Erfahren Sie, was Phishing ist, wie Cyberkriminelle Daten stehlen und mit welchen einfachen Tipps Sie sich vor Phishing-Mails und Online-Betrug schützen.
Phishing ist eine der häufigsten Formen von Internetbetrug, bei der Kriminelle gefälschte E-Mails, Webseiten oder Nachrichten einsetzen, um persönliche Daten wie Passwörter, Kreditkartennummern oder Bankdaten zu stehlen. Dabei geben sich Angreifer als vertrauenswürdige Absender aus – zum Beispiel als Bank, Onlineshop oder Behörde.
Dieser Artikel erklärt, wie Phishing funktioniert, welche Arten es gibt und wie Sie sich effektiv schützen.
Was bedeutet Phishing?
Der Begriff „Phishing“ setzt sich aus den englischen Wörtern „Password“ und „Fishing“ zusammen – also wörtlich übersetzt „nach Passwörtern angeln“. Dabei handelt es sich um eine Form des Social Engineering, bei der Betrüger das Vertrauen ihrer Opfer ausnutzen, anstatt technische Sicherheitslücken anzugreifen.
Phishing ist außerdem keine neue Erscheinung. Bereits seit den frühen 2000er-Jahren ist es als Angriffsmethode bekannt. Jedoch hat sich die Qualität der Angriffe seither erheblich verbessert. Deshalb fallen heute auch technisch versierte Nutzer auf gut gemachte Phishing-Versuche herein. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zählt Phishing in Deutschland auch 2026 zu den größten Cyberbedrohungen für Privatpersonen und Unternehmen.
Zudem verursachen Phishing-Angriffe weltweit jährlich Schäden in Milliardenhöhe. Ebenso sind nicht nur Privatpersonen betroffen – auch mittelständische Unternehmen und Konzerne werden regelmäßig Opfer gezielter Phishing-Kampagnen.
Wie funktioniert ein Phishing-Angriff?
Im Wesentlichen folgt ein Phishing-Angriff einem typischen Muster, das sich in drei Schritte unterteilen lässt:
Schritt 1 – Köder auslegen: Zunächst erstellt der Angreifer eine täuschend echte E-Mail oder Nachricht. Diese wirkt zum Beispiel wie eine offizielle Mitteilung Ihrer Bank, von PayPal, Amazon oder einer Behörde. Dabei werden echte Logos, Farbschemen und sogar korrekte Absenderadressen imitiert.
Schritt 2 – Opfer verleiten: Anschließend fordert die Nachricht das Opfer dazu auf, einen Link anzuklicken, einen Anhang zu öffnen oder persönliche Daten einzugeben. Oft wird dabei künstliche Dringlichkeit erzeugt – zum Beispiel: „Ihr Konto wird gesperrt, wenn Sie nicht sofort handeln.“
Schritt 3 – Daten abgreifen: Sobald das Opfer auf den Link klickt, landet es auf einer gefälschten Webseite, die optisch identisch mit der echten aussieht. Dort eingegebene Daten wie Benutzername, Passwort oder Kreditkartennummer landen direkt beim Angreifer.
Zusätzlich nutzen viele Angreifer sogenannte „Lookalike-Domains“ – also Webadressen, die der echten Domain sehr ähnlich sehen. Zum Beispiel „paypa1.com“ statt „paypal.com“. Deshalb ist es wichtig, Webadressen stets genau zu prüfen.
Die häufigsten Arten von Phishing
Phishing ist nicht gleich Phishing. Deshalb ist es sinnvoll, die verschiedenen Arten zu kennen:
E-Mail-Phishing
E-Mail-Phishing ist die mit Abstand häufigste Variante. Dabei erhalten Betroffene massenweise gefälschte E-Mails, die zum Handeln auffordern. Außerdem enthalten diese Nachrichten oft schädliche Links oder infizierte Dateianhänge.
Spear-Phishing
Beim Spear-Phishing handelt es sich um gezielte Angriffe auf einzelne Personen oder Unternehmen. Im Gegensatz zu massenhaften E-Mail-Angriffen recherchieren Kriminelle hierbei zunächst detailliert über ihr Opfer – zum Beispiel über soziale Netzwerke wie LinkedIn oder Xing. Deshalb wirken diese Nachrichten besonders glaubwürdig und persönlich.
Smishing
Smishing bezeichnet Phishing per SMS. Dabei verschicken Betrüger gefälschte Textnachrichten, die beispielsweise vorgeben, von der Post, einem Paketdienst oder der Krankenkasse zu stammen. Zudem sind solche Nachrichten in Deutschland seit 2020 stark auf dem Vormarsch.
Vishing
Beim Vishing (Voice-Phishing) rufen Angreifer ihre Opfer direkt an. Sie geben sich dabei zum Beispiel als Bankmitarbeiter, Polizisten oder Microsoft-Support aus. Ebenso setzen sie dabei auf psychologischen Druck, um schnelle Entscheidungen zu erzwingen.
Pharming
Pharming ist eine fortgeschrittene Form, bei der Nutzer auf gefälschte Webseiten umgeleitet werden, ohne selbst auf einen Link geklickt zu haben. Dabei wird der DNS-Server manipuliert, sodass selbst korrekt eingegebene Webadressen auf betrügerische Seiten führen.
Clone-Phishing
Beim Clone-Phishing kopieren Angreifer eine echte, zuvor versendete E-Mail. Anschließend ersetzen sie darin legitime Links durch schädliche. Da die E-Mail einer echten Nachricht ähnelt, ist sie besonders schwer zu erkennen.
Whaling
Whaling richtet sich speziell gegen Führungskräfte und Entscheider in Unternehmen. Der Begriff leitet sich vom englischen Wort für „Wal“ ab – da hier „große Fische“ ins Visier genommen werden. Deshalb ist diese Methode besonders gefährlich für Unternehmen.
Phishing erkennen: Typische Merkmale
Damit Sie sich schützen können, sollten Sie typische Warnsignale kennen. Glücklicherweise lassen sich viele Phishing-Versuche anhand folgender Merkmale erkennen:
- Unerwartete Aufforderung: Sie werden unerwartet aufgefordert, persönliche Daten preiszugeben oder einen Link anzuklicken.
- Dringlichkeit und Drohungen: Formulierungen wie „Ihr Konto wird gesperrt“ oder „Handeln Sie jetzt“ sollen Panik auslösen.
- Rechtschreib- und Grammatikfehler: Obwohl Phishing-E-Mails immer professioneller werden, sind fehlerhafte Texte noch immer ein Hinweis.
- Verdächtige Absenderadressen: Außerdem lohnt sich ein genauer Blick auf die E-Mail-Adresse des Absenders. Zum Beispiel „service@amazon-support-kunden.de“ statt „@amazon.de“.
- Fehlende persönliche Anrede: Viele Phishing-Mails beginnen mit „Sehr geehrter Kunde“ statt mit Ihrem echten Namen.
- Verdächtige Links: Fahren Sie mit der Maus über einen Link (ohne zu klicken), um die echte Zieladresse zu sehen. Stimmt sie nicht mit dem angezeigten Text überein, handelt es sich wahrscheinlich um Phishing.
- Ungewöhnliche Dateianhänge: Öffnen Sie niemals Anhänge wie .exe, .zip oder .pdf von unbekannten Absendern.
Zusätzlich gilt: Je persönlicher eine Nachricht wirkt, desto vorsichtiger sollten Sie sein – denn das kann auf Spear-Phishing hindeuten.
Aktuelle Phishing-Trends 2026
Phishing entwickelt sich ständig weiter. Deshalb ist es wichtig, aktuelle Entwicklungen zu kennen:
KI-gestützte Phishing-Angriffe nehmen stark zu. Dabei nutzen Kriminelle künstliche Intelligenz, um personalisierte, fehlerfreie und überzeugend klingende Nachrichten in großem Maßstab zu erstellen. Ebenso werden KI-Modelle eingesetzt, um Stimmen zu klonen – ein Trend, der das Vishing erheblich gefährlicher macht.
QR-Code-Phishing (auch „Quishing“ genannt) ist 2026 ein wachsendes Problem. Dabei ersetzen Betrüger legitime QR-Codes – zum Beispiel auf Parkscheinautomaten oder in Restaurants – durch manipulierte Codes, die auf gefälschte Webseiten führen.
Außerdem werden Messaging-Dienste wie WhatsApp, Telegram und Teams zunehmend als Phishing-Kanal missbraucht. Deshalb sollten Sie auch dort bei unbekannten Absendern und unerwarteten Links vorsichtig sein.
Was tun, wenn Sie auf Phishing hereingefallen sind?
Falls Sie vermuten, Opfer eines Phishing-Angriffs geworden zu sein, sollten Sie sofort handeln. Dabei sind folgende Schritte besonders wichtig:
1. Passwörter sofort ändern: Ändern Sie zunächst umgehend alle betroffenen Passwörter – insbesondere bei E-Mail-Konten, Online-Banking und Onlineshops. Nutzen Sie dafür einen sicheren Computer, der nicht kompromittiert ist.
2. Bank kontaktieren: Falls Sie Bankdaten oder Kreditkarteninformationen eingegeben haben, rufen Sie sofort den Kundenservice Ihrer Bank an. In Deutschland ist die allgemeine Sperr-Hotline 116 116 rund um die Uhr erreichbar, um Karten und Online-Banking zu sperren.
3. Zwei-Faktor-Authentifizierung aktivieren: Aktivieren Sie, wo immer möglich, die Zwei-Faktor-Authentifizierung (2FA), um betroffene Konten besser zu schützen.
4. Computer auf Schadsoftware prüfen: Falls Sie einen Anhang geöffnet haben, sollten Sie außerdem Ihren Computer mit einem aktuellen Antivirenprogramm scannen. Empfehlenswert ist hierfür zum Beispiel Malwarebytes (kostenlose Version verfügbar): Besuchen Sie malwarebytes.com, laden Sie die kostenlose Version herunter, installieren Sie das Programm und starten Sie einen vollständigen Systemscan.
5. Anzeige erstatten: Erstatten Sie Anzeige bei der Polizei – entweder in Ihrer nächsten Dienststelle oder online über die Onlinewache Ihres Bundeslandes. Sichern Sie vorher alle Beweise (Screenshots, E-Mails).
6. Betroffene Personen informieren: Falls Ihr E-Mail-Konto kompromittiert wurde, informieren Sie außerdem Ihre Kontakte – denn Angreifer versenden häufig weitere Phishing-Nachrichten aus dem gekaperten Konto.
Empfohlene Vorgehensweisen zum Schutz vor Phishing
Prävention ist der beste Schutz. Deshalb empfehlen wir folgende Maßnahmen:
Starke Passwörter und Passwortmanager verwenden
Nutzen Sie für jedes Konto ein einzigartiges, starkes Passwort. Um den Überblick zu behalten, empfehlen wir den Passwortmanager Bitwarden: Besuchen Sie bitwarden.com, erstellen Sie ein kostenloses Konto, installieren Sie die Browser-Erweiterung und legen Sie für jede Website ein neues, zufälliges Passwort an. Bitwarden ist kostenlos, quelloffen und wird regelmäßig unabhängig geprüft.
Zwei-Faktor-Authentifizierung (2FA) aktivieren
Aktivieren Sie 2FA überall, wo es möglich ist – besonders bei E-Mail, Banking und sozialen Netzwerken. Empfehlenswert ist die App Authy (von Twilio): Laden Sie Authy aus dem App Store oder Google Play herunter, verknüpfen Sie Ihre Konten, und Sie erhalten bei jedem Login einen zeitlich begrenzten Einmalcode.
E-Mails kritisch prüfen
Klicken Sie niemals direkt auf Links in E-Mails. Stattdessen öffnen Sie die entsprechende Webseite stets manuell im Browser. Außerdem sollten Sie bei E-Mails mit Anhängen grundsätzlich vorsichtig sein.
Aktuelle Software und Antivirenprogramme nutzen
Halten Sie Ihr Betriebssystem, Ihren Browser und alle Programme stets aktuell. Zusätzlich empfehlen wir den Einsatz eines Antivirenprogramms. Windows Defender (in Windows 10/11 integriert) bietet dabei einen soliden Basisschutz. Öffnen Sie dazu die Windows-Einstellungen, wählen Sie „Update und Sicherheit“ und stellen Sie sicher, dass der Echtzeitschutz aktiviert ist.
Phishing-Schutz im Browser aktivieren
Moderne Browser wie Google Chrome und Mozilla Firefox verfügen über integrierten Phishing-Schutz. Bei Chrome ist dieser standardmäßig aktiv. In Firefox navigieren Sie zu „Einstellungen“ → „Datenschutz & Sicherheit“ → aktivieren Sie „Gefährliche und irreführende Inhalte blockieren“.
Mitarbeiter schulen
In Unternehmen ist außerdem die regelmäßige Schulung von Mitarbeitern essenziell. Dabei empfehlen wir die Plattform KnowBe4 (knowbe4.com), die simulierte Phishing-Angriffe und interaktive Trainings anbietet. So lernen Mitarbeiter, Phishing-Versuche zu erkennen und richtig zu reagieren.
Phishing melden – so geht es
Das Melden von Phishing ist wichtig, damit Behörden und Anbieter schnell reagieren können. Dabei haben Sie in Deutschland folgende Möglichkeiten:
- BSI (Bundesamt für Sicherheit in der Informationstechnik): Phishing-E-Mails können Sie an phishing@bsi.bund.de weiterleiten.
- Verbraucherzentrale: Die Verbraucherzentrale betreibt eine eigene Phishing-Radar-Seite, auf der aktuelle Phishing-Wellen gemeldet und veröffentlicht werden.
- Google Safe Browsing: Gefälschte Webseiten können direkt über safebrowsing.google.com/safebrowsing/report_phish/ gemeldet werden.
- E-Mail-Anbieter: Markieren Sie Phishing-E-Mails in Ihrem Postfach direkt als „Phishing“ oder „Spam“. Deshalb lernt der E-Mail-Filter, ähnliche Nachrichten zukünftig automatisch zu blockieren.
FAQ – Häufige Fragen zu Phishing
Was ist der Unterschied zwischen Phishing und Spam?
Spam bezeichnet unerwünschte Werbe-E-Mails, die zwar lästig, aber meist harmlos sind. Phishing hingegen ist ein gezielter Betrugsversuch, bei dem Kriminelle persönliche Daten stehlen wollen. Deshalb ist Phishing deutlich gefährlicher als herkömmlicher Spam. Außerdem sind Phishing-Nachrichten oft so gestaltet, dass sie wie legitime Kommunikation wirken.
Kann Phishing auch über soziale Netzwerke stattfinden?
Ja, Phishing findet zunehmend auch auf Plattformen wie Facebook, Instagram, LinkedIn oder WhatsApp statt. Dabei erhalten Nutzer gefälschte Nachrichten von scheinbar bekannten Kontakten oder vermeintlichen Kundenservices. Deshalb sollten Sie auch in sozialen Netzwerken keine sensiblen Daten preisgeben.
Was passiert, wenn ich auf einen Phishing-Link geklickt habe?
Wenn Sie auf einen Phishing-Link geklickt, aber keine Daten eingegeben haben, ist das Risiko meist gering. Jedoch sollten Sie sicherheitshalber Ihren Computer auf Schadsoftware prüfen. Falls Sie Daten eingegeben haben, sollten Sie sofort Ihre Passwörter ändern und bei Bedarf Ihre Bank informieren.
Wie erkenne ich eine gefälschte Webseite?
Achten Sie zunächst auf die URL in der Adressleiste. Außerdem sollten Sie prüfen, ob die Webseite ein gültiges SSL-Zertifikat besitzt (erkennbar am Schloss-Symbol und „https“). Jedoch schützt „https“ allein nicht vor Phishing – auch Betrügerseiten können SSL-Zertifikate besitzen. Deshalb ist die genaue Prüfung der Domain entscheidend.
Ist Phishing strafbar?
Ja, Phishing ist in Deutschland strafbar. Dabei können mehrere Straftatbestände einschlägig sein, zum Beispiel Computerbetrug (§ 263a StGB), Datendiebstahl (§ 202a StGB) und Identitätsdiebstahl. Deshalb sollten Betroffene stets Anzeige erstatten.
Wie schütze ich mein Unternehmen vor Phishing?
Unternehmen sollten einerseits technische Maßnahmen ergreifen – zum Beispiel E-Mail-Filter, SPF/DKIM-Authentifizierung und Antivirensoftware. Andererseits ist die regelmäßige Schulung von Mitarbeitern entscheidend. Außerdem empfehlen wir klare interne Prozesse, zum Beispiel die Vier-Augen-Regel bei Überweisungen, um sogenannte CEO-Fraud-Angriffe zu verhindern.
Können Phishing-Angriffe auch per Anruf stattfinden?
Ja, diese Variante wird als „Vishing“ (Voice-Phishing) bezeichnet. Dabei geben sich Angreifer am Telefon zum Beispiel als Bankmitarbeiter oder IT-Support aus. Deshalb sollten Sie am Telefon niemals Passwörter, PINs oder TANs nennen – seriöse Anbieter fordern diese Information niemals telefonisch ab.
Was sind die häufigsten Phishing-Ziele in Deutschland?
In Deutschland sind besonders häufig Nutzer von Online-Banking, PayPal, Amazon, Netflix sowie Kunden der Deutschen Post und DHL betroffen. Deshalb sollten Sie bei E-Mails oder SMS, die diese Absender imitieren, besonders wachsam sein.
Schützt ein VPN vor Phishing?
Ein VPN (Virtual Private Network) schützt Ihre Internetverbindung, verhindert aber keinen Phishing-Angriff. Denn Phishing setzt nicht an der Netzwerkebene an, sondern nutzt menschliche Täuschung. Deshalb ersetzt ein VPN keinesfalls Aufmerksamkeit und gesunden Menschenverstand beim Umgang mit E-Mails und Links.
Wie sicher sind Passwortmanager gegen Phishing?
Passwortmanager wie Bitwarden oder 1Password tragen aktiv dazu bei, Phishing zu verhindern. Denn sie füllen gespeicherte Passwörter nur auf der Domain ein, für die sie gespeichert wurden. Wenn also eine gefälschte Webseite eine leicht abweichende URL hat, erkennt der Passwortmanager sie nicht als legitim und trägt das Passwort nicht automatisch ein. Deshalb ist die Nutzung eines Passwortmanagers eine der wirksamsten Schutzmaßnahmen.
Fazit
Phishing ist eine ernste und wachsende Bedrohung, die jeden treffen kann. Jedoch schützen Sie sich mit den richtigen Maßnahmen – starken Passwörtern, Zwei-Faktor-Authentifizierung und kritischem Umgang mit E-Mails – effektiv davor.
Deshalb gilt: Informieren Sie sich regelmäßig über neue Phishing-Methoden und sensibilisieren Sie Ihr Umfeld. Außerdem sollten Sie im Verdachtsfall sofort handeln und Behörden wie das BSI informieren.