen und Wochen auf verdächtige Aktivitäten, auch auf Konten, die dasselbe Passwort verwenden.
  • Melden Sie die Phishing-Seite – die meisten Browser und E-Mail-Anbieter bieten Optionen zum Melden von Phishing. Das hilft, andere zu schützen.

Wenn Sie Finanzdaten eingegeben haben, kontaktieren Sie sofort Ihre Bank, um die betroffenen Karten oder Konten einzufrieren oder zu überwachen.

Wie Sie sich vor Phishing schützen

Der beste Schutz vor Phishing ist eine Kombination aus Bewusstsein und grundlegenden Sicherheitspraktiken:

  • Aktivieren Sie 2FA auf allen wichtigen Konten – selbst wenn ein Angreifer Ihr Passwort durch Phishing erlangt, blockiert Zwei-Faktor-Authentifizierung sein Einloggen.
  • Verwenden Sie einzigartige Passwörter – verwenden Sie Passwörter nie über verschiedene Dienste hinweg wieder. Ein Passwortmanager macht das praktikabel.
  • Erst prüfen, dann klicken – wenn Sie eine Nachricht über Kontoprobleme erhalten, gehen Sie direkt auf die Website, anstatt auf den Link in der Nachricht zu klicken.
  • Software aktuell halten – Browser und E-Mail-Clients aktualisieren regelmäßig ihre Phishing-Erkennung. Halten Sie sie auf dem neuesten Stand.
  • Skeptisch gegenüber Dringlichkeit sein – seriöse Unternehmen geben Ihnen Zeit zum Handeln. Wenn eine Nachricht sofortiges Handeln verlangt, ist das ein Warnsignal.
  • Sich selbst und andere informieren – je vertrauter Sie mit Phishing-Taktiken sind, desto leichter erkennen Sie sie. Teilen Sie dieses Wissen mit Familie und Freunden.

Keine einzelne Maßnahme ist perfekt, aber die Kombination dieser Praktiken macht Sie zu einem deutlich schwierigeren Ziel. Für einen umfassenden Sicherheitsansatz lesen Sie unseren Leitfaden zum Schutz Ihrer Konten.

Befürchten Sie, dass Ihr Konto durch Phishing kompromittiert wurde?

Wenn Sie Zugangsdaten auf einer Phishing-Seite eingegeben haben und den Zugang zu Ihrem Konto verloren haben, kann RelyShield bei der Wiederherstellung und umfassenden Absicherung helfen.

Hilfe erhalten Beratung

Häufig gestellte Fragen

Was ist der Unterschied zwischen E-Mail-Phishing und SMS-Phishing?
Die Methode ist unterschiedlich, aber das Ziel ist dasselbe. E-Mail-Phishing nutzt gefälschte E-Mails, während SMS-Phishing (Smishing) Textnachrichten nutzt. Beide versuchen, Sie dazu zu bringen, auf einen schädlichen Link zu klicken oder sensible Informationen preiszugeben. SMS-Phishing ist schwerer zu filtern und fühlt sich oft persönlicher an.
Schützt Antivirensoftware vor Phishing?
Teilweise. Gute Antiviren- und Browser-Sicherheitsfunktionen können bekannte Phishing-Seiten markieren, aber sie können nicht jede neue erkennen. Phishing nutzt letztlich menschliches Urteilsvermögen aus, daher ist Bewusstsein neben technischen Tools Ihre beste Verteidigung.
Was tun, wenn ich mein Passwort auf einer Phishing-Seite eingegeben habe?
Ändern Sie sofort Ihr Passwort auf der echten Website, aktivieren Sie die Zwei-Faktor-Authentifizierung, überprüfen Sie unbefugte Aktivitäten und sichern Sie Ihre E-Mail, wenn Sie dort dieselben Zugangsdaten verwendet haben. Wenn Finanzdaten eingegeben wurden, kontaktieren Sie sofort Ihre Bank.
Kann ich eine Phishing-Seite melden?
Ja. Sie können Phishing-Seiten bei Google Safe Browsing (safebrowsing.google.com/safebrowsing/report_phish), Ihrem E-Mail-Anbieter und dem nachgeahmten Unternehmen melden. Die meisten Browser haben auch eine eingebaute Option „Phishing melden" oder „Betrügerische Website melden" im Menü.