Phishing ist heute der häufigste Weg, auf dem Kriminelle an fremde Konten kommen – nicht durch geknackte Passwörter, sondern durch eine Nachricht, die Sie selbst dazu bringt, das Passwort einzugeben. Eine täuschend echte E-Mail, eine angebliche SMS vom Paketdienst, ein Anruf, der angeblich von Ihrer Bank kommt. Das Wort „Phishing” ist eine Anlehnung an das englische fishing – Angeln. Der Betrüger wirft eine Nachricht aus wie einen Köder und hofft, dass jemand anbeißt.
Die gute Nachricht: Phishing ist erkennbar. Es gibt eine Handvoll Muster, die immer wiederkehren – und eine klare Reihenfolge, in der Sie eine verdächtige Nachricht prüfen können. Wer diese Muster einmal verstanden hat, fällt nicht mehr darauf herein. Auch dann nicht, wenn die Nachricht auf den ersten Blick völlig glaubwürdig wirkt.
Warum Phishing so oft funktioniert
Phishing-Nachrichten sehen heute nicht mehr so aus, wie es das Klischee will. Die schlecht übersetzten E-Mails von angeblichen Prinzen aus Afrika gibt es zwar noch, aber sie sind die Ausnahme. Die wirklich gefährlichen Nachrichten sind unauffällig: Logo der echten Bank, sauberes Deutsch, plausibler Anlass. Manchmal sogar mit Ihrem korrekten Namen in der Anrede – weil Adressdaten aus früheren Hacks im Umlauf sind.
Was alle Phishing-Nachrichten verbindet, ist nicht ihr Aussehen, sondern ihr Mechanismus. Sie erzeugen einen kurzen, dringenden Handlungsdruck und fordern Sie auf, sich irgendwo einzuloggen oder Daten einzugeben. Genau in diesem Moment des schnellen Klickens ist der Trick – nicht in der Gestaltung der Nachricht.
Drei Hebel kommen dabei immer wieder zum Einsatz. Angst: Ihr Konto sei gesperrt, eine Abbuchung sei verdächtig, ein Paket werde sonst zurückgeschickt. Neugier: Sie hätten ein Paket bekommen, eine Rückerstattung stehe an, jemand habe Ihnen Geld geschickt. Autorität: Die E-Mail kommt scheinbar vom Finanzamt, von der Polizei, vom Chef. Wer mit einem dieser drei Gefühle reagiert – und es dauert nur Sekunden, bis das passiert – klickt.
Genau deshalb ist die wichtigste Regel beim Phishing nicht technischer Natur. Sie ist eine Haltung: Nichts unter Druck entscheiden. Wer eine alarmierende Nachricht bekommt, gewinnt fast immer dadurch, dass er einen Moment innehält, das Handy weglegt und in Ruhe prüft.
Die typischen Phishing-Kanäle
Phishing kommt heute auf vier Wegen, und jeder hat seine eigenen Erkennungsmerkmale.
E-Mail ist nach wie vor der häufigste Weg. Eine Nachricht im Postfach, scheinbar von Ihrer Bank, von DHL, von PayPal, von Amazon. Mit Anmelde-Aufforderung oder Link auf eine Webseite, auf der Sie Ihre Daten „bestätigen” sollen.
SMS ist in den letzten Jahren stark gewachsen. Oft als Paketbenachrichtigung getarnt: „Ihr Paket konnte nicht zugestellt werden, bitte bestätigen Sie hier Ihre Adresse.” Mit einem Link, der so aussieht, als gehöre er zu einem bekannten Paketdienst – tatsächlich aber auf eine gefälschte Seite führt. Diese Variante hat einen eigenen Namen: Smishing, also SMS-Phishing.
Anrufe sind die persönlichste Form. Jemand meldet sich angeblich von der Bank, von Microsoft, von der Polizei. Es geht um eine angebliche verdächtige Buchung, einen Virus auf Ihrem Computer, einen Ermittlungsfall, in dem Sie helfen sollen. Ziel ist meist, dass Sie eine TAN durchgeben, eine Software installieren oder Geld auf ein „sicheres Konto” überweisen. Diese Form heißt Vishing (von voice).
Messenger-Nachrichten über WhatsApp sind die jüngste Variante. Eine Nachricht von einer unbekannten Nummer, scheinbar von Tochter oder Sohn: „Hallo Mama, mein Handy ist kaputt, das ist meine neue Nummer. Kannst du mir kurz Geld überweisen?” Diese Form trifft besonders Menschen über sechzig und richtet erheblichen Schaden an.
In allen vier Fällen ist die Logik dieselbe: Eine fremde Person spricht Sie an, bittet um Daten oder Geld, baut Druck auf. Wer die Logik kennt, erkennt sie wieder, egal über welchen Kanal sie kommt.
Die fünf Prüffragen
Statt einer langen Liste an Erkennungsmerkmalen funktioniert in der Praxis ein einfacher Ablauf. Fünf Fragen, in dieser Reihenfolge, jeder Nachricht gestellt, die nach Daten oder Geld fragt.
Erstens: Erwarte ich diese Nachricht? Eine echte Mahnung kommt nicht aus dem Nichts. Eine Bank, bei der Sie kein Konto haben, schreibt Ihnen nicht. Eine Paketbenachrichtigung kommt, wenn Sie etwas bestellt haben – nicht, wenn Sie wochenlang nichts bestellt haben. Wer schon bei dieser ersten Frage zögert, sollte die Nachricht löschen oder ungelesen lassen.
Zweitens: Wer ist der Absender wirklich? Bei E-Mails lohnt der Blick auf die volle Absenderadresse, nicht nur auf den angezeigten Namen. Eine Mail kann „Bank-Service” anzeigen und tatsächlich von bank-sicherheit-pruefung@info-mail24.com kommen. Bei SMS reicht ein Blick auf die Nummer – seriöse Absender benutzen entweder ihren Namen (etwa „DHL”) oder eine bekannte Nummer, nie eine ausländische Mobilnummer.
Drittens: Wohin führt der Link wirklich? Auf dem Computer können Sie mit der Maus über einen Link fahren, ohne zu klicken – die Zieladresse erscheint dann unten am Bildschirmrand. Auf dem Smartphone genügt es, den Link einen Moment lang gedrückt zu halten, bis ein Vorschau-Fenster erscheint. Schauen Sie dort nicht auf den Anfang der Adresse, sondern auf den Teil direkt vor dem ersten einzelnen Schrägstrich. Bei https://amazon.de.kunden-service-pruefung.com/login ist das nicht Amazon, sondern kunden-service-pruefung.com. Der Amazon-Teil ist nur eine Verkleidung.
Viertens: Werde ich zu schnellem Handeln gedrängt? Echte Unternehmen geben Ihnen Zeit. „Innerhalb von 24 Stunden”, „Andernfalls wird Ihr Konto gesperrt”, „Letzte Mahnung vor Inkasso” – das sind keine seriösen Tonlagen. Eine Bank, die ein echtes Problem hat, ruft an oder schickt einen Brief. Sie setzt Sie nicht per E-Mail unter Stundenfrist.
Fünftens: Werde ich nach Daten gefragt, die niemand abfragen darf? Keine Bank, kein Online-Dienst, kein Behörden-Mitarbeiter wird Sie jemals nach Ihrem Passwort fragen. Keine Bank wird Sie per Telefon nach einer TAN fragen. Niemand braucht Ihre Karten-PIN, um Ihnen einen Schaden zu erstatten. Diese Frage allein entlarvt die meisten Betrugsversuche.
Wenn auch nur eine dieser Fragen ein ungutes Gefühl auslöst, gilt: nicht klicken, nichts eingeben, nichts beantworten. Eine seriöse Anfrage übersteht es problemlos, wenn Sie sie eine Stunde liegen lassen.
So sieht Phishing wirklich aus – drei Beispiele
Drei typische Beispiele für Phishing-Mails, wie sie täglich in europäischen Postfächern landen. Die Mails sind nachgebaut und anonymisiert, aber die Muster echt. Jedes Beispiel zeigt zuerst die Mail im Postfach, danach ist erklärt, woran sich der Betrug erkennen lässt.
Beispiel 1: Die gefälschte DHL-Mail
Von: DHL Sendungsverfolgung <kunden-service@track-info24.net> ① Betreff: ⚠️ Wichtig: Ihre Sendung wartet auf Sie ②
Sehr geehrter Kunde, ③
Ihre Sendung mit der Nummer DH123456789 konnte heute nicht zugestellt werden, weil die Adressdaten unvollständig sind.
Bitte bestätigen Sie Ihre korrekten Daten innerhalb von 24 Stunden ④, sonst wird Ihre Sendung an den Absender zurückgeschickt.
🔗 Adresse bestätigen ⑤
Mit freundlichen Grüßen, Ihr DHL-Team
Was hier verdächtig ist:
- ① Absender stimmt nicht. Echte DHL-Mails kommen von Adressen, die auf
@dhl.deoder@dhl.comenden – niemals vontrack-info24.netoder ähnlich. - ② Dringlichkeit im Betreff. Echte Paketdienste schreiben sachlich. Symbole wie ⚠️ oder Wörter wie „Wichtig” im Betreff sind ein klassisches Druckmittel.
- ③ Unpersönliche Anrede. „Sehr geehrter Kunde” statt Ihres Namens – obwohl ein echter Versand den Namen aus der Bestellung kennen würde.
- ④ Frist mit Drohung. DHL würde eine Sendung niemals nach 24 Stunden zurückschicken, weil eine Adresse unvollständig ist. Diese Frist soll Sie zum schnellen Klicken bringen.
- ⑤ Versteckter Link. Der Knopf „Adresse bestätigen” verlinkt nicht auf
dhl.de, sondern auf eine fremde Seite. Auf dem Smartphone den Knopf einen Moment gedrückt halten, dann erscheint die echte Zieladresse in einer Vorschau.
Beispiel 2: Die gefälschte PayPal-Mail
Von: PayPal Sicherheit <service@paypal-sicherheit-prufung.de> ① Betreff: Ungewöhnliche Aktivität auf Ihrem Konto ②
Guten Tag,
wir haben eine ungewöhnliche Aktivität auf Ihrem PayPal-Konto festgestellt ③ und Ihr Konto vorsorglich eingeschränkt.
Um Ihr Konto wieder freizuschalten, bestätigen Sie bitte umgehend Ihre Identität ④ und überprüfen Sie Ihre hinterlegten Daten:
🔗 Jetzt Konto verifizieren ⑤
Bitte beachten Sie: Sollten Sie nicht innerhalb von 48 Stunden reagieren, müssen wir Ihr Konto dauerhaft sperren.
Mit freundlichen Grüßen, Ihr PayPal-Sicherheitsteam
Was hier verdächtig ist:
- ① Falsche Domain. Echtes PayPal nutzt
@paypal.comoder@paypal.de. Eine Adresse mitpaypal-sicherheit-prufung.deist eine Phantasie-Domain, die nur PayPal im Namen hat. - ② Vage Bedrohung. „Ungewöhnliche Aktivität” ohne Detail ist eine typische Floskel. PayPal selbst zeigt konkrete Vorgänge in der App an, statt sie per Mail anzudeuten.
- ③ Angst-Hebel. Die Mail soll Sorge erzeugen. Wenn PayPal wirklich Auffälligkeiten sieht, bekommen Sie eine konkrete Information in der PayPal-App, nicht per Mail mit Link.
- ④ Aufforderung zur „Identitätsbestätigung” per Link. Eine seriöse Plattform würde Sie höchstens bitten, sich über die App oder die offizielle Webseite einzuloggen – nie über einen Mail-Link.
- ⑤ Knopf statt eindeutiger Adresse. Der Knopf verlinkt nicht auf
paypal.com. Wer ihn anklickt, landet auf einer täuschend echten Anmelde-Maske, die die Zugangsdaten an die Angreifer weiterleitet.
Beispiel 3: Die gefälschte Amazon-Mail
Von: Amazon Kundenservice <auto-confirm@amzn-bestellung.com> ① Betreff: Ihre Bestellung wurde versandt – Apple iPhone 15 Pro (1.299 €) ②
Hallo,
vielen Dank für Ihren Einkauf bei Amazon. Ihre Bestellung wurde soeben versandt:
- Apple iPhone 15 Pro 256 GB Titan Natur – 1.299,00 €
- Lieferung an: Berlin, Deutschland ③
- Zahlung: Kreditkarte endend auf •••• 4521
Falls Sie diese Bestellung nicht aufgegeben haben, klicken Sie hier, um sie sofort zu stornieren: ④
🔗 Bestellung stornieren ⑤
Vielen Dank, dass Sie bei Amazon einkaufen.
Was hier verdächtig ist:
- ① Phantasie-Absender. Echte Bestätigungen kommen von
auto-confirm@amazon.de, nicht vonamzn-bestellung.com. Die Verkürzung „amzn” + neue Domain ist eine bewusste Verwechslung. - ② Schock-Bestellung. Eine teure Bestellung („iPhone Pro für 1.299 €”), die Sie nicht aufgegeben haben, löst Reflex aus. Genau das ist gewollt: Sie sollen panisch reagieren und schnell auf den Link klicken.
- ③ Schwammige Daten. Echte Amazon-Mails zeigen die volle Lieferadresse mit Straße und Postleitzahl, nicht nur „Berlin”. Und die letzten vier Ziffern der Karte stimmen oft nicht mit Ihrer überein – das fällt nur auf, wenn Sie genau hinschauen.
- ④ Köder „Stornieren”. Der eigentliche Phishing-Mechanismus. Sie sollen NICHT auf die echte Bestellung klicken, sondern auf den Stornieren-Knopf – der führt auf eine gefälschte Login-Seite, wo Sie Ihre Amazon-Zugangsdaten eingeben.
- ⑤ Statt Klicken: Amazon-App öffnen. Wenn Sie eine solche Mail bekommen und unsicher sind, öffnen Sie selbst die Amazon-App oder amazon.de im Browser. Dort sehen Sie alle echten Bestellungen sofort. Eine Bestellung, die nicht in Ihrem Konto auftaucht, gibt es schlicht nicht.
Eine Faustregel zu allen drei Beispielen: Jede E-Mail, die mit einer Frist droht oder Schaden ankündigt und Sie über einen Knopf auf eine Webseite leiten möchte, verdient mindestens eine Minute Innehalten. Im Zweifel öffnen Sie das angebliche Konto selbst – über die offizielle App oder die Website, die Sie aus Lesezeichen aufrufen, nie über den Link in der Mail.
Was Sie tun, wenn Sie unsicher sind
Wenn Sie nicht wissen, ob eine Nachricht echt ist, gibt es einen einzigen sicheren Weg: Den Absender selbst kontaktieren – aber nicht über die Nachricht. Suchen Sie die offizielle Webseite, die offizielle Telefonnummer auf der Rückseite Ihrer Bankkarte oder in einer alten Rechnung. Rufen Sie dort an oder loggen Sie sich dort ein. Wenn die Nachricht echt war, finden Sie das Anliegen auch dort wieder. Wenn sie es nicht war, haben Sie nichts verloren.
Was Sie auf keinen Fall tun: auf einen Knopf in der verdächtigen Nachricht selbst klicken oder eine in der Nachricht angegebene Nummer anrufen. Beides führt zum Betrüger.
Was Sie tun, wenn Sie schon geklickt haben
Es passiert. Auch aufmerksamen Menschen passiert es. Wenn Sie auf einen Phishing-Link geklickt und Daten eingegeben haben, ist nicht alles verloren – aber jetzt zählt Tempo.
Ändern Sie sofort das Passwort des betroffenen Kontos. Loggen Sie sich nicht über den Link aus der E-Mail ein, sondern über die Webseite des Anbieters, die Sie selbst eintippen oder aus den Lesezeichen aufrufen.
Wenn Sie überall dasselbe Passwort verwendet haben, ändern Sie es überall. Genau das ist der Grund, warum ein Passwort-Manager und einzigartige Passwörter so wichtig sind – Sie begrenzen den Schaden auf genau ein Konto.
Bei Bank- oder Bezahldaten: rufen Sie sofort die Sperr-Hotline an. In Deutschland erreichen Sie unter 116 116 rund um die Uhr die zentrale Sperrnummer für Bankkarten. In Österreich gilt 0800 204 8800, in der Schweiz nutzen Sie die Sperrnummer Ihrer Bank (steht auf der Karte oder auf der Bank-Website).
Schalten Sie Zwei-Faktor-Authentifizierung ein, falls noch nicht geschehen. Selbst wenn der Angreifer das Passwort hat, kommt er ohne den zweiten Faktor nicht weiter.
Erstatten Sie Anzeige. Bei jeder Polizeidienststelle und online über die Internetwachen vieler Länder. Das hilft nicht nur Ihnen – es erschwert den Tätern weitere Versuche. Mehr zu den ersten Schritten im Notfall im Artikel Konto gehackt – was jetzt zu tun ist.
Phishing-Versuche melden
Wenn Sie eine Phishing-Nachricht erhalten, aber nicht darauf reagiert haben, müssen Sie nichts tun – außer löschen. Wer einen Schritt weitergehen möchte, kann verdächtige E-Mails an die zuständige Verbraucherorganisation oder die Meldestelle des eigenen Mobilfunkanbieters weiterleiten. Diese Meldungen helfen, neue Maschen schneller bekannt zu machen.
Das Wichtigste in einem Satz
Phishing scheitert an einem einzigen Reflex: einen Moment innehalten, bevor man klickt. Niemand, der Sie bittet, sofort etwas zu bestätigen, hat das Recht, Sie unter Druck zu setzen. Eine echte Bank wartet eine Stunde. Ein echter Paketdienst wartet einen Tag. Wer das nicht aushält, ist mit hoher Wahrscheinlichkeit kein Absender, dem Sie etwas glauben sollten.
Häufige Fragen
Wie erkenne ich, ob eine SMS vom Paketdienst echt ist? Echte Paketdienste kennen Ihren Namen und nennen meist die Sendungsnummer. Sie verlangen weder Geld noch Daten. Wenn eine SMS Sie auffordert, eine kleine Gebühr zu zahlen oder Adressdaten auf einer fremden Seite zu bestätigen, ist sie gefälscht. Mehr zur Erkennung im Artikel Betrugs-SMS erkennen.
Können Banken oder Behörden mich legitim per E-Mail nach Daten fragen? Banken und Behörden bitten Sie per E-Mail höchstens, sich auf der offiziellen Webseite einzuloggen. Sie fragen niemals per E-Mail nach Passwort, PIN oder TAN. Wer das tut, ist kein echter Absender.
Was ist, wenn jemand meinen vollen Namen oder mein Geburtsdatum kennt? Diese Daten sind aus früheren Datenpannen oder öffentlichen Quellen oft im Umlauf. Sie sind kein Beweis für Echtheit. Eine Phishing-Nachricht mit korrektem Namen ist trotzdem eine Phishing-Nachricht.
Sind Senioren besonders gefährdet? Bestimmte Maschen – etwa der Enkeltrick per WhatsApp oder angebliche Microsoft-Anrufe – zielen gezielt auf ältere Menschen, weil dort eher Vertrauen in Autorität und Hilfsbereitschaft erwartet wird. Erkennbar sind sie nach denselben Mustern wie jedes andere Phishing. Wer die fünf Prüffragen kennt, ist altersunabhängig geschützt.
Hilft ein gutes Antivirus-Programm gegen Phishing? Nur eingeschränkt. Antivirus-Programme erkennen schadhafte Dateien, aber die meisten Phishing-Angriffe enthalten gar keine Schadsoftware – sie tricksen Sie zur Eingabe von Daten auf einer fremden Webseite. Der wirksamste Schutz ist nicht technisch, sondern aufmerksam.
Verwandte Artikel: Sichere Passwörter ohne Stress · WhatsApp-Betrug erkennen · Betrugs-SMS erkennen · Konto gehackt – was jetzt zu tun ist