Was ist Phishing?
Phishing ist der Versuch, über gefälschte E-Mails, SMS oder Websites an Ihre persönlichen Daten zu gelangen — Passwörter, Kreditkartennummern, Bankzugangsdaten. Der Begriff leitet sich vom englischen „fishing“ (Angeln) ab: Die Betrüger werfen einen Köder aus und hoffen, dass jemand anbeißt.
Als jemand, der sich beruflich mit Zahlungssicherheit befasst, sehe ich regelmäßig, wie raffiniert diese Angriffe geworden sind. Vor zehn Jahren erkannte man Phishing-Mails an schlechter Grammatik und offensichtlichen Fehlern. Heute sind viele kaum noch von echten Nachrichten zu unterscheiden.
Die häufigsten Phishing-Arten
E-Mail-Phishing
Die klassische Variante: Sie erhalten eine E-Mail, die aussieht, als käme sie von Ihrer Bank, von PayPal, Amazon oder einem anderen Dienst. Darin werden Sie aufgefordert, auf einen Link zu klicken und Ihre Zugangsdaten einzugeben — auf einer gefälschten Website.
SMS-Phishing (Smishing)
Betrügerische SMS, die beispielsweise eine Paketlieferung ankündigen oder ein Problem mit Ihrem Bankkonto melden. Der enthaltene Link führt zu einer Phishing-Seite oder installiert Schadsoftware.
Spear-Phishing
Gezielte Angriffe, bei denen die Betrüger persönliche Informationen über Sie verwenden (Name, Arbeitgeber, kürzliche Einkäufe), um die Nachricht besonders glaubwürdig wirken zu lassen.
Vishing (Voice-Phishing)
Telefonanrufe, bei denen sich die Anrufer als Bankmitarbeiter, Polizei oder Techniker ausgeben. Besonders perfide: Einige Betrüger fälschen die angezeigte Rufnummer (Caller-ID-Spoofing).
So erkennen Sie Phishing
Checkliste: 8 Warnsignale
- Ungewöhnliche Absenderadresse: Die E-Mail-Domain stimmt nicht mit dem vermeintlichen Absender überein (z. B. „[email protected]“ statt „@paypal.com“).
- Dringlichkeit: „Ihr Konto wird gesperrt“, „Sofort handeln“, „Innerhalb von 24 Stunden“ — Zeitdruck soll verhindern, dass Sie nachdenken.
- Unpersönliche Anrede: „Sehr geehrter Kunde“ statt Ihres Namens — allerdings nutzen moderne Phishing-Mails zunehmend personalisierte Anreden.
- Verdächtige Links: Fahren Sie mit der Maus über den Link (ohne zu klicken) und prüfen Sie die tatsächliche URL. Stimmt sie mit der offiziellen Website überein?
- Anhänge: Unerwartete Anhänge (besonders .exe, .zip, .docm) sollten Sie niemals öffnen.
- Abfrage sensibler Daten: Keine seriöse Bank oder Zahlungsanbieter wird Sie per E-Mail nach Passwort, PIN oder TAN fragen.
- Fehlerhafte Formatierung: Unscharfe Logos, ungewöhnliche Schriftarten oder Formatierungsfehler können Hinweise sein — aber Vorsicht: Viele Phishing-Mails sehen mittlerweile perfekt aus.
- HTTPS fehlt: Die Anmeldeseite eines Zahlungsanbieters ohne HTTPS (kein Schloss-Symbol) ist fast sicher eine Fälschung.
Besonders häufige Phishing-Vorlagen
- PayPal: „Ungewöhnliche Aktivität in Ihrem Konto“ — Aufforderung zur Verifizierung.
- Banken: „Ihre TAN-Liste läuft ab“ oder „PSD2-Verifizierung erforderlich“.
- Amazon: „Ihre Bestellung konnte nicht verarbeitet werden“ — Aufforderung zur Zahlungsdaten-Aktualisierung.
- Paketdienste: „Ihr Paket konnte nicht zugestellt werden — Zollgebühren zahlen“.
- Finanzamt: „Sie haben Anspruch auf eine Steuerrückerstattung“.
Was tun, wenn Sie auf Phishing hereingefallen sind?
- Passwörter sofort ändern — bei dem betroffenen Dienst und bei allen anderen Diensten, bei denen Sie dasselbe Passwort verwenden.
- Bank kontaktieren — wenn Zahlungsdaten betroffen sind, lassen Sie Ihre Karte sperren.
- Zwei-Faktor-Authentifizierung aktivieren — falls noch nicht geschehen. Hier finden Sie eine Anleitung.
- Vorfall melden — bei der Polizei (Online-Wache) und beim betroffenen Unternehmen.
- Gerät auf Schadsoftware prüfen — falls Sie einen Anhang geöffnet haben.
Langfristiger Schutz
- Nutzen Sie einen Passwort-Manager und einzigartige Passwörter für jeden Dienst.
- Aktivieren Sie die Zwei-Faktor-Authentifizierung bei allen wichtigen Konten.
- Melden Sie sich bei Zahlungsanbietern immer direkt über die offizielle Website an — niemals über Links in E-Mails.
- Halten Sie Betriebssystem und Browser aktuell.
- Nutzen Sie einen E-Mail-Anbieter mit gutem Spam-Filter.