Woran erkenne ich eine Phishing-Mail?

Typische Merkmale sind künstlicher Zeitdruck, Drohungen wie Kontosperrung, Aufforderungen zur Eingabe von Passwörtern oder Kreditkartendaten, unerwartete Anhänge und Links auf unbekannte Domains.

Bedeutet HTTPS, dass eine Website sicher ist?

Nein. Das BSI weist darauf hin, dass HTTPS nur die verschlüsselte Verbindung anzeigt, nicht die Seriosität des Betreibers. Auch Phishing-Websites nutzen heute gültige SSL-Zertifikate.

Was tun, wenn ich auf einen Phishing-Link geklickt habe?

Passwort sofort auf der echten Website ändern, Bank anrufen wenn Finanzdaten betroffen sind, Polizei-Anzeige erstatten und auf HaveIBeenPwned.com prüfen ob die E-Mail-Adresse in bekannten Datenlecks auftaucht.

Phishing-Angriff: Angelhaken zieht E-Mail und Kreditkarte aus einem digitalen Netzwerk - Symbolbild für Internetbetrug

Phishing erkennen - so entlarven Sie Betrugsmails und gefälschte Websites

Phishing ist die häufigste Methode, mit der Kriminelle an Passwörter, Banking-Daten und persönliche Informationen gelangen. Die Methoden werden immer raffinierter. Einige Phishing-Mails sind kaum noch von echten Nachrichten zu unterscheiden. Worauf Sie achten müssen und wie Sie sich schützen, lesen Sie hier.

Was ist Phishing?

Echte E-Mail vs. Phishing-E-Mail im Vergleich - Merkmale erklärt — Echter vs. gefälschter Absender - die Unterschiede

Der Begriff "Phishing" ist ein Wortspiel aus "Password" und "Fishing". Angreifer angeln nach Ihren Zugangsdaten, indem sie E-Mails, SMS oder Websites so gestalten, dass sie aussehen wie Nachrichten von vertrauenswürdigen Quellen: Ihrer Bank, einem Paketdienstleister, Amazon, PayPal oder dem Finanzamt. Das Ziel ist dabei immer dasselbe: Sie sollen auf einen Link klicken und auf einer gefälschten Website Zugangsdaten, Kreditkartennummern oder andere persönliche Informationen eingeben.

Phishing ist keine neue Erfindung - die Methode ist seit Ende der 1990er Jahre bekannt und war ursprünglich auf AOL-Nutzer ausgerichtet. Heute ist sie professionell organisiert, hochautomatisiert und trifft Privatpersonen genauso wie Unternehmen, Behörden und Krankenhäuser. Besonders gefährlich: Angreifer nutzen zunehmend Informationen aus sozialen Netzwerken, Datenlecks und öffentlichen Quellen, um Nachrichten so überzeugend zu gestalten, dass selbst aufmerksame Nutzer zweimal schauen müssen.

Aktuelle Zahlen: Wie gefährlich ist Phishing wirklich?

Eine Feldstudie der TU Berlin aus dem Jahr 2026 mit über 7.700 Teilnehmenden untersuchte den Unterschied zwischen generischen und KI-personalisierten Phishing-Mails. Generische Kampagnen erzielten eine Klickrate von 3,7 bis 4,1 Prozent. KI-personalisierte Mails, die auf öffentlich verfügbaren Daten der Empfänger basierten, erreichten 10,0 Prozent. Manuell hochgradig personalisierte Nachrichten kamen sogar auf 24,2 Prozent (Quelle: mlsec.tu-berlin.de).

Für Unternehmen zeigen Langzeitstudien: Wer regelmäßige Phishing-Simulationen mit gezieltem Feedback nach einem Fehlklick kombiniert, kann die Erfolgsquote von Angriffen innerhalb von sechs Monaten um rund 50 Prozent senken. Mitarbeiter, die nach einem Fehlklick sofortige Rückmeldung und ein kurzes Training erhalten, sind im Schnitt 70 Prozent seltener erneut anfällig. Einmalige Jahresschulungen bringen hingegen wenig - Studien zeigen, dass die Effekte ohne kontinuierliche Wiederholung binnen Monaten wieder verschwinden (Quelle: arxiv.org).

Typische Merkmale einer Phishing-Mail

Viele Phishing-Mails verraten sich durch auffällige Muster, wenn man weiß, worauf man achtet. Das BSI nennt folgende Kernindikatoren (bsi.bund.de):

Künstlicher Zeitdruck: "Ihr Konto wird in 24 Stunden gesperrt!" - Dringlichkeit soll das kritische Denken ausschalten und zu schnellen Entscheidungen verleiten.
Drohungen und Angst: Strafanzeigen, Mahngebühren, Zugangssperren sollen zur schnellen Reaktion drängen.
Verdächtige Absenderadresse: Der angezeigte Name kann gefälscht sein. Prüfen Sie die tatsächliche E-Mail-Adresse hinter dem Anzeigenamen.
Aufforderung zur Dateneingabe: Seriöse Banken und Behörden fordern Sie niemals per E-Mail auf, Passwörter, TANs oder Kreditkartennummern einzugeben.
Unerwartete Anhänge: Ausführbare Dateien (.exe), ZIP-Archive mit Makros oder Office-Dokumente mit aktivierten Makros sind ein klares Warnsignal.
Verdächtige Links: Fahren Sie mit der Maus über den Link, ohne zu klicken. Die tatsächliche Zieladresse erscheint in der Statuszeile des Browsers.

Was nicht mehr zuverlässig als Erkennungsmerkmal taugt: schlechte Rechtschreibung. Das BSI und Microsoft betonen, dass moderne Phishing-Mails sprachlich einwandfrei sind. KI-Tools haben diesen Aspekt in den letzten Jahren deutlich verändert.

Goldene Regel: Klicken Sie niemals auf Links in E-Mails, die Sie zu einer Bank-Login-Seite führen sollen. Tippen Sie die Adresse immer manuell in die Adresszeile oder nutzen Sie gespeicherte Lesezeichen.

Der HTTPS-Mythos

Ein weit verbreitetes Missverständnis: Viele Nutzer halten das Schloss-Symbol im Browser für ein Zeichen von Vertrauenswürdigkeit. Das ist falsch. Das BSI weist ausdrücklich darauf hin, dass HTTPS lediglich anzeigt, dass die Verbindung zwischen Ihrem Browser und dem Server verschlüsselt ist. Es sagt nichts darüber aus, wer diesen Server betreibt. Phishing-Websites nutzen heute in der Regel gültige SSL-Zertifikate - die lassen sich kostenlos und ohne Identitätsnachweis beantragen. Ein Schloss bedeutet: die Verbindung ist verschlüsselt. Nicht mehr, nicht weniger.

Smishing, Vishing, Quishing und CEO-Fraud

Klassisches E-Mail-Phishing ist nur einer von mehreren Angriffswegen. Kriminelle nutzen heute eine ganze Bandbreite an Kanälen:

Methode	Kanal	Typisches Szenario
Phishing	E-Mail	Gefälschte Bank- oder Amazon-Mail mit Login-Link
Smishing	SMS / Messenger	"Ihr Paket wartet - Zollgebühr zahlen" mit Link
Vishing	Telefon	Anrufer gibt sich als Bankmitarbeiter oder Microsoft-Support aus
Quishing	QR-Code	Aufgeklebter Fake-QR-Code z.B. an Parkautomaten
CEO-Fraud	E-Mail (intern)	Betrüger gibt sich als Chef aus und fordert dringende Überweisung

Merksatz: Kein Bankberater, kein Microsoft-Mitarbeiter und keine Behörde werden Sie jemals per Telefon nach Ihrem Passwort oder einer TAN fragen. Legen Sie einfach auf.

Phishing-Website erkennen

Gefälschte Websites sehen echten oft täuschend ähnlich. Was hilft, ist ein genauer Blick auf die URL in der Adresszeile. Die echte Domain steht immer direkt vor dem letzten Slash: paypal.com/irgendwas ist PayPal, aber paypal.irgendwas.com ist es nicht. Klassische Tricks sind doppelte Buchstaben (amazzon), Bindestriche (amazon-konto.de), Ziffern statt Buchstaben (amaz0n) oder Buchstaben aus anderen Schriftsystemen, die lateinischen täuschend ähnlich sehen.

Warum KI Phishing gefährlicher macht

Lange Zeit galten schlechtes Deutsch und unpersönliche Ansprache als Erkennungsmerkmale. Beide taugen heute kaum noch als Filter. Große Sprachmodelle schreiben fehlerfreies Deutsch in jeder Tonlage. Die TU-Berlin-Studie belegt das: KI-personalisierte Phishing-Mails erzielten eine 2,7-fach höhere Klickrate als generische Varianten. Spear-Phishing - gezielte, personalisierte Angriffe - war lange ein Werkzeug für gut finanzierte Angreifer. Heute ist es erschwinglich für jeden mit einem Laptop und einer Kreditkarte.

Was das für Sie bedeutet: Eine persönliche Ansprache mit Ihrem echten Namen, einem Hinweis auf Ihren Arbeitgeber oder einem Bezug zu einem tatsächlichen Vorgang schließt Phishing nicht mehr aus. Im Gegenteil - solche Details können jetzt ein Warnsignal sein, wenn die Nachricht unerwartet kommt oder zu einer ungewöhnlichen Handlung auffordert.

Was tun, wenn man Opfer wurde?

Schnelligkeit ist entscheidend. Je früher Sie handeln, desto besser die Chancen, Schaden zu begrenzen.

Passwort sofort ändern - auf der echten Website, nicht über den verdächtigen Link.
Bank sofort informieren - Konto und Karte sperren lassen. Jede Minute zählt.
Überweisungen stoppen - Ihre Bank kann bei schneller Reaktion manchmal noch eingreifen.
Anzeige erstatten - bei der Polizei vor Ort oder online über das jeweilige Landeskriminalamt.
Alle anderen Passwörter ändern, die identisch oder ähnlich sind.
Datenleck-Check: HaveIBeenPwned.com prüft, ob Ihre E-Mail-Adresse in bekannten Datenlecks auftaucht.
Phishing-Mail melden: Vor dem Löschen an phishing@verbraucherzentrale.nrw weiterleiten.

Empfohlene Produkte: Schutz vor Phishing

* Affiliate-Links: Beim Kauf über diese Links erhalte ich eine kleine Provision, für Sie entstehen keine Mehrkosten.

Yubico – YubiKey 5C NFC – Sicherheitsschlüssel für Zwei-Faktor-Authentifizierung (2FA), Verbindung über USB-C oder NFC, FIDO-Zertifiziert – Schützen Sie Ihre Onlinekonten

Der YubiKey macht Phishing-Angriffe technisch unmöglich: Der Schlüssel prüft die Domain kryptografisch und funktioniert nur auf der echten Website.

Vorteile

Phishing-sicher durch FIDO2/WebAuthn - funktioniert nur auf echter Domain
USB-C und NFC in einem: Desktop und Smartphone ohne Adapter
IP68-zertifiziert: wasserdicht, kein Akku, keine beweglichen Teile
Breite Protokollunterstützung: FIDO2, U2F, PIV, OpenPGP, OATH-TOTP
Kompatibel mit Google, Microsoft, Apple, GitHub, 1Password u.v.m.

Nachteile

Beim Kauf über Amazon ist die neueste Firmware nicht garantiert
Hersteller empfiehlt zwei Schlüssel als Backup - doppelte Kosten

Für wen: Ideal für alle die Google, Microsoft oder Passwort-Manager konsequent absichern wollen. Für reine USB-A-Nutzer ist der YubiKey 5 NFC die bessere Wahl.

Preis auf Amazon prüfen

Bei Amazon ansehen →