Phishing ist eine betrügerische Methode, bei der Kriminelle versuchen, durch gefälschte E-Mails, Webseiten oder Nachrichten an deine persönlichen Daten zu kommen. Der Begriff leitet sich vom englischen Wort „fishing“ (Angeln) ab, denn die Angreifer werfen einen Köder aus und hoffen, dass du anbeißt.
Was ist Phishing genau?
Bei Phishing-Angriffen geben sich Kriminelle als vertrauenswürdige Organisationen aus, etwa als deine Bank, PayPal, Amazon oder sogar als Kollegen aus deiner Firma. Ihr Ziel: Sie wollen an sensible Informationen wie Passwörter, Kreditkartendaten, Bankzugangsdaten oder Unternehmensinformationen gelangen.
Die Angriffe werden immer raffinierter. Während früher viele Phishing-Mails durch schlechtes Deutsch und offensichtliche Fehler auffielen, sind moderne Angriffe kaum noch von echten Nachrichten zu unterscheiden. Kriminelle kopieren perfekt das Design echter Unternehmen und nutzen echte Logos, Farben und sogar die gleiche Ansprache.
Wie funktioniert ein Phishing-Angriff?
Köder auswerfen: Der Angreifer verschickt massenhaft E-Mails oder Nachrichten, die dringenden Handlungsbedarf vortäuschen. Typische Betreffzeilen sind „Ihr Konto wurde gesperrt“, „Verdächtige Aktivität festgestellt“ oder „Letzte Mahnung“. Die Nachricht enthält einen Link oder Anhang.
Gefälschte Webseite: Klickst du auf den Link, landest du auf einer täuschend echt aussehenden Kopie der Original-Webseite. Diese Fake-Seite sieht aus wie die echte Login-Seite deiner Bank oder eines Online-Shops. Die URL unterscheidet sich meist nur minimal, etwa „paypa1.com“ statt „paypal.com“ oder „amazon-sicherheit.com“.
Datenabgriff: Gibst du dort deine Zugangsdaten ein, landen diese direkt bei den Kriminellen. Oft wirst du danach auf die echte Webseite weitergeleitet, damit dir nichts auffällt. Die Angreifer haben jetzt Zugang zu deinem Konto und können es für Einkäufe, Überweisungen oder weitere Angriffe nutzen.
Die häufigsten Phishing-Varianten
E-Mail-Phishing ist die klassische Methode mit gefälschten E-Mails. Diese Nachrichten wirken oft sehr echt und enthalten dringende Aufforderungen zum Handeln.
Spear-Phishing richtet sich gezielt gegen einzelne Personen oder Unternehmen. Die Angreifer recherchieren vorab und personalisieren ihre Nachrichten mit echten Namen, Positionen und Projektnamen. Diese Angriffe sind besonders gefährlich für Unternehmen.
Smishing nutzt SMS-Nachrichten statt E-Mails. Du erhältst eine Textnachricht mit einem Link, angeblich von deiner Bank oder einem Paketdienst.
Vishing läuft über Telefonanrufe. Die Betrüger geben sich als Bank-Mitarbeiter oder Support-Techniker aus und versuchen, dich am Telefon zur Herausgabe von Daten zu bewegen.
Whaling zielt auf hochrangige Führungskräfte ab. Diese „großen Fische“ haben Zugang zu besonders wertvollen Unternehmensinformationen oder können große Geldbeträge überweisen.
Warum ist Phishing so erfolgreich?
Phishing funktioniert, weil es menschliche Psychologie ausnutzt. Die Nachrichten erzeugen Druck durch Dringlichkeit („Konto wird in 24 Stunden gesperrt“), Angst („Verdächtige Anmeldung festgestellt“) oder Neugier („Sie haben ein Paket“). In diesen emotionalen Momenten übersieht man schnell Warnsignale.
Statistiken zeigen, dass etwa 30 bis 35 % der Phishing-Mails geöffnet werden. Von diesen klicken etwa 12 bis 15 % auf den enthaltenen Link. Das bedeutet: Bei einer Kampagne mit 10.000 E-Mails klicken rund 450 bis 500 Personen auf den gefährlichen Link.
Für Unternehmen ist Phishing besonders gefährlich. Ein erfolgreicher Angriff auf einen Mitarbeiter kann zum Einfallstor für Ransomware werden, zu Datendiebstahl führen oder ermöglicht es Angreifern, sich im Firmennetzwerk auszubreiten. Die durchschnittlichen Kosten eines erfolgreichen Phishing-Angriffs auf ein Unternehmen liegen bei etwa 1,6 Millionen Euro.
Effektive Schutzmaßnahmen gegen Phishing
Absender prüfen: Schau dir die E-Mail-Adresse des Absenders genau an. Oft nutzen Betrüger Adressen, die echt aussehen, aber kleine Abweichungen enthalten. Eine echte Bank-Mail kommt von „@sparkasse.de“, nicht von „@sparkasse-sicherheit.de“ oder „@sparkasse.support.com“.
Links nicht direkt anklicken: Fahre mit der Maus über Links, ohne zu klicken. Unten im Browser siehst du dann die echte Ziel-URL. Besser noch: Öffne die Webseite der Bank oder des Shops manuell über deinen Browser, statt dem Link zu folgen.
Rechtschreibung und Grammatik: Viele Phishing-Mails enthalten Rechtschreibfehler, ungewöhnliche Formulierungen oder schlechte Übersetzungen. Seriöse Unternehmen lassen ihre Kommunikation professionell erstellen.
Dringlichkeit hinterfragen: Seriöse Unternehmen setzen dich nicht unter Zeitdruck. Wenn eine Mail behauptet, du müsstest „sofort“ oder „innerhalb von 24 Stunden“ handeln, ist das ein Warnsignal.
Zwei-Faktor-Authentifizierung aktivieren: Selbst wenn Kriminelle dein Passwort ergaunern, können sie ohne den zweiten Faktor (SMS-Code, Authenticator-App) nicht auf dein Konto zugreifen. Das ist die effektivste Schutzmaßnahme.
Anti-Phishing-Tools nutzen: Moderne Browser wie Chrome, Firefox und Edge haben eingebaute Phishing-Filter. E-Mail-Programme wie Outlook oder Gmail markieren verdächtige Nachrichten automatisch. Nutze diese Funktionen.
Schulungen für Mitarbeiter: In Unternehmen sind regelmäßige Security-Awareness-Trainings unverzichtbar. Mitarbeiter lernen dort, Phishing-Mails zu erkennen und richtig zu reagieren. Simulierte Phishing-Tests helfen, das Bewusstsein zu schärfen.
Was tun bei einem Phishing-Angriff?
Falls du auf einen Phishing-Angriff hereingefallen bist, zählt jede Minute:
Passwörter sofort ändern: Ändere das Passwort des betroffenen Kontos von einem sicheren Gerät aus. Wenn du das gleiche Passwort auch für andere Dienste verwendest, ändere es dort ebenfalls.
Bank informieren: Bei Zugangsdaten für Online-Banking kontaktiere sofort deine Bank. Sie kann dein Konto vorübergehend sperren und Transaktionen rückgängig machen.
Kontobewegungen prüfen: Überprüfe deine Kontoauszüge und Kreditkartenabrechnungen auf unberechtigte Transaktionen. Je schneller du diese meldest, desto besser stehen die Chancen auf Rückerstattung.
Anzeige erstatten: Melde den Vorfall bei der Polizei. Das ist besonders wichtig für die Statistik und hilft, Phishing-Kampagnen zu verfolgen.
IT-Abteilung informieren: In Unternehmen muss die IT-Abteilung sofort informiert werden. Sie kann prüfen, ob sich Malware im Netzwerk ausgebreitet hat und weitere Sicherheitsmaßnahmen einleiten.
Verwandte Begriffe: Social Engineering, Malware, Ransomware, Spear-Phishing, Smishing, Vishing, Zwei-Faktor-Authentifizierung
