Phishing-E-Mails und -Webseiten: So erkennen Sie sie sicher

Erfahren Sie, wie Sie Phishing-E-Mails und gefälschte Webseiten erkennen, Warnzeichen prüfen und Ihre Daten vor Online-Betrug schützen.

Phishing-E-Mails und gefälschte Webseiten zählen zu den gefährlichsten Methoden, mit denen Kriminelle persönliche Daten stehlen. Täglich werden Millionen solcher Nachrichten verschickt – und die Angriffe werden immer raffinierter.

Dieser Artikel zeigt Ihnen Schritt für Schritt, woran Sie Phishing sicher erkennen, wie Sie sich schützen und was Sie im Ernstfall tun.

Was ist Phishing überhaupt?

Phishing bezeichnet den gezielten Versuch, Menschen durch gefälschte E-Mails, Webseiten oder Nachrichten zur Herausgabe vertraulicher Daten zu verleiten. Dazu zählen vor allem Passwörter, Bankdaten, Kreditkarteninformationen und Zugangsdaten zu Online-Konten. Der Begriff leitet sich vom englischen „fishing“ ab – die Täter „angeln“ nach Opfern. Außerdem gibt es eng verwandte Varianten wie Spear-Phishing (gezielte Angriffe auf bestimmte Personen), Smishing (per SMS) und Vishing (per Telefonanruf).

Phishing ist deshalb so wirkungsvoll, weil es nicht auf technische Sicherheitslücken setzt, sondern auf menschliche Reaktionen wie Angst, Neugier oder Zeitdruck. Zudem nutzen Angreifer reale Logos, echte Absenderadressen und täuschend echte Webseiten, um Vertrauen zu erzeugen.

Phishing-E-Mails erkennen: Die wichtigsten Warnsignale

Absenderadresse genau prüfen

Der erste und wichtigste Schritt ist jedoch die genaue Überprüfung der Absenderadresse. Kriminelle verwenden häufig Adressen, die echten sehr ähnlich sehen – zum Beispiel:

• service@paypa1.com statt service@paypal.com
• info@sparkasse-sicherheit.de statt einer offiziellen Sparkassen-Domain
• support@amazon-hilfe.net statt @amazon.de

Achten Sie deshalb besonders auf kleine Tippfehler, Bindestriche, Ziffern anstelle von Buchstaben oder ungewöhnliche Länder-Endungen wie .net, .xyz oder .info bei bekannten Unternehmen. Außerdem lohnt es sich, mit der Maus über den Absendernamen zu fahren, ohne zu klicken – dabei wird die echte E-Mail-Adresse sichtbar.

Betreffzeile und Inhalt analysieren

Phishing-Nachrichten arbeiten häufig mit künstlichem Zeitdruck und Drohungen. Typische Betreffzeilen sind:

• „Ihr Konto wird in 24 Stunden gesperrt“
• „Dringende Sicherheitsmeldung: Handeln Sie jetzt“
• „Sie haben eine Zahlung erhalten – bestätigen Sie jetzt“

Zudem enthalten viele Phishing-E-Mails unpersönliche Anreden wie „Sehr geehrter Kunde“ oder „Lieber Nutzer“, anstatt Ihren tatsächlichen Namen zu verwenden. Seriöse Unternehmen, bei denen Sie ein Konto haben, kennen Ihren Namen und verwenden ihn.

Sprache und Grammatik prüfen

Obwohl Phishing-E-Mails qualitativ immer besser werden, finden sich dennoch häufig Grammatikfehler, unnatürliche Formulierungen oder falsch verwendete Sonderzeichen. Außerdem nutzen viele Nachrichten maschinell übersetzte Texte, die zwar lesbar, aber stilistisch ungewöhnlich klingen. Besonders auffällig sind zudem fehlende Umlaute (ae statt ä, oe statt ö) – ein deutliches Zeichen für gefälschte E-Mails.

Links und Anhänge niemals leichtfertig öffnen

Links in verdächtigen E-Mails sind eine der häufigsten Angriffsmethoden. Fahren Sie mit der Maus über jeden Link, bevor Sie klicken – die angezeigte URL im Browser zeigt Ihnen, wohin der Link tatsächlich führt. Stimmt diese Adresse nicht mit dem erwarteten Unternehmen überein, handelt es sich höchstwahrscheinlich um Phishing.

Zusätzlich gilt: Öffnen Sie niemals unaufgeforderte E-Mail-Anhänge, insbesondere Dateien mit den Endungen .exe, .zip, .docm oder .js. Diese können Schadsoftware enthalten, die sich beim Öffnen automatisch installiert. Selbst vermeintlich harmlose PDF-Dateien können schadhafte Makros enthalten.

Anfragen nach persönlichen Daten hinterfragen

Seriöse Unternehmen – insbesondere Banken, Zahlungsdienstleister und Behörden – fordern Sie niemals per E-Mail auf, Passwörter, PIN-Nummern, TANs oder Kreditkartendaten einzugeben oder zu bestätigen. Erhalten Sie eine solche Anfrage, ist höchste Vorsicht geboten. Kontaktieren Sie das betreffende Unternehmen in diesem Fall direkt über die offizielle Webseite oder Telefonnummer – niemals über die in der E-Mail angegebenen Kontaktdaten.

Phishing-Webseiten erkennen: So entlarven Sie gefälschte Seiten

Die URL der Webseite genau lesen

Phishing-Webseiten sind oft täuschend echt gestaltet. Deshalb ist die URL-Überprüfung der wichtigste Schutz. Beachten Sie dabei:

• Die Domain vor dem ersten einfachen Schrägstrich ist entscheidend. Bei www.sparkasse.de.login.phishingseite.com ist die eigentliche Domain phishingseite.com – nicht sparkasse.de.
• Prüfen Sie auf Schreibfehler in der Domain: arnaz0n.de, paypa1.com oder volksbank-sicherheit.net sind keine echten Unternehmensadressen.
• Zudem nutzen Angreifer sogenannte Subdomain-Täuschung: login.paypal.com.betrugseite.de sieht auf den ersten Blick nach PayPal aus, ist es aber nicht.

HTTPS allein schützt nicht

Ein weit verbreiteter Irrglaube ist, dass ein Schloss-Symbol im Browser oder eine HTTPS-Verbindung die Sicherheit einer Seite garantiert. Tatsächlich bedeutet HTTPS lediglich, dass die Verbindung verschlüsselt ist – nicht aber, dass die Webseite seriös ist. Außerdem nutzen mittlerweile über 80 % aller Phishing-Seiten HTTPS, um das Vertrauen der Nutzer zu erschleichen. Verlassen Sie sich deshalb nicht allein auf das Schloss-Symbol.

Impressum, Datenschutz und Kontakt prüfen

Legitime Webseiten verfügen über ein vollständiges Impressum mit Anschrift, Handelsregisternummer und Verantwortlichen. Phishing-Seiten hingegen haben häufig kein Impressum, ein leeres Impressum oder nur generische Platzhalterdaten. Zudem fehlen oft funktionierende Kontaktformulare oder Telefonnummern.

Webseite über offizielle Kanäle aufrufen

Die sicherste Vorgehensweise ist: Geben Sie die Adresse des Unternehmens immer manuell in die Adressleiste Ihres Browsers ein oder nutzen Sie ein gespeichertes Lesezeichen. Folgen Sie niemals Links aus E-Mails oder SMS-Nachrichten, um sich bei sensiblen Konten anzumelden. Außerdem empfiehlt es sich, bei Banken und wichtigen Diensten die offizielle App aus dem App Store oder Google Play Store zu verwenden, anstatt die mobile Webseite aufzurufen.

Technische Schutzmaßnahmen gegen Phishing

Anti-Phishing-Filter in E-Mail-Programmen aktivieren

Microsoft Outlook und Mozilla Thunderbird bieten integrierte Anti-Spam- und Anti-Phishing-Filter. Stellen Sie sicher, dass diese in den Einstellungen aktiviert sind. Außerdem sollten Sie in Gmail unter Einstellungen → Sicherheit die erweiterten Phishing-Schutzoptionen aktivieren – Google verwendet dabei KI-basierte Mustererkennung, um verdächtige Nachrichten automatisch zu markieren.

Einen aktuellen Virenschutz verwenden

Empfehlenswert ist der Einsatz von Bitdefender Total Security oder ESET Internet Security, da beide Programme nicht nur Viren erkennen, sondern auch Echtzeit-Phishing-Schutz für den Browser bieten. Die Installation erfolgt so:

1. Besuchen Sie die offizielle Webseite (bitdefender.com bzw. eset.com/de)
2. Wählen Sie das gewünschte Paket und laden Sie den Installer herunter
3. Führen Sie die Installation durch und aktivieren Sie den Webbrowser-Schutz in den Programmeinstellungen
4. Aktivieren Sie automatische Updates, damit die Phishing-Datenbank stets aktuell bleibt

Browser-Erweiterungen für zusätzlichen Schutz

Zusätzlich empfiehlt sich die Browser-Erweiterung Netcraft Extension (verfügbar für Chrome und Firefox), die verdächtige Webseiten in Echtzeit erkennt und blockiert. Die Installation dauert weniger als eine Minute:

1. Öffnen Sie den Chrome Web Store oder Firefox Add-ons
2. Suchen Sie nach „Netcraft Extension“
3. Klicken Sie auf „Hinzufügen“ und bestätigen Sie die Berechtigungen
4. Die Erweiterung arbeitet danach automatisch im Hintergrund

Ebenso bietet uBlock Origin (kostenlos, für alle gängigen Browser) Schutz vor bekannten Phishing-Domains durch regelmäßig aktualisierte Filterlisten.

Zwei-Faktor-Authentifizierung einrichten

Die Zwei-Faktor-Authentifizierung (2FA) ist eine der wirkungsvollsten Schutzmaßnahmen überhaupt. Selbst wenn Angreifer Ihr Passwort erbeuten, können sie sich ohne den zweiten Faktor nicht einloggen. Richten Sie 2FA mit der App Google Authenticator oder Authy ein:

1. Laden Sie die App aus dem App Store/Google Play herunter
2. Öffnen Sie in Ihrem Konto (z. B. Google, PayPal, Amazon) die Sicherheitseinstellungen
3. Wählen Sie „Zwei-Faktor-Authentifizierung“ oder „Bestätigung in zwei Schritten“
4. Scannen Sie den QR-Code mit der Authenticator-App
5. Geben Sie den angezeigten Code zur Bestätigung ein

Außerdem sollten Sie für jeden Dienst ein einzigartiges, langes Passwort verwenden. Der Passwort-Manager Bitwarden (kostenlos und Open Source) hilft dabei, sichere Passwörter zu generieren und sicher zu speichern.

Aktuelle Phishing-Maschen 2025/2026

QR-Code-Phishing (Quishing)

Eine zunehmend verbreitete Methode ist das sogenannte Quishing: Angreifer versenden E-Mails mit QR-Codes, die auf Phishing-Seiten weiterleiten. Deshalb sollten Sie QR-Codes in E-Mails grundsätzlich mit Skepsis begegnen und die angezeigte URL vor dem Öffnen genau prüfen. Nutzen Sie dafür einen QR-Scanner mit URL-Vorschau, zum Beispiel die App Kaspersky QR Scanner.

KI-generierte Phishing-E-Mails

Durch den Einsatz von künstlicher Intelligenz sind sprachlich fehlerfreie Phishing-E-Mails mittlerweile keine Seltenheit mehr. Außerdem imitieren moderne Angriffe präzise den Schreibstil bekannter Unternehmen. Deshalb reicht die Prüfung auf Grammatikfehler allein nicht mehr aus – die übrigen Merkmale wie Absenderadresse, Verlinkung und Inhalt müssen zusätzlich geprüft werden.

Deepfake-Phishing und CEO-Fraud

Beim sogenannten CEO-Fraud erhalten Mitarbeiter von Unternehmen gefälschte E-Mails oder sogar Sprachnachrichten, die scheinbar vom Chef stammen und zur dringenden Überweisung von Geld auffordern. Zudem werden zunehmend Deepfake-Videoanrufe eingesetzt, um Vertrauen zu erzeugen. Klären Sie in Ihrem Unternehmen deshalb eindeutige Prozesse für finanzielle Anfragen und Datenweitergabe.

Was tun, wenn Sie auf eine Phishing-E-Mail hereingefallen sind?

Sofortmaßnahmen einleiten

Haben Sie versehentlich Ihre Daten auf einer Phishing-Seite eingegeben oder einen verdächtigen Anhang geöffnet, gehen Sie sofort wie folgt vor:

1. Passwörter sofort ändern – beginnen Sie mit dem betroffenen Konto, dann mit allen anderen Konten, bei denen Sie dasselbe Passwort verwenden
2. Ihre Bank kontaktieren, falls Bankdaten betroffen sind – lassen Sie Karten sperren (Sperr-Notruf Deutschland: 116 116)
3. Virenscan durchführen mit einem aktuellen Antivirenprogramm
4. Zwei-Faktor-Authentifizierung aktivieren, sofern noch nicht geschehen
5. Anzeige erstatten bei der Polizei – viele Bundesländer bieten Online-Anzeigen an

Phishing melden

Melden Sie verdächtige E-Mails außerdem direkt an die betroffenen Unternehmen (z. B. phishing@paypal.com) sowie an die Verbraucherzentrale unter verbraucherzentrale.de/phishing. Zudem nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Meldungen über bsi.bund.de entgegen.

Häufige Fragen zu Phishing-E-Mails und gefälschten Webseiten

Wie erkenne ich eine Phishing-E-Mail auf den ersten Blick?

Prüfen Sie als Erstes die Absenderadresse auf Schreibfehler oder unbekannte Domains. Außerdem deuten unpersönliche Anreden, Zeitdruck, Drohungen und Aufforderungen zur Dateneingabe stark auf Phishing hin. Fahren Sie zudem mit der Maus über Links, um die tatsächliche Zieladresse zu sehen – öffnen Sie nichts, das verdächtig wirkt.

Ist eine Phishing-E-Mail gefährlich, wenn ich sie nur lese?

Das bloße Öffnen und Lesen einer E-Mail ist in den meisten Fällen ungefährlich. Gefährlich wird es jedoch, wenn Sie auf Links klicken, Anhänge öffnen oder persönliche Daten eingeben. Deshalb sollten Sie verdächtige Nachrichten grundsätzlich löschen, ohne mit Inhalten zu interagieren.

Kann mein E-Mail-Anbieter Phishing-Mails erkennen?

Ja, moderne E-Mail-Dienste wie Gmail, GMX oder Web.de nutzen automatische Filter, die viele Phishing-Nachrichten erkennen und in den Spam-Ordner verschieben. Dennoch sind diese Filter nicht perfekt – außerdem werden gezielte Spear-Phishing-Angriffe häufig nicht erkannt. Zusätzlicher Schutz durch Antivirensoftware und eigene Aufmerksamkeit ist deshalb weiterhin notwendig.

Woran erkenne ich eine gefälschte Webseite?

Achten Sie auf Schreibfehler in der URL, ungewöhnliche Domain-Endungen, fehlende Impressumsangaben und unprofessionelles Design. Außerdem sollten Sie die vollständige URL stets manuell in die Adressleiste eingeben, anstatt Links zu folgen. Nützlich ist zudem die Browser-Erweiterung Netcraft, die bekannte Phishing-Seiten automatisch blockiert.

Was bedeutet „Spear-Phishing“ und wie unterscheidet es sich von normalem Phishing?

Spear-Phishing ist ein gezielter Angriff auf eine bestimmte Person oder Organisation. Im Gegensatz zu massenversandtem Phishing enthalten Spear-Phishing-Nachrichten persönliche Informationen wie Ihren Namen, Ihre Position oder Ihre Kontonummer, um besonders glaubwürdig zu wirken. Deshalb ist diese Methode gefährlicher und schwerer zu erkennen.

Schützt mich HTTPS vor Phishing?

Nein. HTTPS bedeutet lediglich, dass die Datenübertragung zwischen Ihrem Browser und dem Server verschlüsselt ist. Außerdem können auch Phishing-Seiten ein gültiges SSL-Zertifikat besitzen und dadurch das Schloss-Symbol anzeigen. Vertrauen Sie daher niemals allein auf HTTPS – prüfen Sie immer zusätzlich die vollständige URL.

Was soll ich mit einer Phishing-E-Mail machen?

Löschen Sie die E-Mail ohne auf Links zu klicken oder Anhänge zu öffnen. Zusätzlich können Sie die Nachricht als Spam markieren, damit Ihr E-Mail-Anbieter seinen Filter verbessern kann. Außerdem empfiehlt es sich, die E-Mail an das imitierte Unternehmen weiterzuleiten, damit dieses gewarnt ist.

Wie schütze ich mein Unternehmen vor Phishing-Angriffen?

Empfehlenswerte Vorgehensweisen für Unternehmen umfassen regelmäßige Schulungen der Mitarbeiter, den Einsatz von E-Mail-Sicherheitslösungen wie Proofpoint oder Mimecast, die Einführung von 2FA für alle Unternehmenskonten sowie klare Prozesse für die Freigabe von Zahlungen und sensiblen Datenweitergaben. Außerdem sollten E-Mail-Sicherheitsstandards wie SPF, DKIM und DMARC konfiguriert sein.

Was ist der Unterschied zwischen Phishing und Pharming?

Beim Pharming werden Sie – anders als beim Phishing – ohne Ihr Zutun auf eine gefälschte Webseite weitergeleitet, obwohl Sie die richtige Adresse eingegeben haben. Dies geschieht durch Manipulation des DNS-Systems oder durch Schadsoftware auf Ihrem Gerät. Deshalb ist auch ein aktueller Virenschutz und ein sicherer Router wichtig.

Kann ich Phishing-Versuche melden und wenn ja, wo?

Ja. Sie können verdächtige E-Mails und Webseiten beim BSI (bsi.bund.de), der Verbraucherzentrale (verbraucherzentrale.de/phishing) und direkt beim imitierten Unternehmen melden. Außerdem nimmt die Polizei Anzeigen entgegen – in vielen Bundesländern online unter yourpolicedepartment.de oder über das jeweilige Landesportal.

Fazit

Phishing-E-Mails und gefälschte Webseiten sind eine ernste Bedrohung, die jeden treffen kann. Deshalb ist es entscheidend, die Warnsignale zu kennen: verdächtige Absenderadressen, Zeitdruck, fehlerhafte URLs und Dateneingaben über Links. Außerdem schützen technische Maßnahmen wie Antivirensoftware, 2FA und Browser-Erweiterungen zuverlässig vor den häufigsten Angriffen.

Wer aufmerksam bleibt und die empfohlenen Vorgehensweisen konsequent anwendet, reduziert sein Risiko erheblich. Im Zweifel gilt stets: nicht klicken, nicht eingeben, direkt beim Unternehmen nachfragen.