Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Phishing erkennen: Checkliste für Mitarbeiter (2026) - Phishing-E-Mail mit Warnsignalen
Security Awareness

Phishing erkennen: Checkliste für Mitarbeiter (2026)

Praktische Checkliste zur Phishing-Erkennung für Mitarbeiter ohne IT-Hintergrund. Konkrete Erkennungsmerkmale für E-Mail-Phishing, Smishing und Vishing - mit Sofortmaßnahmen wenn eine Phishing-Mail geöffnet wurde.

Oskar Braun Oskar Braun Abteilungsleiter Information Security Consulting
6 Min. Lesezeit
ISO 27001 Lead Auditor (IRCA) ISB (TÜV)

TL;DR

Um Phishing-Angriffe zu erkennen, prüfen Sie stets die Absender-Adresse: Die tatsächliche Domain `notifications@dhl-tracking.ru` entlarvt den Betrug, selbst wenn der Anzeigename "DHL Paketservice" lautet. Analysieren Sie Betreffzeilen auf Dringlichkeit oder Drohungen wie "Letzte Warnung - Account-Sperrung in 24h". Fahren Sie mit der Maus über Links, um die echte URL zu sehen; `amazon.de.login-verify.ru/` ist keine Amazon-Domain. Seien Sie vorsichtig bei Anhängen wie `.exe`-Dateien oder passwortgeschützten ZIPs. Hinterfragen Sie den Inhalt: Erwarten Sie diese Mail? Ist die Anfrage plausibel? Banken fragen beispielsweise niemals per E-Mail nach Passwörtern.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (4 Abschnitte)

Phishing ist der häufigste Einstiegsvektor für Cyberangriffe. Doch mit dem richtigen Blick lassen sich die meisten Phishing-Mails erkennen - selbst wenn sie professionell gestaltet sind.

Einen umfassenden Überblick über alle Phishing-Methoden und Angriffsvarianten finden Sie in unserem Leitfaden Phishing-Angriffe erkennen und abwehren. Grundlegende Begriffe erklärt unser Phishing-Wiki-Artikel. Wie Ihr Unternehmen regelmäßige Phishing-Tests strukturiert einsetzt, erfahren Sie auf unserer Seite zur Phishing-Simulation.

Checkliste: Ist diese E-Mail Phishing?

Schritt 1: Absender-Adresse prüfen

Der Anzeigename einer E-Mail ist kein Vertrauensbeweis. “DHL Paketservice” als Anzeigename klingt vertrauenswürdig - aber die tatsächliche Absenderadresse notifications@dhl-tracking.ru verrät sofort: Phishing.

Typische Muster in Phishing-Adressen:

  • amazon-support@gmail.com - Amazon nutzt niemals Gmail
  • service@paypa1.com - die Ziffer 1 statt des Buchstabens l
  • info@deutschebank-online.de - das Extra-Wort “online” in der Domain
  • noreply@firma.de.phishing.net - Ihre Domain ist nur eine Subdomain der Phishing-Domain

So prüfen Sie die Adresse: Auf dem PC halten Sie die Maus über den Absender, um die vollständige Adresse anzuzeigen. Auf dem Handy tippen Sie den Absender an.

Schritt 2: Betreff und Ton analysieren

Phishing-Mails erzeugen Druck und Angst. Folgende Formulierungen im Betreff sind ein klares Warnsignal:

  • “DRINGEND: Ihre Zahlung wurde abgelehnt”
  • “Letzte Warnung - Account-Sperrung in 24h”
  • “Verdächtige Aktivität erkannt - sofort handeln!”
  • “Sie haben gewonnen! Claim Ihren Preis”

Generell verdächtig sind immer: extreme Dringlichkeit (“sofort”, “letzte Chance”, “24h”), Drohungen wie “Konto gesperrt” oder “rechtliche Konsequenzen”, unerwartete Gewinne und unbekannte Absender mit persönlichem Ton.

Fahren Sie auf dem PC mit der Maus über den Link, ohne zu klicken - die tatsächliche URL erscheint unten links im Browser. Auf dem Handy halten Sie den Link lange gedrückt für eine URL-Vorschau.

Legitime URLs sehen so aus:

  • https://www.amazon.de/login - die echte Domain ist amazon.de
  • https://app.dhl.com/tracking - die echte Domain ist dhl.com

Phishing-URLs versuchen, echte Domains zu imitieren:

  • https://amazon.de.login-verify.ru/ - die echte Domain ist login-verify.ru, nicht amazon.de
  • https://amaz0n.de/login - Null statt O
  • https://amazon-login-secure.com - amazon-login-secure.com ist nicht amazon.de
  • https://bit.ly/3xK9qR - eine verkürzte URL, deren Ziel unbekannt ist

Faustregel: Die Domain VOR dem ersten ”/” ist die echte Domain. Bei amazon.de.phishing.net ist die echte Domain phishing.net, nicht amazon.de.

Schritt 4: Anhang-Prüfung

Besondere Vorsicht ist bei folgenden Dateitypen geboten:

  • Ausführbare Dateien: .exe, .bat, .cmd, .vbs, .js
  • Office-Dateien mit Macros: .xlsm, .docm, .pptm
  • Passwortgeschützte ZIP-Dateien, deren Passwort in der Mail steht - das umgeht Virenscanner
  • PDFs mit eingebetteten Links

Niemals sollten Sie “Inhalte aktivieren” in Excel oder Word klicken, wenn die Datei von einem unbekannten Absender stammt. Öffnen Sie keine Anhänge wenn der E-Mail-Inhalt bereits verdächtig erscheint.

Im Zweifel gilt: Absender über einen anderen Kanal kontaktieren (telefonisch) oder die IT-Security fragen, bevor Sie eine Datei öffnen.

Schritt 5: Inhalt logisch prüfen

Stellen Sie sich vier entscheidende Fragen:

  • Erwarte ich diese E-Mail? Handelt es sich um ein unerwartetes Paket oder eine unbekannte Rechnung?
  • Stimmt das Geschäftsverhältnis? Habe ich überhaupt einen DHL-Vertrag?
  • Ist die Anfrage plausibel? Bittet ein CEO wirklich per E-Mail um eine dringende Überweisung?
  • Würde die echte Firma so kommunizieren?

Einige Anfragen sind schon aus sich heraus unplausibel: Banken fragen niemals nach Passwörtern per E-Mail. Echte Microsoft-Warnungen kommen nicht per Mail. Das Finanzamt schreibt Briefe, keine E-Mails.

Besondere Achtsamkeit bei…

Rechnungs-Phishing (häufigste Variante)

Typische Betreffzeilen lauten: “Ihre Rechnung #12847 ist überfällig - zahlen Sie jetzt”, “Ihre monatliche Zahlung wurde abgelehnt” oder “Neue Rechnung von [bekannte Firma]”.

Prüfen Sie immer: Haben wir wirklich einen Vertrag mit diesem Anbieter? Stimmt die Rechnungsnummer mit unserer Buchhaltung überein? Nehmen Sie direkten Kontakt zur Firma auf - aber niemals über die Telefonnummer aus der verdächtigen E-Mail.

IT-Support-Phishing

Diese Mails kommen mit Betreffzeilen wie “Ihr Passwort läuft ab - jetzt erneuern”, “Ihr Mailbox-Speicher ist voll - jetzt bestätigen” oder “Wichtige Sicherheitsaktualisierung erforderlich”.

Die echte IT-Abteilung würde einen Passwort-Reset niemals per E-Mail starten. Bei Zweifeln gilt: IT-Support direkt anrufen - mit der Nummer aus dem Telefonbuch oder dem Intranet, nicht aus der E-Mail.

CEO-Fraud / Business Email Compromise

Diese Angriffe tarnen sich mit einem Anzeigenamen wie “Max Müller (CEO)” und enthalten Anfragen wie: “Bitte überweisen Sie 45.000 € vertraulich und dringend” oder “Klären Sie nichts mit anderen - nur zwischen uns.”

Eiserne Regel: Finanzielle Anweisungen per E-Mail niemals ausführen ohne persönlichen Rückruf. Rufen Sie auf der bekannten Nummer des CEOs an - nicht auf einer Nummer aus der E-Mail. Vertraulichkeit und Dringlichkeit kombiniert sind das deutlichste Red Flag überhaupt.

Sofortmaßnahmen - Was tun wenn es passiert ist?

Wenn Sie geklickt haben (kein Login)

  1. Ruhig bleiben - es ist noch nicht zu spät
  2. IT-Security sofort informieren
  3. Browser schließen
  4. Browser-Cache und Cookies löschen
  5. Aktuellen Virenscan starten
  6. Auf ungewöhnliche Aktivitäten achten und Auffälligkeiten sofort melden

Wenn Sie Credentials eingegeben haben

  1. IT-Security sofort informieren - auch um 22 Uhr
  2. Passwort des betroffenen Accounts sofort ändern, und zwar von einem anderen, sicheren Gerät
  3. Alle aktiven Sitzungen beenden (in M365: “Alle Sitzungen abmelden”)
  4. Passwort auf allen anderen Diensten ändern, bei denen Sie dasselbe Passwort verwenden
  5. Die IT prüft ob sich jemand mit Ihren Credentials eingeloggt hat

Wenn Sie einen Anhang geöffnet haben

  1. Gerät sofort vom Netzwerk trennen: WLAN ausschalten, LAN-Kabel ziehen
  2. IT-Security anrufen - nicht per E-Mail
  3. Gerät nicht weiter benutzen bis zur IT-Freigabe
  4. Bei einem Firmengerät darf nur die IT das Gerät wieder anschließen

Phishing-Mail melden

Outlook (Desktop): E-Mail auswählen → “Report Message” → “Phishing” - oder weiterleiten an die interne Phishing-Melde-Adresse.

Outlook (Mobile): Drei Punkte → “Als Junk melden” → “Phishing”.

Falls keine Meldefunktion vorhanden: Screenshot an IT-Security schicken. Die E-Mail selbst nicht weiterleiten, da das Malware aktivieren könnte.

Das Melden ist wichtig aus drei Gründen: Die IT-Security kann ähnliche Mails bei allen anderen Mitarbeitern blockieren. Analytics zeigen ob das Unternehmen gerade gezielt angegriffen wird. Und eine gemeldete Phishing-Mail verhindert, dass die nächste Kollegin oder der nächste Kollege in dieselbe Falle tappt.

Diese Checkliste als Poster für Ihr Büro oder im Security Awareness Training: Phishing-Simulation anfragen - Wir testen wie gut Ihr Team Phishing-Mails erkennt und schulen gezielt nach.

Weiterführender Artikel: Phishing-Simulation: Ein professionelles Programm aufbauen - Wie Sie diese Checkliste als Grundlage für strukturierte Simulationen nutzen und Erkennungsraten im Unternehmen systematisch verbessern.

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung