Eine Kundin rief mich neulich aufgelöst an. „Meine Bank schreibt, mein Konto wird gesperrt, ich soll mich sofort einloggen.” Die Mail sah täuschend echt aus, Logo, Schriftart, sogar die richtige Bank. Wir haben gemeinsam einmal durchgeatmet, und nach drei Blicken war klar: Phishing. Passiert ist nichts, weil sie vor dem Klick zum Hörer gegriffen hat. Genau dieser kurze Moment des Innehaltens ist die halbe Miete.
- Phishing kommt längst nicht mehr nur per Mail, sondern auch per SMS und QR-Code.
- „Schlechtes Deutsch" ist kein Erkennungsmerkmal mehr, KI formuliert sauber.
- Verlass dich auf das Verhalten der Nachricht: Druck, ein Vorgang, den du nie ausgelöst hast, ein Link, der woanders hinführt.
- Die wichtigste Regel: nie über den Link einloggen, sondern die Seite selbst im Browser aufrufen.
- Schon geklickt? Ruhe bewahren, Passwort vom sauberen Gerät ändern, Bank über 116 116 informieren.
Was ist Phishing eigentlich?
Phishing ist der Versuch, dir mit gefälschten Nachrichten Zugangsdaten, Passwörter oder Bankdaten zu entlocken. Die Nachricht gibt sich als Bank, Paketdienst, Streaming-Anbieter, Finanzamt oder sogar als Kollege aus. Das Ziel ist immer dasselbe: Du sollst auf einen Link klicken, eine Datei öffnen oder eine Freigabe erteilen, und auf einer nachgebauten Seite deine Daten eingeben.
Das Wort kommt von „fishing”, die Betrüger werfen massenhaft Köder aus und warten, wer anbeißt. Lange war der beste Schutz, auf Rechtschreibfehler und holpriges Deutsch zu achten. Das funktioniert heute nicht mehr: Betrüger lassen ihre Texte von KI formulieren, fehlerfrei und in passendem Ton. Deshalb verlagert sich das Erkennen weg von der Sprache hin zum Verhalten der Nachricht.
So sieht Phishing 2026 aus
Phishing ist nicht mehr nur die eine dubiose E-Mail. Es kommt heute über jeden Kanal, auf dem du erreichbar bist. Die Masche dahinter ist immer gleich, nur die Verpackung wechselt:
| Kanal | Typische Masche | Dein Reflex |
|---|---|---|
| Mail (Phishing) | Gefälschte Bank- oder Paket-Mail mit Link zur „Bestätigung” | Nicht über den Link gehen, Seite selbst im Browser öffnen |
| SMS (Smishing) | „Ihr Paket wartet, bitte kleine Gebühr zahlen” mit Link | Nummer ignorieren, in der App des echten Anbieters nachsehen |
| QR-Code (Quishing) | Aufkleber auf Parkautomat oder QR im Brief, der zur Zahlung führt | QR nicht scannen, Adresse stattdessen selbst eintippen |
| Anruf (Vishing) | „Microsoft-Support” oder „Ihr Bankberater” am Telefon | Auflegen, offizielle Nummer selbst wählen und zurückrufen |
Wenn du diese vier Kanäle im Kopf hast, fällt dir der nächste Trick nicht mehr auf, weil du das Muster erkennst und nicht die Verkleidung.
Die 5 Warnsignale
1. Die Absender-Adresse passt nicht
Der angezeigte Name kann „Sparkasse” lauten, die echte Adresse dahinter aber service@sparkasse-sicherheit-update.xyz sein. Tippe oder klicke auf den Absendernamen, um die vollständige Adresse zu sehen. Seriöse Unternehmen schreiben von ihrer echten Domain, nicht von kryptischen Zusätzen wie -sicherheit, -kundencenter oder einer fremden Endung wie .xyz oder .info.
2. Ein Vorgang, den du nie angestoßen hast
Du bekommst eine „Bestätigung” für eine Bestellung, die du nicht gemacht hast, eine Paket-Benachrichtigung ohne bestelltes Paket, eine „Sicherheitsüberprüfung” deines Kontos, ohne dass du etwas getan hast. Dieser unerwartete Anlass ist verdächtiger als jede Anrede. Übrigens: Dass eine Mail dich mit vollem Namen anspricht, beweist heute gar nichts mehr, denn Namen und Adressen stammen oft aus Daten-Leaks. Eine persönliche Anrede macht eine Phishing-Mail nicht echt.
3. Druck und Drohung
„Ihr Konto wird in 24 Stunden gesperrt.” „Letzte Mahnung.” „Sofort handeln, sonst verfällt Ihr Guthaben.” Dieser künstliche Zeitdruck ist das wichtigste Erkennungszeichen überhaupt. Kein seriöses Unternehmen sperrt dein Konto, weil du eine Mail nicht innerhalb eines Tages beantwortest. Druck soll genau eines verhindern: dass du kurz nachdenkst.
4. Links, die woanders hinführen
Fahre mit der Maus über einen Link, ohne zu klicken. Unten im Browser oder Mailprogramm erscheint die echte Zieladresse. Auf dem Handy hältst du den Link gedrückt, dann wird die URL angezeigt. Steht da etwas anderes als der angebliche Absender, Finger weg. Die gleiche Vorsicht gilt für QR-Codes: Sie sind nichts anderes als ein Link, den du nicht lesen kannst, bevor du ihn scannst.
5. Aufforderung, Daten oder eine Freigabe herauszurücken
Keine Bank, kein Zahlungsdienst und kein seriöser Anbieter fordert dich per Nachricht auf, Passwörter, PINs oder TANs einzugeben. Modern und besonders gefährlich: Du sollst eine Push-Benachrichtigung in deiner Banking-App „bestätigen” oder „freigeben”. Wenn du eine Freigabe erteilen sollst, ohne selbst gerade etwas zu bezahlen oder dich anzumelden, lehne sie ab. Eine bestätigte Freigabe ist wie eine unterschriebene Vollmacht.
Die einfachste Regel überhaupt, die alle fünf Signale aushebelt: Logge dich nie über einen Link aus einer Nachricht ein. Öffne stattdessen den Browser und tippe die Adresse deiner Bank oder deines Dienstes selbst ein, oder nutze deren App. Dann landest du garantiert auf der echten Seite, egal wie gut die Fälschung war.
So gehst du bei jeder verdächtigen Nachricht vor
- InnehaltenNicht sofort klicken oder antworten. Der erste Impuls ist genau der, auf den die Betrüger setzen.
- Absender prüfenDie vollständige Adresse oder Nummer anschauen, nicht nur den angezeigten Namen.
- Links checken, nicht klickenMit der Maus drüberfahren oder auf dem Handy gedrückt halten, Zieladresse lesen. QR-Codes gar nicht erst scannen.
- Im Zweifel direkt nachsehenDie Seite selbst im Browser aufrufen, in der App des Anbieters nachschauen oder bei der echten Hotline anrufen.
Was tun, wenn du doch geklickt hast?
Erst einmal: Ruhe bewahren, das passiert den Besten. Wichtig ist, was du jetzt tust, und zwar zügig.
Hast du auf der gefälschten Seite Daten eingegeben, ändere sofort das betroffene Passwort, und zwar von einem anderen, sauberen Gerät aus. Nutzt du dasselbe Passwort woanders, ändere es auch dort. Hast du eine Push-Freigabe oder TAN bestätigt, ruf umgehend deine Bank an, hier zählt jede Minute.
Geht es um Bankdaten, ruf deine Bank an und lass im Zweifel das Konto oder die Karte sperren. Der zentrale Sperr-Notruf in Deutschland ist die 116 116, rund um die Uhr erreichbar. Je schneller du handelst, desto kleiner der mögliche Schaden. Und keine Sorge, dir wird niemand einen Vorwurf machen, diese Maschen sind genau darauf ausgelegt, dass sie funktionieren.
Häufige Fragen
Kann ich mich anstecken, nur weil ich die Mail geöffnet habe?
Das reine Öffnen ist meist harmlos. Gefährlich wird es erst, wenn du auf Links klickst, Anhänge öffnest oder Daten eingibst. Trotzdem: Anhänge von unbekannten Absendern nie öffnen, vor allem keine Office-Dateien oder ZIP-Archive.
Sind QR-Codes in Briefen oder auf Plakaten gefährlich?
Sie können es sein. Ein QR-Code ist nur ein Link, den du vor dem Scannen nicht lesen kannst. Betrüger kleben gefälschte Codes über echte, etwa auf Parkautomaten, oder verschicken seriös wirkende Briefe mit QR zur „Zahlung". Im Zweifel die Adresse lieber selbst im Browser eintippen, statt zu scannen.
Wie melde ich eine Phishing-Mail?
Du kannst verdächtige Mails an die Verbraucherzentrale weiterleiten und bei Betrug Anzeige bei der Polizei erstatten. Den angeblichen Absender, etwa deine Bank, kannst du ebenfalls informieren, damit er andere Kunden warnen kann.
Schützt ein Passwort-Manager vor Phishing?
Indirekt ja, und sehr gut. Ein Passwort-Manager füllt deine Zugangsdaten nur auf der echten Adresse aus. Schlägt das automatische Ausfüllen fehl, ist das ein deutlicher Hinweis, dass die Seite gefälscht ist.
Hilft Zwei-Faktor-Authentifizierung?
Ja. Selbst wenn Betrüger dein Passwort haben, kommen sie ohne den zweiten Faktor nicht in dein Konto. Aktiviere Zwei-Faktor-Authentifizierung überall, wo es sie gibt, am besten per App statt per SMS. Wichtig: Eine Freigabe, die du nicht selbst ausgelöst hast, niemals bestätigen.
Mein Fazit
Phishing erkennst du nicht an einem einzigen Merkmal, sondern an der Summe: ein komischer Absender, ein Vorgang, den du nie angestoßen hast, künstlicher Druck, ein Link, der woanders hinführt. Sprache und Logo sind kein Schutz mehr, das Verhalten der Nachricht schon. Wer sich angewöhnt, vor dem Klick kurz innezuhalten und nachzusehen, fällt fast nie darauf herein. Diese 30 Sekunden sind der beste Schutz, den es gibt.
Vor dem Klick kurz innehalten, das ist der halbe Schutz
- Phishing kommt per Mail, SMS und QR-Code, die Masche ist immer dieselbe
- Auf das Verhalten achten, nicht auf Sprache oder Logo
- Künstlicher Zeitdruck ist das wichtigste Warnsignal
- Nie über einen Link einloggen, immer die Seite selbst aufrufen oder die App nutzen
- Schon geklickt: Passwort vom sauberen Gerät ändern, Bank über 116 116 informieren
Aktuelle Betrugsmaschen und offizielle Hinweise findest du beim BSI zu Sicherheitsmaßnahmen beim Online-Banking und beim Phishing-Radar der Verbraucherzentrale.
Soll ich deine E-Mails und Logins absichern?
Phishing ist nur eine Seite. Wer seine Mails und Zugänge sauber aufgesetzt hat, macht es Betrügern von vornherein schwer. Und Betrüger arbeiten zunehmend mit KI, nicht nur bei Texten, sondern auch bei gefälschten Videos und Stimmen. Beim Absichern helfe ich dir gern:
- E-Mail-Sicherheit für deine Domain: Saubere Einrichtung mit SPF, DKIM und DMARC, damit Betrüger nicht in deinem Namen schreiben können.
- Passwort-Safe: Ein zentrales System für all deine Logins, inklusive Zwei-Faktor-Authentifizierung. So fällt das automatische Ausfüllen auf gefälschten Seiten sofort auf.
- PC-Support und Geräte-Absicherung: Prüfung auf Schadsoftware und ein sauber abgesichertes Gerät.
Wie sicher ist dein Setup insgesamt? Das zeigt dir der IT-Check in ein paar Minuten.
Schreib mir kurz, ich höre zu.
Wenn dich das Thema betrifft oder du eine konkrete Frage hast, melde dich. Ich höre zu, frage nach, und überlege gemeinsam mit dir was wirklich Sinn macht.
Kontakt aufnehmen →