Sicherheit
Phishing erkennen: So schützt du dich vor Betrug
* Dieser Artikel enthaelt Affiliate-Links. Beim Kauf ueber diese Links erhalten wir eine kleine Provision – fuer dich aendert sich nichts. Mehr Infos
Jonny hat eine E-Mail bekommen. Die sah offiziell aus. Er hat geklickt, sein Passwort eingegeben und seine Kreditkartennummer hinterhergeschoben. Die Mail war natuerlich nicht von seiner Bank. Willkommen in der Welt des Phishing.
# Was ist Phishing?
Phishing ist eine Betrugsmasche, bei der Angreifer sich als vertrauenswuerdige Absender ausgeben, um deine persoenlichen Daten zu stehlen. Der Name kommt von "fishing" (Angeln): Die Angreifer werfen einen Koeder aus und hoffen, dass jemand anbeisst. Bei Jonny hat es funktioniert. Beim ersten Wurf.
Die haeufigste Form sind gefaelschte E-Mails, die aussehen wie Nachrichten von Banken, Online-Shops, Paketdiensten oder sozialen Netzwerken. Der Link in der Mail fuehrt auf eine nachgebaute Website, die dem Original taeuschend aehnlich sieht. Dort gibst du deine Zugangsdaten ein - und die landen direkt beim Angreifer.
# So erkennst du Phishing-Mails
Die gute Nachricht: Die meisten Phishing-Mails haben klare Warnsignale, wenn du weisst, worauf du achten musst:
- Absenderadresse pruefen: Die sieht oft nur auf den ersten Blick echt aus. "service@sparkasse.de" ist echt, "sparkasse-service@gmail.com" nicht.
- Dringlichkeit und Drohungen: "Ihr Konto wird in 24 Stunden gesperrt!" - Serioese Unternehmen drohen dir nicht per Mail.
- Unpersoenliche Anrede: "Sehr geehrter Kunde" statt deines Namens ist ein rotes Flag.
- Rechtschreibfehler: Viele Phishing-Mails sind schlecht uebersetzt oder voller Tippfehler.
- Verdaechtige Links: Hover ueber den Link (nicht klicken!) und pruefe die URL. Wenn da nicht die echte Domain steht, ist es Betrug.
# Die gefaehrlichsten Phishing-Arten
Phishing beschraenkt sich laengst nicht mehr auf plumpe E-Mails. Die Methoden werden immer raffinierter:
- Spear-Phishing: Gezielte Angriffe auf einzelne Personen mit personalisierten Informationen. Der Angreifer kennt deinen Namen, deinen Arbeitgeber, manchmal sogar aktuelle Projekte.
- Smishing: Phishing per SMS. "Ihr Paket konnte nicht zugestellt werden, klicken Sie hier." Kennt jeder.
- Vishing: Phishing per Telefonanruf. Jemand gibt sich als Microsoft-Support aus und will Fernzugriff auf deinen Rechner.
- QR-Code-Phishing: Gefaelschte QR-Codes, die auf Phishing-Seiten fuehren. Besonders tueckisch an oeffentlichen Orten.
# Was tun, wenn du draufgefallen bist?
Falls du wie Jonny bereits geklickt und Daten eingegeben hast, ist schnelles Handeln entscheidend:
- Passwoerter sofort aendern - und zwar auf der ECHTEN Website, nicht ueber den Link aus der Mail.
- Bank kontaktieren - wenn Zahlungsdaten betroffen sind, Karte sperren lassen.
- Zwei-Faktor-Authentifizierung aktivieren - mit einem Hardware-Security-Key oder Authenticator-App.
- Virenscan durchfuehren - manche Phishing-Links laden auch Malware herunter.
- Vorfall melden - bei der Polizei und der betroffenen Firma.
# So schuetzt du dich dauerhaft
Ein guter Passwort-Manager ist die beste Verteidigung gegen Phishing. Warum? Weil er dein Passwort nur auf der echten Website eintraegt. Wenn die URL nicht stimmt, passiert nichts. Das funktioniert besser als jeder menschliche Instinkt.
Dazu kommt Zwei-Faktor-Authentifizierung (2FA) auf allen wichtigen Accounts. Selbst wenn jemand dein Passwort erbeutet, kommt er ohne den zweiten Faktor nicht rein. Ein FIDO2-Sicherheitsschluessel ist die sicherste Variante, aber auch eine Authenticator-App ist hundertmal besser als gar nichts.
NOVA'S TIPP
Die goldene Regel: Keine serioese Firma fragt dich per Mail nach deinem Passwort oder deinen Kreditkartendaten. Nie. Wenn du unsicher bist, ruf die Firma direkt an - aber nimm die Nummer von der offiziellen Website, nicht aus der verdaechtigen Mail. Und Jonny? Der hat jetzt einen Aufkleber auf seinem Bildschirm: "ERST DENKEN, DANN KLICKEN."
# Häufige Fragen
Woran erkenne ich eine Phishing-Mail?
Die sichersten Zeichen sind eine seltsame Absenderadresse (z.B. sparkasse@hotmail.ru statt sparkasse.de), eine unpersönliche Anrede wie 'Sehr geehrter Kunde', künstliche Dringlichkeit ('Konto wird in 24 Stunden gesperrt!') und Links, die beim Drüberhovern auf eine fremde Domain zeigen. Kein seriöses Unternehmen droht dir per Mail und fordert dich auf, sofort irgendwo deine Daten einzugeben.
Was tun, wenn man auf eine Phishing-Mail hereingefallen ist?
Sofort Passwörter ändern — aber direkt über die echte Website, nicht über irgendeinen Link aus der Mail. Wenn du Zahlungsdaten eingegeben hast, ruf umgehend deine Bank an und lass die Karte sperren. Danach unbedingt Zwei-Faktor-Authentifizierung aktivieren und einen Virenscan machen, weil manche Phishing-Seiten nebenbei auch Malware nachladen.