© istock/DjelicS/2018 
Wissen

Was ist Phishing? Wie der Datenklau per Fake-Mail funktioniert und du dich schützt

von Tanja Viebrock, 09.01.2023

Phishing ist für Sie natürlich längst ein alter Hut. Wer fällt heute noch zum Beispiel auf gefälschte E-Mails von Banken herein, die um die Eingabe von Anmeldedaten fürs Online Banking bitten? Sie jedenfalls nicht. Schließlich ist bekannt, dass Kriminelle dahinterstecken und mit den erbeuteten Informationen fremde Konten leerräumen wollen. Doch Vorsicht – die Attacken werden immer ausgefeilter. Die KlarMacher erklären, wie Sie auch besonders raffiniertes Phishing erkennen und was Sie dagegen tun sollten.

Themen in diesem Artikel

Auf den Punkt

Auf den Punkt

  • Mit Phishing wollen Kriminelle vertrauliche Daten abgreifen, um sich damit unrechtmäßig Zugang beispielsweise zu Online Banking oder Benutzerkonten in Onlineshops zu verschaffen. 
  • Phishing-Angriffe sind nicht immer einfach zu erkennen. Die Fake-Mails der Cyberkriminellen werden immer raffinierter und sind manchmal kaum von „echten” E-Mails zu unterscheiden. 
  • Es gibt bestimmte Anhaltspunkte, die auf Betrugsversuche hindeuten. 
  • Wenn Links oder Dateien in Phishing-Mails angeklickt wurden, sollten Betroffene schnell reagieren. 

Wie funktioniert Phishing?

„Warnung: Nicht autorisierter Zugriff” oder „Achtung, Achtung, Ihr Konto wurde vorübergehend gesperrt”. Wohl jede*r mit einer E-Mail-Adresse kennt sie: E-Mails, die angeblich von einer Bank, einem Onlineshop, einem Bezahldienst, einem Internetanbieter oder einem anderen vertrauenswürdigen Unternehmen stammen. Tatsächlich haben aber Kriminelle die Nachricht gefälscht und verschickt. Darin werden die Empfänger*innen meist aufgefordert, einen enthaltenen Link anzuklicken oder eine angehängte Datei zu öffnen. Ansonsten drohe Unheil.

Die Warnungen reichen von der Auflösung Ihres Girokontos, über eine hohe Steuerrückzahlung bis zum Besuch eines Inkassounternehmens, das demnächst Ihre vermeintlich horrenden Schulden eintreiben will. Lassen Sie sich davon nicht unter Druck setzen, denn nichts davon wird passieren.

Unangenehm wird es für Sie nur dann, wenn Sie auf solche Fake-Mails reagieren. Die Absender*innen haben nämlich nur eines im Sinn: an Ihre vertraulichen Daten zu kommen. Zum Beispiel Passwörter, Zugangsdaten oder TANs fürs Online Banking. Damit können die Cyberkriminellen beispielsweise auf Ihre Rechnung im Netz einkaufen oder Geld von Ihrem Konto abzweigen.

Definition: Was genau bedeutet Phishing?

Definition: Was genau bedeutet Phishing?

Phishing ist ein Kunstwort aus „Passwort” und „fishing” (englisch für angeln oder fischen). Der zusammengesetzte Begriff beschreibt die Methode ziemlich gut: Die Täter*innen werfen Köder aus – meist in Form einer dringlich klingenden E-Mail – und hoffen, damit vertrauliche Daten abzufischen. 

Phishing gibt es nicht nur per Mail, sondern auch in sozialen Netzwerken, per SMS und WhatsApp, per Anruf und sogar ganz altmodisch per Post. Das Prinzip ist stets gleich: Unter dem Deckmantel einer seriösen Organisation oder eines bekannten Unternehmens – zum Beispiel einer Bank – fordern die Betrüger*innen Sie zu einer Antwort auf. Darin sollen Sie vertrauliche Daten preisgeben. Bei der Variante per Brief werden Empfänger*innen meist gebeten, online ein Passwort für Zahlungen mit ihrer Kreditkarte festzulegen oder Ähnliches. 

Die Versender*innen von Phishing-Mails versuchen auf unterschiedliche Art, an Ihre Daten zu kommen. So drängen sie Sie dazu, ...

  • eine bestimmte Internetseite aufzurufen, etwa zum vermeintlichen Online Banking oder für einen Kundenservice.
  • eine angehängte Datei zu öffnen, zum Beispiel angebliche Rechnungen, Vertragsunterlagen oder Inkassoschreiben.
  • eine Software oder App zu installieren, beispielsweise ein Paket-Tracking-Programm.

In der Regel funktioniert das per Klick auf einen Link in der E-Mail. Der führt oft direkt auf eine gefälschte Website oder installiert sogenannte Schadsoftware auf Ihrem Rechner oder Smartphone. Diese und ähnliche Aktionen haben ein gemeinsames Ziel: Kriminelle spähen Ihren Internetverkehr sowie die Dateien auf Ihrem Computer oder in Ihrer Cloud aus. In der Folge landen Sie beispielsweise auf nachgebauten Websites, wenn Sie von Ihrem Konto Geld überweisen oder online einkaufen wollen. Die dort eingegebenen Log-in-Daten gehen dann an die Kriminellen, die sich damit den Zugang zu Ihrem Account auf der echten Internetseite verschaffen.

Geschäftsfrau prüft Ihr E-Mail-Postfach auf einem Laptop
© istock/Rawpixel/2017  Phishing-Mails landen heutzutage in nahezu jedem Postfach – bleiben Sie wachsam.

Woran lassen sich Phishing-Mails erkennen?

Wenn gefakte E-Mails völlig absurd sind, merkwürdig formuliert, schlecht übersetzt oder voller Rechtschreibfehler, dann ist der Betrugsversuch schnell klar. Doch mittlerweile sind viele Phishing-Mails so gut gemacht, dass sie leicht als echt durchgehen. Aber es gibt einige Merkmale, die auf illegale Absichten hindeuten.

Typische Merkmale von Phishing-Mails:

  • Fehlende Anrede: Unternehmen kennen die Namen Ihrer Kund*innen in der Regel und sprechen sie auch damit an – nicht mit „sehr geehrter Kunde” oder „sehr geehrte Nutzerin”. Solch allgemeine Formulierungen sind immer ein Alarmzeichen. Das heißt aber nicht, dass bei einer persönlichen Anrede alles in Butter ist. Viele Betrüger*innen sind durchaus in der Lage, Ihren Namen herauszufinden und Sie damit in einer Phishing-Mail direkt anzusprechen.
  • Drängen, kurze Fristen: Kriminelle spielen häufig mit der Angst ihrer Opfer, um sie zu unüberlegtem Handeln zu animieren. Deshalb setzen sie in Phishing-Mails häufig mit drohendem Unterton sehr kurze Fristen. Bei Begriffen wie „Sperrung”, „Inkasso”, „Mahnung”, „Sicherheitsüberprüfung” oder „Verifizierung erforderlich”– womöglich noch in Kombination mit „dringend”, „sofort” oder „wichtig” – sollten Sie misstrauisch sein.
  • Es geht um relativ hohe Beträge: Auch dabei spekulieren die kriminellen Versender*innen auf die Angst oder zumindest die Neugier der Empfänger*innen. Wenn das Finanzamt angeblich mehrere Hundert Euro erstatten will oder die Kreditkarte mit einem vierstelligen Betrag belastet sein soll, klicken manche eher leichtfertig auf den Mail-Link oder -anhang.
  • Kein Geschäftsverhältnis zum Absender: Ein Onlineshop bittet Sie um Eingabe der Zugangsdaten zu Ihrem Account, obwohl Sie dort noch nie etwas gekauft haben? Dann kann es kann sich nur um Phishing handeln. Doch warum gehen die Betrüger*innen so plump vor? Weil es die Menge macht. Unter den oft Millionen zählenden Adressat*innen werden schon ein paar tatsächlich zur Kundschaft des angeblichen Unternehmens gehören.
  • Falsch dargestellte Zeichen und merkwürdige Formulierungen: Die Täter*innen sitzen oft im Ausland und übersetzen die Phishing-Mails automatisiert ins Deutsche. Dabei kommen teils seltsame Formulierungen oder Zeichenfehler heraus. Umlaute werden beispielsweise nicht richtig dargestellt. Aber Achtung: Phishing-Mails können auch äußerst professionell und seriös formuliert sein!
  • Absenderadresse passt nicht zum Inhalt: Die Mail stammt angeblich von Firma XY. Abgesendet wurde sie aber von der Adresse Banana-Joe.@supermail.com oder Kundenservice@andereFirma.de? Klarer Fall von Phishing! Das Problem ist nur, dass viele gar nicht auf die Absenderadresse achten. Auch ein beliebter Trick: Die Mail stammt anscheinend von Ihrer eigenen Mail-Adresse. Damit wollen die Täter*innen Sie noch mehr verunsichern. In der Regel haben sie aber keinen Zugriff auf Ihr Postfach, sondern tun nur so. 
  • Mehrere Empfänger*innen: Im Kopf der Mail, dem sogenannten Mail-Header, kann es noch ein weiteres Indiz für einen Phishig-Versuch geben. Stehen dort neben Ihrer eigenen Mail-Adresse noch weitere Empfänger*innen, handelt es sich offensichtlich um eine Massenmail. 
  • Links: Obwohl die angegebene Internetadresse auf den ersten Blick echt aussieht, kann sie zu betrügerischen Websites führen. Tipp: Wenn Sie die Maus auf den Link bewegen, ohne ihn anzuklicken, wird die tatsächliche Zieladresse angezeigt. Aber auch dabei gilt es, ganz genau hinzusehen. Manchmal werden nämlich Worte eingefügt oder Buchstaben geschickt verdreht, sodass es kaum auffällt, dass die Seite gefälscht ist. Deshalb ist es besser, die Adresse per Hand in den Browser einzugeben und sich gegebenenfalls bis zur gewünschten Unterseite durchzuklicken.
  • Dateianhänge: Hier ist größte Vorsicht geboten! Grundsätzlich sollten Sie nie Anhänge von unbekannten Absender*innen anklicken! Auch dann nicht, wenn es anscheinend nur harmlose Word-Dokumente sind. Denn auch darin können Viren, Trojaner und andere Schadsoftware versteckt sein.

Aktuell kursierende Fake-Mails listet die Verbraucherzentrale auf ihrem Phishing-Radar. Die Seite ist ein guter Anlaufpunkt, wenn Sie sich bei der Herkunft einer E-Mail unsicher sind.

Krieg in der Ukraine: Phishing-Mails in Krisenzeiten

Krieg in der Ukraine: Phishing-Mails in Krisenzeiten

Kriminelle nutzen gerne die Unsicherheit der Menschen in Krisensituationen aus – wie aktuell durch den Krieg in der Ukraine. Sie verwenden diverse Tricks, um an Ihr Geld zu kommen: von der angeblichen Sicherheitsüberprüfung Ihres Online-Banking-Kontos aufgrund der wirtschaftlichen Sanktionen für Russland bis zum dringenden Spendenaufruf. Oder vermeintliche Verwandte brauchen sofort finanzielle Unterstützung von Ihnen. Gehen Sie nicht auf solche Aufforderungen ein! Übrigens: Wenn Sie helfen wollen, wenden Sie sich am besten an offizielle Hilfeseiten wie auf dieser Liste der Tagesschau

Wie reagieren, wenn eine Phishing-Mail im Postfach liegt?

Regel Nummer Eins: Bloß nichts anklicken! Keine eingebetteten Links, keine angehängten Dateien! Am besten löschen Sie offensichtliche Fake-Mails ungelesen. In den meisten Fällen richtet das bloße Öffnen zwar noch keinen Schaden an, aber sie müssen das Schicksal ja nicht unbedingt herausfordern.

Wenn Sie unsicher sind, haken Sie beim Absender nach, ob er oder sie Ihnen etwas geschickt hat. Am besten telefonisch. In keinem Fall aber, indem Sie die Antworten-Funktion nutzen oder einen Link in der Mail anklicken! Denn damit hat die Absenderin oder der Absender Sie womöglich schon am Haken. Wenn Sie sich per E-Mail rückversichern möchten, suchen Sie sich die Adresse aus Ihren Unterlagen heraus oder von der Unternehmenswebsite. Viele Banken und andere Unternehmen warnen direkt auf ihrer Homepage vor bekannten Phishing-Versuchen unter ihrem Namen.

Haben Sie eine Rechnung oder Mahnung von einem Unternehmen erhalten, bei dem Sie tatsächlich Kunde beziehungsweise Kundin sind? Dann lässt sich ganz einfach prüfen, ob wirklich Beträge offen sind:

  1. Rufen Sie die betreffende Website direkt über die Adresseingabe im Browser auf.
  2. Loggen Sie sich ein.
  3. Prüfen Sie Ihre Bestellhistorie und Ihre Benachrichtigungen, falls es eine Postfachfunktion auf der Seite gibt.

Phishing-Mails melden

Sie können aktiv zum Kampf gegen Phishing beitragen und andere Internetnutzer*innen davor warnen, indem Sie Fake-E-Mails melden beziehungsweise weiterleiten. Anlaufstellen dafür sind:

  • Die Verbraucherzentrale: phishing@verbraucherzentrale.nrw
  • Die Polizei: trojaner@polizeilabor.de
  • Die betroffenen Unternehmen: Viele Banken und andere Unternehmen, die häufig für Phishing-Attacken missbraucht werden, haben spezielle Formulare oder E-Mail-Adressen, über die Sie Fake-Mails melden können. 
  • Dem Mail-Provider: E-Mail-Anbieter haben üblicherweise eine Meldefunktion für Spam-Mails. Damit können Sie unter anderem dazu beitragen, dass diese Nachrichten automatisch im Junkmail-Ordner landen.
Rettungsring mit Rückholschnur schwimmt auf der Meeresoberfläche
© istock/pichitstocker/2017  Haben Cyberkriminelle Sie am Haken, ist schnelles Handeln gefragt, um Ihre Daten noch zu retten.

Was tun nach einem Klick auf Phishing-Links oder -Dateien?

Manche Phishing-Attacken sind so raffiniert gemacht, dass sogar sehr aufmerksame Menschen darauf hereinfallen. Wenn Sie eine Phishing-Mail aber nur geöffnet und nichts angeklickt haben, besteht in der Regel kein Grund zur Sorge. In allen anderen Fällen sollten Sie umgehend aktiv werden!

Wenn Sie einen Link angeklickt haben: Starten Sie sofort ein Antivirus-Programm und untersuchen Sie damit den gesamten Rechner. Wichtig dabei: Der Virenscanner muss auf dem aktuellen Stand sein. Installieren Sie also gegebenenfalls vorher Updates. Entdeckt das Antivirus-Programm Schadsoftware, wird diese in der Regel automatisch entfernt. Trotzdem sollten Sie sicherheitshalber auf dem Rechner gespeicherte Passwörter ändern. Das gilt auch für Zugangsdaten, die Sie eventuell schon auf einer gefälschten Website eingegeben haben.

Wenn Sie Daten auf der verlinkten Seite eingegeben haben: In diesem Fall hängt es ein wenig von der Art der Daten ab. Wenn die Kriminellen nur Ihre Anschrift oder Telefonnummer bekommen haben, sollten Sie in nächster Zeit besonders wachsam sein, falls sich Fremde bei Ihnen melden. Das gilt auch für WhatsApp-Nachrichten und SMS. Sind jedoch sensible Informationen wie Zugangsdaten für Onlineshops, Ihr Bank- oder Kreditkartenkonto oder eine TAN in unbefugte Hände geraten, dann teilen Sie das sofort dem echten Anbieter mit. Erstatten Sie außerdem eine Anzeige bei der Polizei. Geht es um Bankdaten, sollten Sie Ihre Kontoauszüge in der kommenden Zeit häufig und besonders gründlich auf ungewöhnliche Buchungen prüfen. 

Wenn Sie den Anhang geöffnet haben: Schalten Sie den Rechner aus und trennen Sie das Gerät vom Internet. Denn Sie haben höchstwahrscheinlich eine Schadsoftware installiert. Und die kann sofort das Antiviren-Programm manipulieren, sodass dieses nicht mehr richtig funktioniert. In keinem Fall sollten Sie den Computer benutzen, bevor die Schadsoftware restlos entfernt ist. Die Verbraucherzentrale rät, den Rechner nur noch von einem externen Betriebssystem zu starten. Nutzen Sie dafür mobile Festplatten bzw. SSDs oder Datensticks, die während des Virusangriffs oder danach nicht mit dem Computer verbunden waren. Der Computer sollte komplett neu aufgesetzt werden. Wenden Sie sich im Zweifel lieber an Fachleute. Auf jeden Fall sollten Sie ...

  • sofort Ihre Bank und Ihren Kreditkartenanbieter informieren und Ihre Konten sperren lassen.
  • alle auf dem Rechner hinterlegten Passwörter ändern.
  • Strafanzeige bei der Polizei stellen.
Detailaufnahme der Adressleiste eines Webbrowsers, in der ein Schloss-Icon neben einer https-URL zu sehen ist
© istock/RobertAx/2020  Vertrauliche Daten sollten Sie grundsätzlich nur auf Webseiten mit gesicherter Internetverbindung eingeben.

Wie kann ich mich vor Phishing-Angriffen schützen?

Einen hundertprozentigen Schutz vor Phishing gibt es nicht. Denn so nützlich das Internet auch ist – es ist leider auch ein Tummelplatz für Kriminelle. Aber wenn Sie ein paar grundsätzliche Regeln beachten, können Sie sich gut vor Phishing schützen.

  • Antiviren-Programm, Firewall und Betriebssystem immer updaten. Es tauchen ständig neue Computerviren und Schadsoftware auf. Die werden aber nur von Firewalls und Antiviren-Programmen erkannt, die selbst auf dem aktuellsten Stand sind. Das gilt übrigens auch für die Betriebssysteme von Smartphones und Tablets. Zumindest dann, wenn Sie die Geräte fürs Online Banking und zum Shoppen verwenden.
  • Online Banking nur auf eigenen Geräten nutzen. Erledigen Sie möglichst keine Bankgeschäfte auf öffentlich zugänglichen Rechnern, zum Beispiel im Internetcafé, oder auch auf anderen fremden Geräten. Denn Sie wissen nie, wie gut diese geschützt sind und ob nicht vielleicht Schadprogramme im Hintergrund laufen und Ihre Daten abgreifen.
  • Webadressen nach Möglichkeit direkt eingeben: Klar ist das umständlicher, als auf Links zu klicken. Es ist aber auch deutlich sicherer. Machen Sie sich die Mühe wenigstens bei Ihrer Bank, Bezahldiensten und großen Online-Marktplätzen, deren Bekanntheit häufig für Phishing-Attacken missbraucht wird.
  • Apps nur aus offiziellen Stores downloaden: Laden Sie Programme grundsätzlich nur aus autorisierten Quellen wie dem Google Play Store (Android), dem Apple App Store oder dem Microsoft Store herunter. Niemals über Links, die Sie per Mail oder Textnachricht erhalten haben. 
  • PINs und TANs nur über sichere Verbindungen eingeben, deren Webadresse mit „https://” beginnt (nicht mit „http://”) und der ein spezielles Icon vorausgeht (meist ein stilisiertes Vorhängeschloss). Aber Achtung: Mittlerweile täuschen einige betrügerische Seiten eine sichere Verbindung vor. 
  • Nutzen Sie die Zwei-Faktor-Authentifizierung: Mehr dazu lesen Sie in diesem Ratgeber „Zwei-Faktor-Authentifizierung: Das steckt hinter dem Online-Sicherheitsverfahren”. 
  • Passwörter lieber merken als speichern und regelmäßig ändern. Das sollten Sie zumindest dort tun, wo Geld im Spiel ist. Das betrifft zum Beispiel Online Banking, Bezahldienste wie Paypal oder Klarna und Onlineshops, bei denen Ihre Bankverbindung hinterlegt ist. Wenn Sie sich Ihre Passwörter partout nicht merken können, benutzen Sie einen Passwortmanager mit sicherer Verschlüsselung.
  • Keine vertraulichen Daten wie Passwörter per Mail versenden. Sogar wenn Ihr Rechner sicher ist wie Fort Knox: Sie wissen nie, wer sich in den Weiten des Webs oder über die Empfänger*innen Zugriff auf die übermittelten Daten verschaffen kann.
  • Immer überall ausloggen. Auf Websites, auf denen Sie sich einloggen, sollten Sie sich vor dem Verlassen abmelden. Nicht geschlossene Accounts machen es Kriminellen einfacher.
  • Wachsam bleiben! Grundsätzlich sollten Sie die Augen offen halten, wenn Sie im Netz unterwegs sind. Kommt Ihnen etwas verdächtig vor? Sieht die Online-Banking-Seite irgendwie anders aus? Nehmen Sie solche Warnzeichen ernst!

Phishing-E-Mails enttarnen! | BSI

Klicken Sie hier, um die Inhalte von YouTube anzuzeigen.

Meine Zustimmung kann ich jederzeit unter Datenschutz widerrufen.

© Bundesamt für Sicherheit in der Informationstechnik 

Am besten ist es, wenn betrügerische Phishing-Mails gar nicht erst in Ihrem Postfach landen. Vor Spam ist zwar kein*e Postfachinhaber*in gefeit, aber Sie können die Flut an unerwünschten E-Mails mit folgenden Tipps immerhin eindämmen.

  • Geben Sie nicht leichtfertig Ihre E-Mail-Adresse heraus, etwa durch die Teilnahme an Gewinnspielen oder Einträge in Online-Gästebücher.
  • Falls Sie Ihre E-Mail-Adresse doch mal öffentlich machen müssen, dann verschlüsseln Sie sie. Etwa indem Sie das @-Zeichen und den Punkt vor der Domain ersetzen, zum Beispiel so: werner[at]mailanbieter[dot]com. Dann können Software-Bots die Adresse nicht auslesen.
  • Nutzen Sie ein Antivirenprogramm, das auch Ihren Posteingang scannt.
  • Antworten Sie nie auf Spam, und klicken Sie nicht auf darin enthaltene Abmelde-Links. Damit bestätigen Sie nur, dass Ihre E-Mail-Adresse aktiv ist und erhalten womöglich noch mehr Spam.

Wie hat dir der Artikel gefallen?

89
1

Das könnte Sie auch interessieren:

Enkeltrick enttarnen: Keine Chance für die falschen Verwandten
Schneeballsystem: Was ist das? Warum ist das gefährlich?
Konto gehackt: Was Sie jetzt tun sollten