Eine Kundin rief mich letzte Woche an. Aufgewühlt. Sie hatte fast auf einen Link geklickt, eine täuschend echte DHL-Mail, richtiger Firmenname, professionelles Layout. Nur die Absenderadresse hätte sie stutzig machen können. Sie hat gestoppt. Gut so. Aber es war knapp.
Phishing-Mails sind heute so gut gemacht, dass selbst IT-erfahrene Menschen kurz zögern. Kein Vorwurf. Nur ein Grund, die wichtigsten Erkennungsmerkmale einmal klar zu benennen.
- Phishing-Mails sehen heute oft täuschend echt aus, die Warnsignale sind aber meist gleich.
- Absenderadresse, Dringlichkeitsdruck, unerwartete Anhänge und falsche Link-Ziele sind die Klassiker.
- 5 einfache Reflexe schützen besser als jede Software-Lösung allein.
- Wenn doch geklickt wurde: vom Netz trennen, Passwörter ändern, IT-Hilfe holen.
Warum E-Mails das beliebteste Angriffsziel sind
Weil es funktioniert. Über 90 Prozent aller Cyberangriffe beginnen mit einer E-Mail. Kein Hacker muss dein Passwort knacken, wenn er dich einfach dazu bringen kann, es selbst einzugeben, auf einer gefälschten Seite, die genauso aussieht wie deine Bank.
Das Ziel ist immer dasselbe: deine Zugangsdaten, dein Geld, oder eine Schadsoftware auf deinem Gerät. Der Weg dahin variiert. Aber die Warnsignale sind fast immer gleich.
Woran du eine gefährliche E-Mail erkennst
Das Schwierige: Phishing-Mails werden immer besser. Korrekte Grammatik, echte Logos, persönliche Anrede. Trotzdem verraten sich fast alle irgendwo.
Absenderadresse genau prüfen. Der Anzeigename kann alles sein, “DHL Paketservice”, “PayPal”, “deine Bank”. Was zählt, ist die tatsächliche E-Mail-Adresse dahinter. service@dhl-delivery-notice.com ist kein DHL-Server. Kurz draufklicken und nachschauen, das dauert zwei Sekunden.
Druck und Dringlichkeit. “Dein Konto wird in 24 Stunden gesperrt.” “Sofortiger Handlungsbedarf.” Dieses Muster ist kein Zufall. Es soll verhindern, dass du nachdenkst. Seriöse Unternehmen schreiben keine Ultimaten per E-Mail.
Unerwartete Anhänge. Du hast nichts bestellt, keine Rechnung erwartet, keinen Vertrag angefordert, und trotzdem liegt eine PDF im Postfach. Löschen, ohne zu öffnen.
Links, die nicht stimmen. Fahr mit der Maus über den Link, ohne zu klicken. Die echte Zieladresse erscheint unten im Browser. Steht dort etwas wie paypal-secure-login.ru, ist die Sache klar.
Unpersönliche Anrede. “Sehr geehrter Kunde”, “Lieber Nutzer”, wer deine Kundendaten hat, kennt auch deinen Namen. Fehlt er, ist das ein Warnsignal.
Die 5 Regeln, an die ich mich selbst halte
Ich habe mir über die Jahre ein paar einfache Gewohnheiten angewöhnt. Kein aufwändiges System, nur Reflexe, die schützen.
- Unbekannter Absender? Sofort löschen. Kein Zögern, kein Neugier-Klick. Wenn ich nichts erwarte und den Absender nicht kenne, ist die Mail weg.
- Niemals Links in E-Mails anklicken. Wenn meine Bank mir schreibt, tippe ich die Adresse selbst in den Browser. Immer. Ohne Ausnahme.
- Anhänge nur öffnen, wenn ich sie erwarte. Und wenn ich unsicher bin, frage ich kurz beim Absender nach, per Telefon, nicht per E-Mail-Antwort.
- Virenschutz aktuell halten. Nicht als Allheilmittel, aber als letztes Netz. Es gibt Schadsoftware, die nur durch einen aktuellen Scanner erkannt wird.
- Im Zweifel: misstrauisch sein. Eine harmlose Mail zu löschen ist kein Schaden. Eine gefährliche zu öffnen schon.
Was passiert, wenn es doch passiert?
Manchmal geht es schnell. Ein Klick, ein Formular ausgefüllt, und wenige Minuten später merkt man: da war etwas komisch.
Gerät sofort vom Netzwerk trennen. Passwörter von einem anderen, sicheren Gerät ändern, beginnend mit E-Mail, Banking, wichtigen Accounts. Dann einen Virenscan durchführen oder direkt IT-Unterstützung holen. Je schneller, desto besser.
Und: Ruhig bleiben. Es passiert den Besten. Wichtig ist, was danach kommt.
Mein Fazit
E-Mail-Sicherheit ist keine Frage des Wissens allein. Es ist eine Frage der Gewohnheit. Wer einmal gelernt hat, kurz innezuhalten und die Absenderadresse zu prüfen, macht das automatisch. Ohne Aufwand. Ohne Paranoia.
Und wer trotzdem mal unsicher ist, ich bin einen Anruf entfernt.
Reicht ein Virenscanner als Schutz vor Phishing?
Nein. Virenscanner erkennen Schadsoftware in Anhängen, schützen aber nicht davor, dass du auf einer gefälschten Seite freiwillig dein Passwort eingibst. Aufmerksamkeit bleibt der wichtigste Schutz.
Was tun bei einer offensichtlichen Phishing-Mail?
Nicht antworten, nicht weiterleiten, sondern direkt löschen. Bei wichtigen Anbietern wie Banken oder PayPal kannst du die Mail auch an deren Sicherheitsadresse melden, die findest du auf der Website.
Wie sieht ein sicherer Link aus?
Echte Links zeigen direkt auf die Hauptdomain des Anbieters (z.B. paypal.de). Subdomain-Tricks wie paypal-secure.com oder paypal.login-update.com sind Fakes.
Mein Konto wurde kompromittiert, was jetzt?
Sofort Passwort von einem sicheren Gerät ändern, Zwei-Faktor-Authentifizierung aktivieren, Kreditkarten und Bank-Login prüfen. Bei finanziellem Schaden direkt die Sperr-Hotline 116 116 anrufen.
Misstrauen ist kein Pessimismus, sondern Selbstschutz.
- Absenderadresse, Dringlichkeitsdruck und falsche Link-Ziele verraten fast jede Phishing-Mail.
- Niemals Links aus E-Mails anklicken, Adresse lieber selbst eintippen.
- Anhänge nur öffnen, wenn du sie erwartest.
- Wenn doch geklickt: schnell Passwort ändern, Gerät vom Netz, Hilfe holen.
Passende Leistungen aus meinem Portfolio für dich:
Schreib mir kurz, ich höre zu.
Wenn dich das Thema betrifft oder du eine konkrete Frage hast, melde dich. Ich höre zu, frage nach, und überlege gemeinsam mit dir was wirklich Sinn macht.
Kontakt aufnehmen →