Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Phishing erkennen - Der komplette Schutzguide
Security Awareness

Phishing erkennen: Der komplette Schutzguide für Unternehmen

Phishing-Mails erkennen, richtig reagieren und Ihr Unternehmen schützen. Mit Checkliste, Sofortmaßnahmen nach Klick und FAQ.

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
12 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)

TL;DR

Phishing ist laut einer Google-Studie die größte Gefahr im Internet und trifft heute Unternehmen jeder Größe mit hochprofessionellen, KI-gestützten Täuschungen. Fünf wiederkehrende Muster - Druckaufbau, Datenabfrage, manipulierte Links, Drohungen und gefälschte Identitäten - verraten Phishing-Mails trotzdem zuverlässig. Wer eine verdächtige Mail geöffnet oder auf einen Link geklickt hat, muss sofort handeln: Gerät trennen, IT informieren, Passwörter ändern. Sieben technische und organisatorische Maßnahmen sowie regelmäßige Security-Awareness-Schulungen reduzieren das Risiko dauerhaft.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (9 Abschnitte)

Noch vor einigen Jahren waren Phishing-Mails eher unpersönlicher Natur und relativ plump formuliert. Da wurde ganz salopp nach Kontodaten gefragt oder es kamen gefälschte Anfragen ins Postfach, die sofort ersichtlich schienen - sei es aufgrund der mäßigen deutschen Formulierung oder wegen unseriöser Anfragen, die relativ einfach zu durchschauen waren. Umlaute waren häufig falsch dargestellt, was als eindeutiges Indiz galt.

Diese Zeiten sind vorbei. Heutzutage sind Phishing-Mails clever geworden und meist sehr persönlich formuliert. Briefköpfe und Firmenlogos werden aufwendig gefälscht, Anreden enthalten oft bereits den Namen, und Rechtschreibfehler sind selten. Zudem verbessert KI wie ChatGPT solche Angriffe: Angreifer müssen die passenden Formulierungen nicht einmal mehr selbst wählen.

Dieser Leitfaden fasst zusammen, was Sie wirklich wissen müssen - von den ersten Warnsignalen bis zu den Sofortmaßnahmen nach einem Klick.

1. Warum Phishing die größte Gefahr im Internet ist

Eine Studie von Google, angefertigt in Zusammenarbeit mit der Berkeley Universität und vorgestellt auf der CCS, zeigt: Die größte Gefahr im Netz ist es, Opfer eines Phishing-Angriffs zu werden. Google nutzt die Erkenntnisse aus dieser Studie, um rund 67.000.000 Google-Accounts zu schützen.

Der Begriff Phishing ist abgeleitet vom englischen Fishing und beschreibt den Versuch, an sensible Daten zu gelangen. Phishing-Angriffen begegnen Sie in verschiedenen Bereichen: per SMS (Smishing), per Anruf (Vishing) und am häufigsten per E-Mail. Allein im Dezember 2021 verzeichnete die Anti-Phishing Working Group rund 320.000 Angriffe.

Warum trifft Phishing heute besonders kleine und mittelständische Unternehmen?

Aktuelle Angriffe sind professionell gestaltet, enthalten Firmenlogos, echte Namen und täuschend echte Absenderadressen. Für KMU ist das Risiko besonders hoch, weil sie attraktive Ziele sind, aber oft nicht dieselben Sicherheitsressourcen wie große Konzerne besitzen.

Man unterscheidet drei zentrale Angriffsformen:

  • Massen-Phishing - ein breites Netz wird ausgeworfen, jede Formulierung ist möglichst allgemein gehalten.
  • Spear-Phishing - einzelne Personen werden gezielt mit persönlichen Details angesprochen. Angreifer recherchieren Namen, Hobbys und Interessen über Social Media.
  • Business E-Mail Compromise (BEC) - Täter nutzen Informationen über Ansprechpartner oder interne Prozesse, um Zahlungsfreigaben oder Lieferkettenkommunikation zu manipulieren.

Besonders gefährlich ist die Kombination aus Personalisierung und Wissen über interne Abläufe: Eine Mail mit dem Betreff „Ich bin’s, dein Chef - überweise bitte sofort an dieses Konto” wirkt auf den ersten Blick glaubwürdig und nutzt Druck und Autorität gleichermaßen aus. Szenarien wie dieses passieren täglich.

Ein einziger Klick auf einen manipulierten Link oder Anhang reicht aus, um sensible Daten preiszugeben oder den Zugriff auf ganze Systeme zu ermöglichen.

2. Phishing-Mails erkennen: Die wichtigsten Anzeichen (Checkliste)

Trotz aller Professionalisierung gibt es fünf Muster, die Phishing-Mails immer wieder verraten:

Anzeichen 1: Künstlicher Druckaufbau

Ein starkes Indiz ist künstlich erzeugter Zeitdruck. In Phishing-Mails geht es vorwiegend darum, dass Sie kurzfristig Daten bestätigen oder neue AGB akzeptieren müssen. Der Druck wird meist noch erhöht, indem von Kündigungen oder Kontoauflösungen die Rede ist, wenn die Bestätigung nicht innerhalb von 24 Stunden erfolgt.

Faustregel: Kein seriöses Unternehmen setzt derartig kurzfristige Fristen und erfordert Zustimmungen in so kurzer Zeit. Je mehr Zeitdruck im Text erzeugt wird, desto wahrscheinlicher handelt es sich um eine Phishing-Mail.

Anzeichen 2: Abfrage persönlicher Daten

Typisch für Phishing-Mails ist die Abfrage persönlicher Daten. Dabei geht es nicht nur um Name und Adresse, sondern in der Regel auch um Nutzernamen, Passwörter und weitere vertrauliche Informationen. Im schlimmsten Fall geht es konkret um eine PIN für das Online-Banking oder um Kreditkartennummern mit Prüfziffer. Auch gescannte Personalausweise sollten Sie aufgrund des Identitätsdiebstahl-Risikos niemals ohne Weiteres verschicken.

Faustregel: Seriöse Anbieter fragen solche Daten nicht per E-Mail ab. Wenn eine Mail derart persönliche Daten anfordert, handelt es sich fast immer um Phishing.

Es gibt im Grunde keine Phishing-Mail, die nicht versucht, Sie mit einem externen Link auf eine manipulierte Seite zu leiten. Solche Seiten sind meist gefälscht und beinhalten mitunter sämtliche originalen Logos - erkennbar sind sie aber an der eigentlichen URL. Selbst wenn dort der Unternehmensname enthalten ist, gibt es größtenteils unübliche Anhänge daran.

Faustregel: Klicken Sie in E-Mails grundsätzlich nicht auf Links oder Buttons, wenn Sie eine solche Mail nicht erwarten. Am Handy können Sie einen Link länger gedrückt halten, um zu sehen, wohin er tatsächlich führt - ein kurzer Tipp ruft die Seite sofort auf.

Anzeichen 4: Drohungen

Wenn Ihnen gedroht wird, stimmt ganz sicher etwas nicht. Kein seriöses Unternehmen droht Ihnen - nicht einmal das Finanzamt droht, sondern ermahnt lediglich. Wann immer es konkret um Drohungen geht - Kontosperrungen, Account-Löschungen, rechtliche Konsequenzen - handelt es sich fast immer um eine Phishing-Mail.

Faustregel: Drohungen gepaart mit Zeitdruck sind ein eindeutiges Indiz. Drohungen ohne jede Vorgeschäftsbeziehung zum angeblichen Absender sind es sowieso.

Anzeichen 5: Gefälschte Identitäten und Seriosität

Oft enthalten Phishing-Mails viele verschiedene Logos und Firmennamen, obwohl sie gar nichts mit der Firma gemeinsam haben. Sie nutzen Schriftarten, Logos und die richtigen Farben - nur der Inhalt erscheint merkwürdig. Angreifer geben sich als Chef, Kollegin oder Geschäftspartner aus. Die Mails wirken vertraut, weil bekannte Namen auftauchen. Wer den Absender aber genauer prüft, erkennt oft, dass sich hinter der Adresse nicht die Person verbirgt, die sie vorgibt zu sein.

Faustregel: Kommt eine Mail von einer vermeintlich bekannten Person oder großen Firma, deren Anliegen aber höchst ungewöhnlich erscheint, bleiben Sie skeptisch. Im Zweifel persönlich nachfragen - über einen Kanal, den Sie kennen, nicht über die in der Mail angegebene Nummer.

Schnell-Checkliste: Phishing-Mail entlarven

Stellen Sie sich diese drei Fragen, bevor Sie handeln:

  1. Ist der Absender mir persönlich bekannt und die Adresse plausibel?
  2. Ist der Betreff sinnvoll und wurde ein Anhang oder Link erwartet?
  3. Wird Druck aufgebaut, werden Daten abgefragt oder wird gedroht?

Wenn Sie eine der ersten beiden Fragen mit „Nein” beantworten oder die dritte mit „Ja”, behandeln Sie die Mail als verdächtig.

Zu wissen, wie eine URL aufgebaut ist, hilft entscheidend dabei, Phishing-Links zu entlarven. Dieses Wissen lohnt sich anzueignen, da der Aufbau von Internetadressen sich langfristig nicht ändern wird - unabhängig davon, ob der Link per App, Messenger, Mail oder anderweitig übermittelt wird.

Eine URL besteht aus fünf Bestandteilen:

  • Protokoll - gibt an, wie mit dem Server gesprochen wird. https (mit s für secure) bedeutet SSL/TLS-verschlüsselte Kommunikation; http ohne s überträgt alles im Klartext, auch Passwörter.
  • Subdomain - steht mit einem Punkt getrennt vor der eigentlichen Domain. Sie ermöglicht, unter derselben Domain unterschiedliche Dienste zu adressieren.
  • Domain (Second-Level-Domain) - das Herzstück der Adresse, gibt an, auf welcher Website man sich befindet. Pro Top-Level-Domain darf eine Domain nur einmal vergeben werden.
  • Top-Level-Domain - die oberste Ebene (z. B. .de, .com). Für .de ist DENIC verantwortlich, für .com die ICANN.
  • Pfad - zeigt, welcher Teil einer Website aufgerufen wird, vergleichbar mit einer Ordnerstruktur.

Der entscheidende Trick bei Phishing-Links liegt in der Subdomain. Im Beispiel www.amazon.de.evil.com ist evil.com die tatsächliche Domain - www.amazon.de ist nur die Subdomain. Wer nicht vorsichtig ist, hält evil.com leicht für den Pfad der URL und landet auf einer Seite, die er gar nicht besuchen wollte.

AWARE7 hat mit phishing-erkennen.de ein kostenloses Tool entwickelt, das URLs automatisch in ihre Bestandteile zerlegt. Den Link einfach einfügen, auf „splitten” klicken - und sofort wird sichtbar, was die echte Domain ist.

Weitere Prüfmethoden:

  • Maus über Link fahren (Desktop): Die tatsächliche Zieladresse erscheint in der Statusleiste des Browsers, bevor Sie klicken.
  • Langen Druck auf Link (Mobilgerät): Zeigt die Ziel-URL an, ohne die Seite zu öffnen.
  • Browser-Warnungen ernst nehmen: Google Safe Browsing warnt vor bekannten Phishing-Websites in Chrome, Firefox und Safari. Websites, die wiederholt Malware ausliefern, werden von Google bis zu 30 Tage lang gesperrt.

4. Phishing-Mail geöffnet - was tun? (Sofortmaßnahmen)

Je nachdem, was genau passiert ist, unterscheidet sich die Gefahrenlage. Hier eine klare Einteilung:

Stufe 1: Mail nur geöffnet - geringe Gefahr

Wenn Sie die Phishing-Mail nur geöffnet haben, setzt man sich einer geringen bis keiner Gefahr aus. Ist dem Mailprogramm der Absender unbekannt, werden Bilder häufig nicht nachgeladen - so entsteht keine Verbindung vom Nutzer zum Angreifer. Maßnahme: Mail dauerhaft löschen. IT-Abteilung informieren, damit der Mail-Filter angepasst wird und die Mail nicht an Kollegen durchgestellt wird.

Stufe 2: Bilder nachgeladen - niedrige Gefahr

Wer auf „Bilder anzeigen” geklickt hat, baut eine Verbindung zu einem Server auf. Das können auch unsichtbare Tracking-Pixel sein, die dem Angreifer mitteilen, dass das E-Mail-Konto aktiv ist. Der Angreifer erhält außerdem Informationen über den verwendeten Mail-Client und die IP-Adresse. Maßnahme: IT informieren, zukünftig bei unbekannten Absendern keine Bilder nachladen.

Stufe 3: Link angeklickt - mittlere Gefahr

Auch wenn moderne Browser gut abgeschottet sind, kann ein Angreifer nun weitere Angriffsvektoren wie die Ausführung von Code im Browser nutzen. Antivirussoftware erkennt solche Angriffe - aber nicht immer zuverlässig.

Sofortmaßnahmen:

  1. Phishing-Webseite sofort schließen, falls erkannt.
  2. Prüfen, ob Dateien unfreiwillig heruntergeladen wurden - falls ja, Download abbrechen und Datei löschen.
  3. IT-Abteilung sofort einschalten.
  4. Überlegen, ob bereits sensible Informationen eingegeben wurden.

Stufe 4: Anhang geöffnet - hohe Gefahr

Phishing-Anhänge können Word-, PDF- oder ausführbare Dateien sein. Dokumentenbasierte Dateien können Schadcode enthalten, der durch Sicherheitslücken in Programmen wie Microsoft Word oder Adobe Acrobat Reader ausgeführt wird. Ausführbare Dateien können direkt zur Ausführung gebracht werden, ohne dass eine Sicherheitslücke in externer Software nötig ist. Einige Schadprogramme laufen im Hintergrund und warten ab; andere - wie Ransomware - verschlüsseln alle Daten auf der Festplatte.

Sofortmaßnahmen:

  1. Gerät sofort vom Netzwerk trennen.
  2. Alle Passwörter auf einem anderen Gerät ändern - sofort.
  3. IT-Experten einschalten, Gerät untersuchen lassen.
  4. Vollständige Sicherheit bietet nur eine komplette Neuinstallation.
  5. Backup-Status prüfen - ist das letzte Backup aktuell?

Stufe 5: Daten auf Phishing-Seite eingegeben - extreme Gefahr

Dies ist das gefährlichste Szenario. Der Angreifer hat nun vollständigen Zugriff auf das Konto. Auch eine Zwei-Faktor-Authentifizierung kann durch die Dateneingabe auf der Phishing-Seite umgangen werden.

Sofortmaßnahmen - schneller sein als der Angreifer:

  1. Passwort sofort auf einem anderen Gerät ändern - nicht nur ein Zeichen ergänzen, sondern ein vollständig neues Passwort setzen.
  2. Überall, wo das gleiche oder ein ähnliches Passwort verwendet wurde, ebenfalls das Passwort ändern.
  3. Zwei-Faktor-Authentifizierung aktivieren, falls noch nicht geschehen.
  4. Bei Banking: sicheres TAN-Verfahren nutzen, Kontobewegungen prüfen. Das mTAN-Verfahren per SMS sollte nicht mehr verwendet werden.
  5. Bank oder Dienstleister direkt kontaktieren.
  6. Liegt ein Identitätsdiebstahl vor, Anzeige erstatten.

5. Mit welchen Schäden müssen Sie rechnen?

Die Bandbreite möglicher Schäden ist erheblich:

Finanzieller Schaden entsteht, wenn Angreifer Zugriff auf Online-Banking oder Payment-Dienste erhalten. Bei BEC-Angriffen werden Zahlungsfreigaben manipuliert - ein kurzer Anruf beim Chef oder der Buchhaltung, der ausbleibt, kann eine ganze Attacke erst möglich machen.

Datenverlust und Ransomware: Angreifer, die auf interne Systeme abzielen, installieren oft Trojaner, die im Hintergrund laufen, oder Ransomware, die alle vorhandenen Daten verschlüsselt. Vollständige Sicherheit bietet dann nur eine Neuinstallation - sofern ein aktuelles Backup vorhanden ist.

Identitätsdiebstahl: Gescannte Ausweise, Zugangsdaten und persönliche Informationen werden im Darknet gehandelt oder direkt für weitere Betrugsversuche verwendet. Forscher fanden zwischen März 2016 und März 2017 in bekannten Untergrundforen über 25.000 Tools, mit denen Account-Credentials gesammelt werden - dazu kamen 788.000 per Keylogger und 12.000.000 per Phishing gestohlene Datensätze.

Reputationsschaden: Kompromittierte Konten werden für weitere Angriffe auf Kontakte genutzt. Bei einer Facebook-Phishing-Kampagne wurden gestohlene Zugangsdaten vollautomatisch geprüft und beim erfolgreichen Login sofort Nachrichten an die gesamte Freundesliste versendet - was die Kampagne außerordentlich erfolgreich machte.

Systemkompromittierung: Ein einzelner Anhang kann dazu führen, dass Schadprogramme im Hintergrund laufen und darauf warten, dass der Nutzer sich auf relevanten Seiten anmeldet, um Zugangsdaten abzugreifen oder Transaktionen umzuleiten.

6. 7 Tipps zur Phishing-Abwehr im Unternehmen

Tipp 1: Zwei-Faktor-Authentifizierung aktivieren

Sichere Passwörter sind das A und O: lang, ohne persönlichen Bezug, mit Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen. Ergänzt durch einen zweiten Faktor - ein Smartphone oder Hardware Key - ist ein Login ohne diesen zweiten Faktor nicht möglich. Selbst wenn ein Passwort durch Phishing gestohlen wird, bleibt der Account so geschützt.

Tipp 2: E-Mail-Adressen geheim halten

Unternehmens-E-Mail-Adressen sollten weder auf öffentlichen Websites noch in Social-Media-Profilen stehen. Einfache Crawler durchsuchen Websites automatisch nach E-Mail-Adressen. Wer E-Mail-Adressen nur denjenigen mitteilt, die persönlichen Kontakt benötigen, reduziert das Phishing-Risiko erheblich.

Tipp 3: Plain Text statt HTML-E-Mails

Wer viel Wert auf Sicherheit legt, sollte HTML-E-Mails deaktivieren. Plain Text reicht für gewöhnlich vollkommen aus. Der Vorteil: Im reinen Text kann sich kein unliebsamer Code verstecken. Reine Text-E-Mails sind sicherer und sorgen für klarere Kommunikation.

Tipp 4: Öffentliches WLAN meiden

Wer über ein öffentliches WLAN online geht, sollte es vermeiden, auf geschützte Systeme oder geschäftliche E-Mails zuzugreifen. Angreifer nutzen öffentliche Wi-Fi-Netzwerke, um sich Zugriff auf verbundene Geräte zu verschaffen. Wenn unvermeidbar, nur über VPN.

Mitarbeitern sollte klargemacht werden, dass in E-Mails keinerlei Links geklickt werden sollen - und dass auch keine Links eingefügt werden sollen. Jeder Link in einer E-Mail kann bösartiger Natur sein: Er kann Malware-Downloads auslösen, auf eine Phishing-Website verweisen oder anderweitigen Schadcode einschleusen. Links innerhalb von E-Mails sollten grundsätzlich tabu sein.

Tipp 6: Keine Drittanbieter-E-Mail-Apps nutzen

Mitarbeiter neigen dazu, berufliche E-Mails mit privat genutzten E-Mail-Programmen abzurufen. Eine strenge Richtlinie verhindert dies. Drittanbieter-Apps können Sicherheitslücken haben, die Angreifern den Zugriff auf E-Mails erleichtern.

Tipp 7: Klare Prozesse für Finanztransaktionen

Gerade in KMU gilt: Finanztransaktionen werden nicht allein per E-Mail freigegeben. Ein kurzer Anruf beim Chef oder der Buchhaltung über einen bekannten Kanal - nicht über die in der Mail angegebene Nummer - kann einen ganzen BEC-Angriff ins Leere laufen lassen. Lieber einmal mehr nachfragen als vorschnell klicken.

7. Technische Schutzmaßnahmen

Mail-Filter aktuell halten: Angreifern fallen täglich neue Methoden ein, Mail-Filter zu umgehen. IT-Teams sollten Filter regelmäßig aktualisieren. Es gibt keine Software, die garantiert, dass keine Phishing-Mail mehr ins Postfach gelangt - aber aktuelle Filter sortieren viele aus.

Multi-Faktor-Authentifizierung (MFA) unternehmensweit einführen: Technik ersetzt keine Aufmerksamkeit, sie verstärkt sie aber. Spamfilter blockieren viele Standardangriffe; sichere Mail-Gateways analysieren verdächtige Inhalte. MFA bleibt einer der wirksamsten technischen Schutzmechanismen.

Browser-Schutz nutzen: Google Safe Browsing sperrt bekannte Phishing-Websites in Chrome, Firefox und Safari. Websites, die wiederholt Malware ausliefern, werden bis zu 30 Tage gesperrt. Nutzer sollten Browser-Warnungen nicht ignorieren oder umgehen.

URL-Analyse als Routine: Das Tool phishing-erkennen.de zerlegt URLs automatisch in ihre Bestandteile - Protokoll, Subdomain, Domain, Top-Level-Domain und Pfad. Das schafft Gewissheit, bevor ein Link angeklickt wird.

Antivirussoftware und Endpoint-Security: Antivirusprogramme können Schadcode in Anhängen erkennen und unterbinden - aber nicht immer zuverlässig. Sie sind eine wichtige Schicht, ersetzen aber keine geschulten Mitarbeiter.

8. Die Rolle von Security Awareness

Der Mensch bleibt die wichtigste Verteidigungslinie - und gleichzeitig die größte Schwachstelle. Im Arbeitsalltag hat man nicht immer Zeit, jede E-Mail genau zu prüfen. Ein kurzer Blick auf den Betreff, ein Überfliegen der Formatierung: Schnell hat man sich ein grobes Bild gebildet - das professionelle Phishing-Mails gezielt ausnutzen.

Die japanische Sicherheitsmethode „Pointing and Calling” (japanisch: Shisa kanko) zeigt, wie bewusstes Handeln Fehler verhindert: Im japanischen Schienenverkehr zeigen Triebfahrzeugführer auf alles, was für ihre Arbeit wichtig ist, und sprechen laut aus, was sie sehen. Das reduzierte die Fehlerrate im japanischen Schienenverkehr um 85 %. AWARE7 hat eine abgeschlossene Studie durchgeführt, wie diese Methode auf die Erkennung von Phishing-E-Mails übertragen werden kann - das aktive, laute Benennen von Absenderadresse, Links und Anfragen schärft die bewusste Wahrnehmung erheblich.

Was wirksame Security Awareness ausmacht:

  • Schulungen und Workshops vermitteln nicht nur Wissen, sondern trainieren die Aufmerksamkeit in echten Alltagssituationen.
  • Phishing-Simulationen sind besonders wirksam: Mitarbeitende finden gefälschte Mails im Postfach und üben so den Ernstfall. Wer wiederholt mit solchen Tests konfrontiert wird, entwickelt Routine im Umgang mit verdächtigen Nachrichten.
  • Security Awareness Schulungen sensibilisieren Teams für die psychologischen Tricks hinter Phishing - emotionale Manipulation durch Dringlichkeit oder Autorität, gefälschte Identitäten, technische Täuschungen.
  • Regelmäßige Wiederholung ist entscheidend. Sicherheitsbewusstsein entsteht nicht von selbst: Es wächst durch Übung, Erfahrung und das regelmäßige Auffrischen von Wissen. Phishing-Methoden und Täuschungsstrategien verändern sich kontinuierlich.

Wenn Teams lernen, Warnsignale zu deuten und verdächtige Situationen aktiv zu melden, wird Informationssicherheit zu einem festen Teil der Unternehmenskultur. Das Bewusstsein, dass es jedem passieren kann, erleichtert es Mitarbeitenden, im Zweifel direkt zu melden - statt den Fehler zu verbergen.

9. FAQ

Ist es gefährlich, eine Phishing-Mail nur zu öffnen?

Wenn Sie die Mail nur im E-Mail-Programm öffnen, ohne Bilder nachzuladen, Links zu klicken oder Anhänge zu öffnen, ist die Gefahr gering bis nicht vorhanden. Löschen Sie die Mail und informieren Sie Ihre IT-Abteilung.

Was soll ich tun, wenn ich auf einen Phishing-Link geklickt habe?

Schließen Sie die aufgerufene Webseite sofort. Prüfen Sie, ob Dateien unfreiwillig heruntergeladen wurden - falls ja, abbrechen und löschen. Informieren Sie die IT-Abteilung und überlegen Sie, ob bereits sensible Informationen eingegeben wurden.

Ich habe mein Passwort auf einer Phishing-Webseite eingegeben. Was jetzt?

Ändern Sie das Passwort sofort auf einem anderen Gerät - wählen Sie ein vollständig neues Passwort, fügen Sie nicht nur ein Zeichen hinzu. Ändern Sie auch überall, wo Sie ein ähnliches Passwort verwendet haben, das Passwort. Aktivieren Sie anschließend die Zwei-Faktor-Authentifizierung.

Wie erkenne ich am Smartphone Phishing-Links?

Halten Sie den Link länger gedrückt (langer Druck statt kurzer Tipp). Das zeigt an, wohin der Link tatsächlich führt - ohne die Seite aufzurufen.

Was ist der Unterschied zwischen Phishing, Spear-Phishing und BEC?

Massen-Phishing wirft ein breites Netz aus, alle Formulierungen sind allgemein gehalten. Spear-Phishing spricht einzelne Personen gezielt mit persönlichen Details an. Business E-Mail Compromise (BEC) manipuliert gezielt Geschäftsprozesse wie Zahlungsfreigaben, indem Täter Informationen über interne Abläufe und Ansprechpartner nutzen.

Schützt HTTPS vor Phishing?

Nein. HTTPS bedeutet nur, dass die Verbindung zur Website verschlüsselt ist - nicht, dass die Website selbst seriös ist. Phishing-Seiten können ebenfalls HTTPS verwenden. Die Domain bleibt das entscheidende Prüfkriterium.

Warum fallen auch erfahrene Mitarbeiter auf Phishing herein?

Im Arbeitsalltag hat man nicht immer Zeit, jede E-Mail genau zu prüfen. Professionelle Phishing-Mails sind sprachlich einwandfrei, personalisiert und setzen gezielt auf emotionale Trigger wie Dringlichkeit und Autorität. Es ist wie mit April-Scherzen: Man weiß, dass sie existieren, und fällt trotzdem manchmal darauf herein - man muss es nur einmal glauben, um zum Opfer zu werden.

Was können Unternehmen konkret tun, um das Risiko zu senken?

Sieben Maßnahmen wirken in Kombination am stärksten: Zwei-Faktor-Authentifizierung einführen, E-Mail-Adressen geheim halten, HTML-E-Mails deaktivieren, öffentliches WLAN meiden, Links in E-Mails grundsätzlich nicht klicken, keine Drittanbieter-E-Mail-Apps nutzen und klare Prozesse für Finanztransaktionen etablieren. Ergänzt durch regelmäßige Phishing-Simulationen und Security Awareness Schulungen entsteht eine robuste Verteidigung.

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung