Zwei von drei Deutschen wurden im vergangenen Jahr Opfer von Phishing-Versuchen. Nicht zwei von hundert. Nicht zwei von zehn. Zwei von drei. Das BSI schlägt Alarm, Verbraucherschützer schlagen Alarm – und trotzdem klicken Menschen täglich auf Links in E-Mails, die sie nie hätten anklicken sollen. Weil die Angreifer besser geworden sind. Deutlich besser.
Stellen Sie sich vor: Eine E-Mail in Ihrem Postfach. Absender: „DHL Paketbenachrichtigung“. Betreff: „Ihr Paket konnte nicht zugestellt werden – Aktion erforderlich“. Unten ein blauer Button: „Lieferung neu planen“.
Das Design stimmt. Das Logo stimmt. Die Formulierung klingt nach DHL. Sie haben tatsächlich auf ein Paket gewartet. Sie klicken. Auf einer Seite, die exakt wie die DHL-Website aussieht, geben Sie Ihre Adresse ein. Und Ihre Kreditkartennummer – für eine angebliche Zustellgebühr von 2,90 Euro.
Die E-Mail war gefälscht. Die Website war gefälscht. Die 2,90 Euro sind weg. Und mit Ihrer Kreditkartennummer ist jetzt noch mehr weg.
Das ist modernes Phishing. Kein nigerianischer Prinz, der sein Vermögen teilen möchte. Keine offensichtlich schlechten Deutschkenntnisse, keine kryptischen E-Mail-Adressen. Professionelle Täuschung, individuell zugeschnitten, technisch versiert.
Phishing leitet sich vom englischen „fishing“ ab – Angeln. Die Analogie ist treffend: Angreifer werfen Köder aus und warten, bis jemand anbeißt. Nur dass moderne Phishing-Angriffe weniger der Angelrute als einer Harpune ähneln: gezielt, präzise, auf eine bestimmte Person oder Organisation ausgerichtet.
Das Grundprinzip ist immer dasselbe: Eine gefälschte Kommunikation – E-Mail, SMS, Anruf, Social-Media-Nachricht – verleitet das Opfer dazu, etwas zu tun, das es nicht tun sollte. Zugangsdaten eingeben. Dateianhang öffnen. Überweisung tätigen. Fernzugriff gewähren.
Warum es funktioniert? Weil es menschliche Psychologie ausnutzt. Dringlichkeit („Ihr Konto wird in 24 Stunden gesperrt“). Autorität („Nachricht Ihres IT-Administrators“). Vertrauen (bekannte Marken, Kollegen, Vorgesetzte). Neugier („Sehen Sie, wer Ihr Profil besucht hat“). Angst („Wir haben verdächtige Aktivitäten festgestellt“).
Diese Triggers wirken auf jeden – unabhängig von Intelligenz oder technischem Wissen. Studien zeigen, dass selbst IT-Sicherheitsfachleute unter entsprechendem Zeitdruck auf professionelle Phishing-E-Mails hereinfallen.
Massenhaft versendete E-Mails, die vorgeben, von einer bekannten Institution zu stammen – Bank, Paketdienstleister, Behörde, Online-Shop. Die Trefferquote ist niedrig, aber die Masse macht es profitabel. Millionen von E-Mails, einige Tausend Opfer – das reicht.
Zielgerichtetes Phishing auf eine bestimmte Person oder Organisation. Angreifer recherchieren vorher: Wer ist das Opfer? Welche Unternehmen nutzt es? Wer sind Kolleginnen und Kollegen? Welche Sprache benutzt es in sozialen Netzwerken? Die daraus entstehende E-Mail ist erschreckend überzeugend.
Brisant: Für Spear-Phishing werden mittlerweile KI-Tools eingesetzt, die aus öffentlich verfügbaren Informationen – LinkedIn, Unternehmenswebsite, Pressemitteilungen – individualisierte Nachrichten generieren. Tippfehler? Fehlanzeige. Unnatürliche Formulierungen? Vergessen Sie es.
Spear-Phishing, aber auf Führungspersonen ausgerichtet. C-Suite-Mitglieder, Geschäftsführende, Finanzverantwortliche. Das Ziel: entweder deren Konten kompromittieren oder sie dazu bringen, Überweisungen zu autorisieren. „Business Email Compromise“ kostet Unternehmen weltweit jährlich Milliarden.
Phishing per SMS („Smishing“) oder per Telefonanruf („Vishing“). Beim Vishing geben sich Angreifer oft als Bankmitarbeitende, IT-Support oder Behörden aus. KI-generierte Stimmen, die die Stimme einer bekannten Person imitieren, sind kein Science-Fiction-Szenario mehr – sie werden bereits eingesetzt.
Das Pikante daran: QR-Codes umgehen E-Mail-Spam-Filter, weil sie als harmlose Bilder erkannt werden. Der enthaltene Link – zu einer Phishing-Website – ist für den Filter nicht sichtbar. Und weil Menschen QR-Codes mit dem Smartphone scannen, landeten sie oft auf Geräten ohne Unternehmens-Sicherheitsfilter.
Auch professionelle Phishing-Angriffe hinterlassen Spuren. Wer weiß, wo er schauen muss, findet sie.
Der angezeigte Absendername kann frei gewählt werden. Was zählt, ist die tatsächliche E-Mail-Adresse. Klicken Sie auf den Absendernamen – oder hovern Sie mit der Maus darüber – um die echte Adresse zu sehen.
Typische Tricks: „amazon-support@amazon-service-help.com“, „dhl-paket@dhl-benachrichtigung.de“, „support@paypal-sicherheit.net“. Keine dieser Adressen gehört zum echten Unternehmen. Das Pikante: Auf dem Smartphone werden lange Absenderadressen oft abgeschnitten – „dhl-bena…“ statt der vollständigen gefälschten Adresse.
Hovern Sie mit der Maus über den Link – ohne zu klicken – und schauen Sie in die Statusleiste Ihres Browsers. Was steht dort? Die tatsächliche URL, zu der Sie geleitet werden würden. Stimmt sie mit dem überein, was Sie erwarten?
Subtile Täuschungen: „amazon.de.login-verify.com“ ist nicht Amazon.de. Die Domain ist „login-verify.com“. „paypal.com.secure.service.net“ ist nicht PayPal. Die Domain ist „service.net“.
Auf mobilen Geräten ist das Hovern nicht möglich. Hier gilt: Im Zweifel gar nicht klicken. App direkt öffnen oder manuell die Adresse eintippen.
Seriöse Unternehmen kündigen keine sofortigen Kontoschließungen per E-Mail an ohne vorherige Kommunikation. Die künstliche Dringlichkeit – „Handeln Sie sofort“, „Nur noch 2 Stunden“ – ist ein klassisches Manipulation-Signal. Atmen Sie durch. Melden Sie sich direkt beim betreffenden Dienst an – über die offizielle Website oder App, nicht über den Link in der E-Mail.
Ja, professionelle Phishing-E-Mails sind grammatikalisch korrekt. Aber nicht alle. Fehlende Umlaute, seltsame Sonderzeichen, inkonsistentes Layout – das sind noch immer Warnsignale. Ebenso: generische Anreden („Sehr geehrter Kunde“ statt Ihres Namens), obwohl Ihre Bank Sie immer mit Namen anschreibt.
Eine Rechnung, die Sie nicht erwartet haben. Ein Vertragsentwurf, den niemand angekündigt hat. Ein „wichtiges Dokument“ ohne Kontext. Office-Dateien mit aktiviertem Makros-Prompt. PDF-Dateien mit eingebetteten JavaScript. Das ist der Clou moderner Phishing-Angriffe: Der Anhang ist die eigentliche Waffe.
Öffnen Sie unerwartete Anhänge niemals, ohne vorher beim vermeintlichen Absender auf anderem Weg zu bestätigen – per Telefon, persönlich, über einen bekannten Kanal.
Die Bedrohungslage entwickelt sich schneller als die Abwehr. KI-generierte Inhalte haben das Phishing auf eine neue Ebene gehoben.
Im Jahr 2024 erhielt eine Finanzmitarbeiterin eines Unternehmens in Hongkong eine Einladung zu einer Videokonferenz. Auf dem Bildschirm sah sie Kolleginnen und Kollegen, darunter den CFO. Alle bestätigten, dass eine Überweisung von 25 Millionen US-Dollar autorisiert sei. Die Mitarbeiterin überwies das Geld. Alle Personen auf dem Bildschirm waren KI-generierte Deepfakes.
Das ist keine Ausnahme mehr. Deepfake-Audio, das die Stimme von Führungskräften imitiert, ist mit kommerziell verfügbaren Tools in Minuten herstellbar. „Hallo, hier ist Ihre Vorgesetzte, ich brauche dringend…“ – überzeugend, kaum erkennbar, und erschreckend effektiv.
Der Schutz: Vereinbarte Codewörter für sensible Anfragen, Vier-Augen-Prinzip für Transaktionen, Rückruf auf bekannte Nummer statt auf die Nummer aus der verdächtigen Nachricht.
Reine Wachsamkeit reicht nicht aus. Technische Schutzmaßnahmen bilden das Sicherheitsnetz für den Moment, in dem die menschliche Aufmerksamkeit versagt.
E-Mail-Authentifizierungsprotokolle: SPF, DKIM und DMARC sind Standards, die überprüfen, ob eine E-Mail wirklich von der angegebenen Domain stammt. Unternehmen, die diese Protokolle korrekt konfiguriert haben, machen es Angreifern deutlich schwerer, E-Mails in ihrem Namen zu versenden. Prüfen Sie, ob Ihre eigene Domain diese Protokolle implementiert hat – und ob Ihre E-Mail-Filter eingehende E-Mails darauf prüfen.
Spam- und Phishing-Filter: Moderne E-Mail-Lösungen wie Microsoft 365 Defender oder Google Workspace enthalten KI-basierte Filter, die verdächtige E-Mails erkennen. Diese sind nicht unfehlbar – aber sie fangen den Großteil ab.
Browser-Schutzmechanismen: Aktuelle Browser kennzeichnen bekannte Phishing-Seiten und warnen vor HTTP-Verbindungen (kein HTTPS). Diese Warnungen ernst nehmen.
DNS-basierter Schutz: DNS-Filterdienste wie Cisco Umbrella oder Cloudflare Gateway blockieren den Zugriff auf bekannte Phishing-Domains – auch wenn jemand auf einen Link klickt.
Wie Kontobetrug im digitalen Zeitalter insgesamt funktioniert und was man dagegen tun kann, erklärt dieser umfassende Artikel über Kontobetrug und Schutz vor Cyberkriminalität.
Sie haben einen Link angeklickt, der verdächtig war. Oder Ihre Zugangsdaten eingegeben, bevor Sie bemerkt haben, dass etwas nicht stimmt. Was jetzt?
Sofort:
Melden: Phishing-Versuche sollten dem BSI über das Meldeportal gemeldet werden und bei verdächtigen Bankaktivitäten sofort die Bank informiert werden. Unternehmen sollten interne Meldeverfahren haben, die konsequent genutzt werden – ohne Angst vor Konsequenzen.
Was Phishing grundsätzlich ist und wie sich typische Angriffsmuster entwickelt haben, erklärt dieser Artikel: Was ist Phishing? – Ein IT-Sicherheitsüberblick.
Das BSI veröffentlicht aktuelle Phishing-Warnungen und Schutzempfehlungen: BSI – Phishing erkennen und melden.
Täglich aktualisierte Phishing-Warnmeldungen der Verbraucherzentrale: Verbraucherzentrale Phishing-Radar.
Internationale Phishing-Statistiken der Anti-Phishing Working Group: APWG Trends Report.
Weitere relevante Artikel zum Thema Phishing und Betrug auf digital-magazin.de:
Unternehmen, die ihre Mitarbeitenden wirklich schützen wollen, setzen auf kontrollierte Phishing-Simulationen. Dabei werden intern gefälschte Phishing-E-Mails verschickt – und ausgewertet, wer klickt, wer Zugangsdaten eingibt, wer meldet.
Das ist kein Strafwerkzeug. Es ist ein Lernwerkzeug. Wer einmal in einer sicheren Simulation „hereingefallen“ ist, klickt beim nächsten verdächtigen Link zweimal nach. Studien zeigen, dass regelmäßige Phishing-Simulationen die Klickrate auf echte Phishing-E-Mails um bis zu 70 Prozent senken.
Wichtig: Simulationen ohne Training sind Sinnlos. Der Moment nach einem simulierten Phishing-Klick ist der ideale Lernmoment – direkt mit konkretem Feedback, was das Warnsignal war und wie man es hätte erkennen können.
Phishing zielt immer auf dasselbe ab: die Übernahme Ihrer digitalen Identität. Zugangsdaten stehlen, Identität übernehmen, im Namen des Opfers agieren – finanzielle Schäden verursachen, Daten stehlen, weiteren Zugang erlangen.
Wer seine digitale Identität schützt, schützt sich vor Phishing. Das bedeutet: einzigartige Passwörter für jeden Dienst (Passwort-Manager!), 2FA für alle kritischen Konten, regelmäßige Überprüfung auf Datenlecks, und eine gesunde Skepsis gegenüber allem, was Dringlichkeit suggeriert.
Wie die digitale Identität insgesamt funktioniert und geschützt werden kann, beleuchtet dieser Artikel über digitale Identität im Netz.
Eines der effektivsten Phishing-Szenarien im Unternehmenskontext: kompromittierte interne E-Mail-Accounts. Wenn Angreifer das Konto einer Kollegin oder eines Kollegen übernehmen, können sie von dieser legitimen Adresse aus interne Phishing-E-Mails versenden.
Diese E-Mails kommen durch jeden Spam-Filter. Der Absender ist real. Der Domainname ist real. Nur der Inhalt ist gefälscht. „Hey, kannst du mal kurz auf diesen Link schauen und dein Login eingeben?“ – von einer vertrauten Kollegin? Die meisten tun es.
Schutz: Klare interne Kommunikationsregeln („Wir versenden niemals Login-Links per E-Mail“), Out-of-Band-Verifizierung für sensible Anfragen, und konsequentes 2FA für alle internen Konten – damit übernommene Passwörter nicht zum Startpunkt interner Phishing-Ketten werden.
Wie Angriffe auf die Privatsphäre entstehen und was typisches unbedachtes Verhalten begünstigt, ist auch in diesem älteren Artikel über die Gefahren der Digitalisierung dokumentiert.
Zwei Drittel der Deutschen. Im Visier von Phishing-Versuchen, in einem einzigen Jahr. Das BSI spricht von einer Phishing-Welle, die das Land überrollt. Die Angriffsmethoden werden raffinierter, die KI-Unterstützung für Angreifer wird mächtiger, die Zielgruppen werden breiter.
Gleichzeitig: Phishing funktioniert nur, wenn jemand klickt. Wissen schützt. Technische Maßnahmen helfen. Training wirkt. Und ein gesunder Grundsatz hilft mehr als jedes technische Tool: Alles, was Dringlichkeit erzeugt, verdient doppelte Aufmerksamkeit. Der Moment, in dem Sie unter Druck gesetzt werden, sofort zu handeln – das ist genau der Moment, in dem Sie innehalten sollten.
Zwei Drittel sind im Visier. Wie viele landen wirklich auf der Phishing-Seite, hängt davon ab, wie gut das dritte Drittel auf das erste zwei Drittel aufpasst. Und wie gut alle drei Drittel aufeinander aufpassen.
