Phishing-E-Mail

So funktioniert Phishing

Jemand schickt Ihnen eine E-Mail, die aussieht, als käme sie von Ihrer Bank. Betreff: "Dringend: Verdächtige Aktivitäten auf Ihrem Konto." Die E-Mail enthält das Logo Ihrer Bank, verwendet deren Farben und fordert Sie auf, sofort auf einen Link zu klicken, um Ihre Identität zu bestätigen. Sie klicken darauf, landen auf einer Seite, die genauso aussieht wie die Anmeldeseite Ihrer Bank, geben Ihren Benutzernamen und Ihr Passwort ein, und zack. Sie haben Ihre Zugangsdaten gerade einem Betrüger übergeben.

Das ist Phishing. Die E-Mail stammt in Wirklichkeit nicht von Ihrer Bank. Die Anmeldeseite ist gefälscht. Der Betrüger hat jetzt Ihr Passwort und kann Ihr Konto leer räumen.

Diese Angriffe funktionieren, weil sie Dringlichkeit und Vertrauen ausnutzen. "Ihr Konto wird in 24 Stunden gesperrt." "Wir haben ungewöhnliche Aktivitäten festgestellt." "Bestätigen Sie jetzt Ihre Identität, sonst verlieren Sie den Zugriff." Sie setzen Sie unter Druck, schnell zu handeln, ohne nachzudenken. Und sie werden immer raffinierter. Moderne Phishing-E-Mails haben oft perfekte Grammatik, seriös wirkende Absenderadressen und überzeugendes Branding. Die Zeiten der offensichtlichen "nigerianischer Prinz"-Betrugsmaschen sind größtenteils vorbei.

So erkennen Sie eine Phishing-Betrugs-E-Mail 

Dringende oder bedrohliche Sprache ist das erste Warnsignal. Seriöse Unternehmen drohen nicht damit, Ihr Konto zu schließen, wenn Sie nicht innerhalb weniger Stunden antworten. Betrüger erzeugen künstliche Dringlichkeit, um Ihre Skepsis zu umgehen.

Sehen Sie sich die Absenderadresse genau an. "support@amaz0n.com" (mit einer Null) ist nicht Amazon. "accounts@paypa1.com" (mit der Zahl Eins) ist nicht PayPal. Bewegen Sie den Mauszeiger über den Absendernamen, um die tatsächliche E-Mail-Adresse zu sehen. Noch besser: Prüfen Sie die Header-Informationen der E-Mail.

Allgemeine Anreden wie "Sehr geehrter Kunde" oder "Sehr geehrter Nutzer" statt Ihres tatsächlichen Namens deuten auf Massen-Phishing hin. Allerdings verwenden manche ausgefeilten Angriffe durchaus Ihren echten Namen, daher ist das allein nicht eindeutig.

Achten Sie auf unerwartete Anhänge oder Links. Ihre Bank wird Ihnen keine Rechnung als ZIP-Datei schicken. Ihr Kollege hat Ihnen wahrscheinlich kein zufälliges PDF-Dokument geschickt, wenn Sie es nicht erwartet haben. Wenn Sie unsicher sind, kontaktieren Sie den vermeintlichen Absender über einen anderen Kanal, bevor Sie irgendetwas öffnen.

Kein seriöses Unternehmen wird Sie jemals per E-Mail nach Ihrem Passwort, Ihrer Sozialversicherungsnummer, Kreditkartendaten oder Zwei-Faktor-Authentifizierungscodes fragen. Niemals. Wenn eine E-Mail nach solchen Informationen fragt, ist sie gefälscht.

Schlechte Grammatik oder Formatierung ist heute ein weniger zuverlässiges Zeichen, aber viele Phishing-E-Mails enthalten immer noch seltsame Formulierungen oder holprige Übersetzungen. Professionelle Unternehmen lesen ihre E-Mails Korrektur.

Bewegen Sie den Mauszeiger über Links, bevor Sie klicken (nicht klicken, nur darüberfahren). Wenn die angezeigte URL nicht mit dem übereinstimmt, wohin der Link angeblich führt, ist es Phishing. Ein Link, der "mybank.com" anzeigt, aber tatsächlich auf "mybank-verify-login-2024.ru" verweist, ist offensichtlich gefälscht.

Arten von Phishing-Angriffen

Manches Phishing ist gezielt, manches wird nach dem Gießkannenprinzip versendet. 

Spear Phishing zielt mit personalisierten Informationen auf bestimmte Personen ab. Betrüger recherchieren über Sie auf LinkedIn, finden Ihre Kollegen und bemerken vielleicht, dass Sie gerade einen neuen Job begonnen haben. Dann formulieren sie Nachrichten, die unheimlich treffend wirken. Viel überzeugender als allgemeine Massenmails.

Dann gibt es noch Whaling. Dabei haben sie es auf Führungskräfte abgesehen. Jemand gibt sich als CEO aus und schreibt der Finanzabteilung eine E-Mail mit der Bitte um eine dringende Überweisung. Diese Angriffe kosten Unternehmen Millionen, weil Führungskräfte Zugriff auf erhebliche Geldsummen haben.

Clone Phishing ist hinterlistiger. Dabei wird eine echte E-Mail, die Sie zuvor erhalten haben (vielleicht eine Quittung oder Benachrichtigung), kopiert, die Links werden durch schädliche ersetzt und sie wird erneut versendet. Sie erkennen sie wieder, weil Sie die echte Version letzte Woche bekommen haben, und vertrauen ihr deshalb, ohne weiter nachzudenken.

Vishing und Smishing? Das sind keine E-Mails, aber sie sind verwandt. Vishing sind Telefonanrufe, Smishing sind Textnachrichten. Gleiche Betrugsmaschen, andere Kanäle.

Aktuelle Phishing-Betrugsfälle aus 2026

Microsoft-Power-BI-Phishing-Betrug

Dieser Fall war ziemlich clever. Betrüger nutzten die echte Benachrichtigungsfunktion von Microsoft Power BI, um Phishing-E-Mails von echten Microsoft-Adressen zu versenden. Sie erhalten eine Nachricht, in der behauptet wird, dass Ihr PayPal-Konto mit 400 bis 700 US-Dollar belastet wurde, zusammen mit einer Telefonnummer, die Sie anrufen sollen, um dies zu "bestreiten".

Hier wurde es übel: Wenn Sie anriefen, behauptete die Person am anderen Ende, sie sei von Microsoft. Sie führte Sie dann durch die Installation einer Fernzugriffssoftware, um das "Problem zu beheben". Damit erhielten sie die vollständige Kontrolle über Ihren Computer. PCWorld dokumentierte den vollständigen Angriff Anfang 2026.

Die E-Mails sahen legitim aus, weil sie legitim waren, nur missbraucht. Genau das machte diesen Angriff erfolgreich.

Tycoon-2FA-Operation

Tycoon 2FA war im Grunde Phishing-as-a-Service. Man zahlte ein Abonnement und bekam Zugang zu einer Plattform, die überzeugende Phishing-E-Mails versenden konnte, welche die Zwei-Faktor-Authentifizierung umgingen. Auf dem Höhepunkt traf sie monatlich mehr als 500.000 Organisationen mit Dutzenden Millionen Nachrichten.

Das Gesundheits- und Bildungswesen wurden am härtesten getroffen. Mehr als 100 Mitglieder von Health-ISAC wurden Opfer von Phishing, was zu echten betrieblichen Problemen führte (verzögerte Patientenversorgung in Krankenhäusern in New York, beeinträchtigte Schulen). Microsoft verfolgte weltweit 96.000 unterschiedliche Opfer, bevor die Strafverfolgungsbehörden die Operation im März 2026 zerschlugen.

Mitte 2025 war Tycoon für 62 % aller Phishing-Versuche verantwortlich, die Microsoft blockierte. Allein in einem Monat stoppten sie mehr als 30 Millionen E-Mails von dieser einzigen Plattform. So funktioniert Phishing heute im industriellen Maßstab.

ClickFix- und gefälschte-CAPTCHA-Angriffe

Sie kennen doch diese CAPTCHA-Prüfungen mit "Ich bin kein Roboter"? Angreifer haben herausgefunden, wie man sie fälscht. Sie landen auf einer Seite, die wie eine legitime Verifizierungsseite aussieht, aber statt Kästchen anzuklicken, werden Sie dazu gebracht, schädliche PowerShell-Befehle auf Ihren Computer zu kopieren und auszuführen.

The Hacker News berichtete, dass sich zwischen Ende August 2025 und Anfang 2026 rund 147.500 Systeme infiziert haben. Aktuelle Kampagnen nahmen Social-Media-Creator ins Visier, indem behauptet wurde, sie seien für verifizierte Abzeichen berechtigt. Opfer sahen sich Anleitungsvideos an, in denen gezeigt wurde, wie sie "Authentifizierungstoken" aus ihren Browser-Cookies kopieren sollten, wodurch in Wirklichkeit Fernüberwachungssoftware installiert wurde.

2025 nutzten 30 % dieser Angriffe gefälschte Verifizierungsaufforderungen, um Fernzugriffstools zu installieren. Die Erfolgsquote? Hoch genug, dass Angreifer weiterhin dasselbe Vorgehen nutzten.

Warum funktioniert das? Weil Menschen darauf trainiert sind, CAPTCHAs ohne nachzudenken zu lösen. Sie sehen "Bestätigen Sie, dass Sie ein Mensch sind" und klicken sich durch. Genau dieser Reflex macht es gefährlich.

Was tun, wenn Sie eine Phishing-E-Mail erhalten

Klicken Sie auf nichts. Öffnen Sie keine Anhänge. Folgen Sie keinen Links. Antworten Sie nicht. Löschen Sie sie einfach.

Melden Sie sie: Die meisten E-Mail-Clients haben eine Schaltfläche "Phishing melden". Gmail, Outlook und andere Anbieter verwenden diese Meldungen, um ihre Spam-Filter zu verbessern und andere Nutzer zu schützen.

Unabhängig überprüfen: Wenn die E-Mail behauptet, von Ihrer Bank zu stammen, schließen Sie die E-Mail und melden Sie sich direkt über die Website oder App Ihrer Bank an. Verwenden Sie keine Links aus der verdächtigen E-Mail. Wenn in Ihrem echten Konto alles in Ordnung ist, war die E-Mail gefälscht.

Beim Absender nachfragen: Wenn die Phishing-E-Mail behauptet, von jemandem zu stammen, den Sie kennen, kontaktieren Sie die Person auf anderem Weg (rufen Sie sie an, schreiben Sie ihr eine Nachricht, kontaktieren Sie sie über Slack). Antworten Sie nicht auf die verdächtige E-Mail selbst.

Was sollte ich tun, wenn ich bereits auf eine Phishing-E-Mail geklickt habe? 

Ändern Sie Ihre Passwörter sofort, besonders wenn Sie Zugangsdaten auf einer gefälschten Website eingegeben haben. Aktivieren Sie die Zwei-Faktor-Authentifizierung, falls Sie das noch nicht getan haben. Überwachen Sie Ihre Konten auf unbefugte Aktivitäten. Wenn Sie Kreditkarteninformationen eingegeben haben, kontaktieren Sie Ihre Bank, um die Karte sperren zu lassen.

So schützen Sie sich 

SPF, DKIM und DMARC

Wenn Sie eine Domain verwalten, implementieren Sie SPF, DKIM und DMARC, um zu verhindern, dass Betrüger Ihre E-Mail-Adresse gegenüber anderen fälschen. Das schützt Sie zwar nicht davor, Phishing-Versuche zu erhalten, aber es schützt andere vor Phishing-Angriffen, bei denen Sie imitiert werden.

Aktivieren Sie überall, wo möglich, die Zwei-Faktor-Authentifizierung. 

Selbst wenn jemand Ihr Passwort durch Phishing stiehlt, kann er ohne den zweiten Faktor nicht auf Ihr Konto zugreifen, was Sie zu einem deutlich schwierigeren Ziel macht. Bleiben Sie skeptisch bei unerwarteten E-Mails, insbesondere bei dringenden Anfragen zu Geld oder Zugangsdaten. Wenn sich etwas nicht richtig anfühlt, ist es das meistens auch—vertrauen Sie Ihrem Instinkt.

Halten Sie Ihre Software aktuell. 

Moderne Browser und E-Mail-Clients haben integrierte Phishing-Erkennung, die sich mit jedem Update verbessert. Wenn Sie aktuell bleiben, profitieren Sie also von den neuesten Sicherheitsfunktionen. Wenn Sie für ein Unternehmen verantwortlich sind, führen Sie regelmäßig Phishing-Simulationen durch. Mitarbeitende sind in der Sicherheit oft das schwächste Glied, und Schulungen durch realistische Tests helfen ihnen, echte Angriffe zu erkennen und zu vermeiden.

Ziehen Sie die Nutzung eines Passwort-Managers in Betracht. 

Diese Tools füllen Passwörter nur auf legitimen Websites automatisch aus. Wenn Ihr Passwort-Manager sich also auf einer Seite, die wie die Ihrer Bank aussieht, nicht automatisch ausfüllt, ist das ein Warnsignal dafür, dass die Seite gefälscht ist. Diese zusätzliche Prüfebene kann Phishing-Versuche erkennen, die Sie sonst vielleicht täuschen würden. 

Das Laden entfernter Bilder deaktivieren 

In einigen E-Mail-Clients wie Spark Desktop können Sie für zusätzlichen Schutz sogar das Laden entfernter Bilder deaktivieren: Öffnen Sie Spark Desktop Settings > General > Load remote images > Disable the toggle.

Ähnliche Inhalte

• Datenschutz in Spark Mail
• Formulierungen, die Sie in E-Mails vermeiden sollten
• Die Zwei-Minuten-Regel für E-Mails
• Die besten E-Mail-Clients 

Verwandte Begriffe

• Spam-E-Mail
• E-Mail-Spoofing
• Zwei-Faktor-Authentifizierung
• E-Mail-Authentifizierung