Zurück zur Übersicht

Phishing einfach erklärt

Kaum eine Gefahr im Internet ist so präsent wie Phishing. Dabei führen gefälschte Links auf Phishing-Seiten, die Nutzer dazu bringen sollen, vertrauliche Daten wie Passwörter oder Login-Daten preiszugeben. Wir zeigen Ihnen, wie Sie sich davor schützen können.
  Von Kieran – Lesedauer: 6 Min.

 

In diesem Blog-Artikel ...

Kurz gesagt: Was ist Phishing?

Phishing ist eine Form des sogenannten "Social Engineerings". Hierbei wird die "Schwachstelle Mensch" gezielt ausgenutzt, um technische Sicherheitsbarrieren zu umgehen. Ziel von Phishing ist es, an sensible Zugangsdaten zu gelangen oder sogar Computer und ganze Netzwerke durch Schadsoftware lahmzulegen.

Was bedeutet Phishing auf Englisch?

Der Begriff leitet sich vom englischen Wort "fishing" ab. Das bedeutet "Angeln" oder "Fischen". Und genau das tun Kriminelle auch: Sie werfen einen digitalen Köder aus, um unschuldige Nutzerinnen und Nutzer zum Anbeißen zu bewegen.

Wie eingangs beschrieben versuchen die Betrüger, ihre Opfer dazu zu bringen, sensible Daten preiszugeben oder anderweitig unbedacht zu handeln.

So läuft eine Phishing-Attacke ab

Phishing umfasst verschiedene Formen von Cyberangriffen, die im Ablauf oft ähnlich funktionieren. Zunächst versenden die Kriminellen eine gefälschte Nachricht über einen beliebigen Messenger an ahnungslose Nutzer.

In der Regel wirkt die Nachricht offiziell und verspricht beispielsweise einen Bonus oder warnt vor einem angeblichen Sicherheitsproblem. Mit Formulierungen wie "Achtung, nur noch heute!", "Jetzt sofort handeln!" oder "Deine einzigartige Gelegenheit!" erzeugen die Betrüger dabei gezielt Dringlichkeit, um unbedachtes Handeln zu provozieren. Je nach Masche nutzen sie aber auch Drohungen wie "Wenn nicht, … dann..." oder "…müssen Sie bis spätestens…, sonst …".

Zusätzlich enthält die Nachricht einen gefälschten Link, einen kompromittierten Anhang oder eine Zahlungsaufforderung. Die Angreifer versuchen dabei alles, um seriös zu wirken: Sowohl die Nachricht als auch die verlinkte Webseite ähneln offiziellen Seiten, und sogar echte Absenderadressen werden imitiert.

Gelingt der Betrug, kann dies verschiedene Folgen haben:

  • Über den gefälschten Anhang wird Schadsoftware installiert.
  • Das Opfer überweist Geld an die Betrüger.
  • Er/sie landet auf einer gefälschten Webseite, auf der Zugangsdaten zu privaten Accounts oder sogar zu seinem Bankkonto eingegeben werden sollen.

Wichtig: Die Phishing-Mails können dabei sehr unterschiedlich aussehen und in den verschiedensten Zusammenhängen auftauchen.

Ein Mann sitzt mit seiner Kreditkarte in der Hand vor seinem Laptop.
Geben Sie niemals voreilig Ihre Bankdaten oder andere persönliche Informationen preis!

Welche drei Arten von Phishing-E-Mails gibt es?

Phishing-Nachrichten lassen sich in drei Kategorien einteilen, die die unterschiedlichen Herangehensweisen abbilden.

1. Massen-Phishing

Das Massen- oder Bulk-Phishing ist die klassische Form des Betrugs. Hierbei versenden Cyberkriminelle massenhaft Fake-Mails an Tausende Empfänger, in der Hoffnung, dass einige nicht aufmerksam genug sind. Diese Methode ist besonders ressourcenschonend, kann aber dennoch viele Zugangsdaten einbringen.

Bekannte Varianten des Massen-Phishings sind das sogenannte Chain Phishing und Botnet Phishing:

  • Beim Botnet Phishing nutzen Kriminelle ein Netzwerk gekaperter Computer, um die Rechenleistung für den Versand von Phishing-Mails zu verwenden.
  • Chain Phishing ist besonders in den sozialen Medien beliebt. Haben die Betrüger die Zugangsdaten eines Nutzers erbeutet, versenden sie von dessen Profil aus Phishing-Mails an die Kontakte des Nutzers. Da bekannten Absendern in der Regel vertraut wird, verbreiten sich die gefälschten Nachrichten besonders schnell.

2. Spear-Phishing

Achtung: besonders gefährlich! Spear-Phishing ist deutlich gezielter und perfider. Mittels KI erstellen die Betrüger personalisierte Nachrichten, die exakt auf eine bestimmte Person oder Organisation zugeschnitten sind.

Wie genau Spear-Phishing funktioniert und wie Sie sich davor schützen können, erklären wir in unserem Artikel.

3. CEO-Fraud

Diese Phishing-Art findet im beruflichen Kontext statt. Beim CEO-Fraud geben sich die Betrüger gegenüber Mitarbeitenden als Geschäftsführer oder andere Führungskräfte aus. Häufig enthalten die betrügerischen E-Mails keinen Link, sondern fordern eine Zahlungsüberweisung oder enthalten Schadsoftware im Anhang.

In unserem Überblick zu diesem Thema zeigen wir Ihnen einige Beispiele aktueller Phishing-Nachrichten.

So können Sie Phishing erkennen

Phishing-Nachrichten zu erkennen, ist oft gar nicht so einfach. Klassische Indizien wie häufige Rechtschreibfehler, falsche Namen und Grafiken sowie kryptische E-Mail-Adressen gehören dank KI längst der Vergangenheit an.

Besonders gefährlich: Beim sogenannten Spoofing nutzen Kriminelle sogar täuschend echte E-Mail-Adressen. Wie Sie diese Angriffe dennoch enttarnen können, zeigen wir Ihnen in unserem Artikel.

Wenn Sie eine vermeintliche Phishing-Nachricht von einer Organisation oder einem Unternehmen erhalten, sollten Sie sich zunächst immer Fragen stellen wie:

  • Besitze ich wirklich ein Kundenkonto mit dieser E-Mail-Adresse bei diesem Unternehmen?
  • Habe ich tatsächlich etwas bestellt?
  • Erwarte ich tatsächlich ein Päckchen von diesem Versanddienstleister – und wenn ja: Stimmt die Sendungsnummer mit der Nummer aus der Original-Bestellmail überein, oder ist es Betrug, z. B. im Rahmen des Black Friday oder Weihnachtsgeschäfts?

Auch der Inhalt der Nachricht kann Aufschluss geben: Banken, Versicherungen und viele Unternehmen versenden wichtige Informationen häufig per Post oder stellen sie im geschützten Kundenbereich bereit.

Sind Sie sich also wirklich sicher, dass eine solche Nachricht per E-Mail zugestellt werden würde? Fordert die E-Mail Sie dazu auf, auf einen Link zu klicken und sich dort anzumelden? Dann sollten alle Alarmglocken läuten. Denn seriöse Unternehmen verweisen in der Regel auf Ihr Kundenkonto auf der offiziellen Webseite und fordern Sie nicht dazu auf, sensible Daten über einen eingebetteten Link einzugeben.

Enthält die Nachricht einen Link oder einen Anhang, weist dieser auch bestimmte Merkmale auf.
Ist der Link in der E-Mail verkürzt dargestellt, können Sie die tatsächliche Zieladresse einsehen, ohne darauf zu klicken: Halten Sie den Link auf dem Smartphone lange gedrückt (nicht kurz, sonst öffnen Sie ihn) oder fahren Sie am Computer mit der Maus darüber.

Seriöse Webseiten verfügen beispielsweise über eine SSL-Verschlüsselung und beginnen mit "https", Phishing-Webseiten sind oft nicht verschlüsselt.

Vorsicht: Nur weil eine Seite über das "s" verfügt, heißt das nicht automatisch, dass sie sicher ist! Rufen Sie im Zweifel die offizielle Seite des Unternehmens direkt im Browser auf und gleichen Sie die URL mit der im Link angegebenen Adresse ab. Schon kleine Abweichungen sollten ein Warnsignal sein.

Tipp: Nutzen Sie Lesezeichen für Ihre wichtigsten Webseiten. So können Sie jederzeit auf die offizielle Webseite gelangen und sitzen keinem Betrug auf.

Auch E-Mail-Anhänge weisen typische Phishing-Merkmale auf, auf die Sie achten sollten: 

Senden Unternehmen Ihnen Rechnungen oder andere Dokumente zu, geschieht das in der Regel als PDF-Datei. Dateiendungen wie .exe oder .bat weisen auf ausführbare Dateien hin. Hier verbergen sich oft Downloads von Schadsoftware, etwa Trojanern. Auch .zip- oder .rar-Dateien können schädliche Inhalte transportieren.

Im Allgemeinen sollten Sie sich immer bewusst machen: "Ergibt diese Nachricht wirklich Sinn?" Überlegen Sie lieber einen Moment länger, bevor Sie einen Link öffnen, so vermeiden Sie unnötige Risiken.

Was ist die beste Verteidigung gegen Phishing?

WEB.DE setzt verschiedene Maßnahmen um, damit Ihre Sicherheit im Internet bestmöglich gewährleistet ist. Welche genau das sind, erfahren Sie in unserem Artikel zu dem Thema.

Doch der effektivste Schutz kommt von Ihnen selbst:

Wenn Sie sich im Internet umsichtig verhalten und verdächtige Nachrichten kritisch hinterfragen, reduzieren Sie das Risiko, Opfer von Phishing zu werden, deutlich.

Zusätzlich empfiehlt sich die Nutzung der Zwei-Faktor-Authentifizierung. So erhalten Kriminelle keinen Zugriff auf Ihr Konto, selbst wenn Ihr Passwort kompromittiert wurde. Auch ein Passwortmanager ist sehr nützlich: Diese Programme füllen Ihre Zugangsdaten automatisch auf den entsprechenden Webseiten aus. Wird eine Webseite nicht erkannt, ist das ein Warnzeichen für eine gefälschte Seite.

Wer auf einen Phishing-Link geklickt hat, sollte schnell und überlegt handeln. Denn je nachdem, ob die Seite lediglich geöffnet wurde oder ob zusätzlich Login-Daten eingegeben wurden, ist eine unterschiedliche Reaktion erforderlich. In unserem Blogartikel zeigen wir Ihnen, wie Sie in jedem Szenario am besten reagieren, um den Schaden möglichst zu begrenzen.

FAQ: Häufige Fragen zum Thema Phishing

Wie spricht man Phishing aus?

Phishing wird wie "Fisching" ausgesprochen, also ähnlich wie das englische Wort für "Fischen". Der Begriff ist ein Kompositum von "fishing" und "phreaking", Englisch für "hacken", und steht für das gezielte Angeln nach sensiblen Daten über gefälschte E-Mails oder Webseiten.

Wie viel Prozent der Cyberangriffe starten über eine Phishing-E-Mail?

Wie eine Studie der Universität Würzburg zeigt, starten 92 % aller Cyberangriffe mit einer Phishing-Mail. Gleichzeitig wurden im Rahmen der Studie Phishing-Test-Mails verschickt, und fast 75 % aller Nutzerinnen und Nutzer öffneten mindestens eine der drei Test-Mails

. Somit ist der Mensch zumeist tatsächlich die entscheidende Schwachstelle in der Internetsicherheit.

Wo finde ich den wer-Bereich in der URL?

Der sogenannte "Wer"-Bereich in einer URL bezeichnet die Domain, also den Teil, der angibt, welches Unternehmen oder welche Organisation die Webseite betreibt. Er steht zwischen "https://" und dem ersten Schrägstrich. Beispiel: Bei "https://web.de/blog/" ist der "Wer"-Bereich "web.de". Dieser Bereich gibt oft Aufschluss, ob der Link auf eine "echte", vertrauenswürdige Seite führt.

Wie hoch sind die Kosten einer Phishing Simulation?

Sie möchten Ihre Mitarbeitenden für Phishing-Angriffe sensibilisieren? Hierbei kann eine sogenannte Phishing-Simulation helfen, bei der Mitarbeiter realistische, aber harmlose Phishing-E-Mails erhalten. Die Kosten für eine Phishing-Simulation variieren je nach Anbieter und Umfang. Für kleine Unternehmen beginnen sie oft bei 100–300 Euro, größere Firmen investieren mehrere Tausend Euro, wenn umfangreiche Tests und Schulungen für viele Mitarbeitende durchgeführt werden.

Was ist ein Harvester beim Phishing?

Sie fragen sich, wie Cyberkriminelle an so viele E-Mail-Adressen kommen? Sogenannte Harvester spielen hier eine wichtige Rolle: Ein Harvester (zu Deutsch: Erntemaschine) ist ein Tool, das von Angreifern verwendet wird, um automatisch E-Mail-Adressen, Benutzernamen und andere persönliche Daten aus dem Internet zu sammeln. Diese Informationen werden später für gezielte Phishing-Angriffe, wie beispielsweise Spear-Phishing, genutzt.

Wo melde ich Phishing-E-Mails?

In Ihrem WEB.DE-Webpostfach finden Sie in der Menüleiste die Auswahl "Spam". In der App tippen Sie dafür auf die drei Punkte und wählen dann "Spam melden". Auch bei anderen E-Mail-Anbietern finden Sie in der Regel einen Knopf wie "Spam/Phishing melden".

Und wie melde ich Phishing-E-Mails in Outlook? Hier wählen Sie in der geöffneten E-Mail "Junk-E-Mail" und dann "Phishing melden". Wichtig: Löschen Sie Spam-E-Mails nicht einfach nur, sondern melden Sie die Nachricht immer als Spam. So fängt Ihr Spam-Filter zukünftige Nachrichten besser ab.

Besonders im beruflichen Kontext empfiehlt es sich außerdem, verdächtige Nachrichten gleich an Ihre IT-Abteilung weiterzuleiten.
 

Dieser Artikel erschien erstmalig am 25.03.2019 und wurde am 06.04.2026 überarbeitet.

Wenn Sie den Artikel hilfreich fanden, teilen Sie ihn gerne auch per E-Mail.

Themen

Sicherheit Phishing

6.386 Personen finden diesen Artikel hilfreich.

Ähnliche Artikel

Diese Phishing-Beispiele sollten Sie kennen

Seien Sie gewarnt.

Phishing-Link geöffnet – was tun?

Was sind mögliche Folgen?

World Backup Day: Fotos & Daten mit einem Backup sicher schützen

Digitales bewahren!