Die meisten erfolgreichen Angriffe im Netz brechen keine Verschlüsselung und knacken keine Server. Sie zielen auf den Menschen. Phishing ist der Versuch, Sie mit einer gefälschten Nachricht dazu zu bringen, Zugangsdaten preiszugeben, eine schädliche Datei zu öffnen oder Geld zu überweisen. Der Begriff spielt auf das Angeln an: Angreifer werfen einen Köder aus und warten, wer anbeißt. Dieser Leitfaden erklärt, wie Phishing und Social Engineering funktionieren, mit welchen Tricks die Angreifer arbeiten, woran Sie eine gefälschte Nachricht erkennen und was zu tun ist, wenn Sie doch einmal hereingefallen sind.
Phishing ist deshalb so wirksam, weil es nicht die Technik, sondern menschliche Reaktionen ausnutzt: Vertrauen in bekannte Marken, den Reflex zu gehorchen, wenn eine Nachricht dringlich klingt, und die Eile im Alltag. Keine noch so gute Software schützt vollständig davor, wenn man die Muster nicht kennt. Genau deshalb ist Aufmerksamkeit hier die wichtigste Verteidigung.
Was Phishing und Social Engineering sind
Social Engineering ist der Oberbegriff für Angriffe, die Menschen manipulieren, statt Technik zu überwinden. Phishing ist die häufigste Form davon. Statt eine Sicherheitslücke in einem System zu suchen, sucht der Angreifer die Schwachstelle im Verhalten: Er gibt sich als vertrauenswürdige Stelle aus, etwa als Bank, als Paketdienst, als Arbeitgeber oder als bekannter Onlinedienst, und verleitet Sie zu einer Handlung, die Ihnen schadet.
Der klassische Ablauf besteht aus drei Teilen. Zuerst kommt der Köder, meist eine E-Mail, eine SMS oder eine Nachricht in einem Messenger, die echt aussieht. Dann folgt ein Vorwand, der Sie zum Handeln bewegt: ein angeblich gesperrtes Konto, eine offene Rechnung, ein verpasstes Paket. Schließlich gibt es ein Ziel, etwa einen Link zu einer gefälschten Anmeldeseite oder einen Anhang, der Schadsoftware enthält. Gelingt der Köder, geben Sie Ihre Zugangsdaten auf einer täuschend echten Seite ein, und die Angreifer fangen sie ab.
Verbreitete Formen von Phishing
Phishing tritt in mehreren Spielarten auf, die sich vor allem darin unterscheiden, wie gezielt sie vorgehen und über welchen Kanal sie kommen.
Massen-Phishing
Die häufigste Form ist die breit gestreute E-Mail, die an unzählige Empfänger zugleich geht. Sie imitiert einen bekannten Dienst und hofft darauf, dass ein kleiner Teil der Empfänger gerade tatsächlich Kunde ist und reagiert. Solche Mails sind oft generisch gehalten, sprechen Sie mit unpersönlichen Formeln an und enthalten häufiger sprachliche Ungereimtheiten.
Spear-Phishing
Beim Spear-Phishing nimmt der Angreifer eine bestimmte Person ins Visier und passt die Nachricht individuell an. Er nutzt dafür Informationen, die er etwa aus einem Datenleck, aus sozialen Netzwerken oder von der Website eines Unternehmens gewonnen hat. Eine Mail, die Ihren vollständigen Namen, Ihre Position und einen echten Bezug zu Ihrem Arbeitsalltag nennt, wirkt überzeugend und senkt die natürliche Vorsicht. Diese Angriffe sind deutlich gefährlicher als Massen-Phishing.
Smishing und Vishing
Phishing beschränkt sich nicht auf E-Mail. Beim Smishing kommt der Köder per SMS, etwa als angebliche Paketbenachrichtigung mit einem Link. Beim Vishing ruft der Angreifer an und gibt sich am Telefon als Bankmitarbeiter, Techniksupport oder Behörde aus. Die Stimme am Telefon erzeugt zusätzlichen Druck und lässt weniger Zeit zum Nachdenken, was diese Variante besonders heikel macht.
CEO-Betrug und Rechnungsbetrug
Im beruflichen Umfeld verbreitet ist der sogenannte CEO-Betrug, bei dem sich der Angreifer als Vorgesetzte oder Vorgesetzter ausgibt und eine dringende Überweisung anordnet. Verwandt damit ist der Rechnungsbetrug, bei dem eine echte Rechnung abgefangen und mit geänderter Kontonummer erneut verschickt wird. Beide Varianten setzen auf Autorität und Zeitdruck und richten oft erheblichen finanziellen Schaden an.
Mit welchen Taktiken Angreifer arbeiten
So unterschiedlich die Formen sind, die zugrunde liegenden psychologischen Hebel ähneln sich. Wer sie kennt, erkennt den Angriff oft schon am Muster.
Der wichtigste Hebel ist Dringlichkeit. Eine Nachricht, die behauptet, Ihr Konto werde in wenigen Stunden gesperrt oder eine Frist laufe gleich ab, soll Sie zum überstürzten Handeln bringen, bevor Sie nachdenken. Eng damit verbunden ist die Erzeugung von Angst, etwa durch die Behauptung, es habe einen verdächtigen Zugriff gegeben. Auf der anderen Seite steht die Verlockung, etwa ein angeblicher Gewinn oder eine Rückerstattung, die zu schön klingt, um wahr zu sein.
Hinzu kommt das Ausnutzen von Autorität. Eine Nachricht, die scheinbar von einer Behörde, der Geschäftsführung oder einem großen Unternehmen stammt, wird seltener hinterfragt. Schließlich setzen Angreifer auf Vertrautheit: Sie kopieren Logos, Schriftbilder und Formulierungen bekannter Marken so genau, dass die Fälschung auf den ersten Blick echt wirkt. Genau weil all diese Hebel auf Emotionen zielen, hilft eine einfache Gegenregel: Je stärker eine Nachricht Sie zum sofortigen Handeln drängt, desto mehr Anlass besteht, innezuhalten und zu prüfen.
Woran Sie eine Phishing-Nachricht erkennen
Es gibt eine Reihe verlässlicher Warnzeichen. Selten treffen alle zugleich zu, doch schon eines sollte Ihre Aufmerksamkeit wecken.
- Unerwarteter Anlass und Handlungsdruck. Eine Nachricht, mit der Sie nicht gerechnet haben und die zu sofortigem Handeln drängt, ist grundsätzlich verdächtig.
- Abweichende Absenderadresse. Prüfen Sie die tatsächliche E-Mail-Adresse, nicht nur den angezeigten Namen. Oft steckt dahinter eine fremde oder leicht abgewandelte Domain.
- Verdächtige Links. Fahren Sie mit der Maus über einen Link, ohne zu klicken, und sehen Sie sich das echte Ziel an. Führt es zu einer fremden oder seltsam geschriebenen Adresse, ist Vorsicht geboten. Achten Sie auf Tippfehler-Domains, die einer echten Adresse ähneln.
- Unpersönliche Anrede und sprachliche Fehler. Allgemeine Formeln statt Ihres Namens sowie Rechtschreib- und Grammatikfehler sind typische Hinweise, auch wenn gut gemachte Angriffe daran kaum noch zu erkennen sind.
- Abfrage sensibler Daten. Seriöse Anbieter fordern Sie nicht per E-Mail auf, Passwörter, vollständige Kartendaten oder Einmalcodes preiszugeben.
- Unerwartete Anhänge. Dateien, die Sie nicht erwartet haben, vor allem ausführbare Programme oder Office-Dokumente mit der Bitte, Makros zu aktivieren, sollten Sie nicht öffnen.
Ein besonders verlässlicher Schutz ergibt sich aus einer einfachen Gewohnheit: Tippen Sie die Adresse eines Dienstes selbst in den Browser ein oder nutzen Sie ein gespeichertes Lesezeichen, statt einem Link aus einer Nachricht zu folgen. So landen Sie sicher auf der echten Seite. Hilfreich ist hier auch ein Passwort-Manager, denn er füllt Zugangsdaten nur auf der hinterlegten echten Adresse aus und verweigert den Dienst auf einer gefälschten Seite. Mehr dazu im Leitfaden zur Passwortsicherheit.
Beachten Sie außerdem: Das Schloss-Symbol im Browser ist kein Echtheitsbeweis. Auch eine Phishing-Seite kann eine verschlüsselte Verbindung mit gültigem Zertifikat besitzen. Das Schloss garantiert nur, dass die Verbindung verschlüsselt ist, nicht, dass die Seite ehrlich ist. Diesen wichtigen Unterschied erklärt unser Leitfaden zu HTTPS und TLS.
Was tun, wenn Sie hereingefallen sind
Niemand ist davor gefeit, und Selbstvorwürfe helfen nicht weiter. Wichtig ist, schnell und besonnen zu handeln, denn die ersten Minuten und Stunden entscheiden oft darüber, wie groß der Schaden wird.
Haben Sie ein Passwort auf einer gefälschten Seite eingegeben, ändern Sie es umgehend beim echten Dienst. Haben Sie dasselbe Passwort, entgegen der Empfehlung, auch anderswo verwendet, ändern Sie es überall dort. Aktivieren Sie, falls noch nicht geschehen, eine zweite Anmeldestufe, damit ein gestohlenes Passwort allein nicht mehr genügt.
Sind Zahlungsdaten betroffen, informieren Sie unverzüglich Ihre Bank oder Ihren Kartenanbieter, lassen Sie die Karte sperren und achten Sie auf unberechtigte Abbuchungen. Bei beruflichen Vorfällen melden Sie den Verdacht sofort der zuständigen IT- oder Sicherheitsstelle. Eine schnelle Meldung ist kein Eingeständnis von Versagen, sondern der entscheidende Schritt, um größeren Schaden abzuwenden, etwa indem Zugänge gesperrt und Systeme geprüft werden.
Haben Sie einen Anhang geöffnet oder ein Programm ausgeführt, trennen Sie das Gerät vom Netzwerk und lassen Sie es auf Schadsoftware prüfen. Ändern Sie wichtige Passwörter erst von einem anderen, sauberen Gerät aus, da ein befallenes Gerät Ihre neuen Eingaben mitlesen könnte. Behalten Sie schließlich in den folgenden Wochen Ihre Konten und Kontoauszüge im Auge, denn die Folgen eines erfolgreichen Angriffs zeigen sich manchmal erst mit Verzögerung.
Häufige Fragen
Wie unterscheidet sich Phishing von Spam?
Spam ist unerwünschte Massenwerbung und meist nur lästig. Phishing dagegen ist ein gezielter Täuschungsversuch mit dem Ziel, Zugangsdaten, Geld oder vertrauliche Informationen zu erlangen. Phishing kann als Spam daherkommen, ist aber gefährlicher, weil es Sie zu einer schädlichen Handlung verleiten will.
Schützt mich ein Spamfilter ausreichend vor Phishing?
Filter fangen viele Phishing-Nachrichten ab, aber nicht alle. Besonders gezielte Angriffe wie Spear-Phishing rutschen häufig durch, weil sie individuell gestaltet sind. Technische Filter sind eine sinnvolle erste Schicht, ersetzen aber nicht Ihre eigene Aufmerksamkeit.
Ist eine Nachricht echt, wenn sie meinen Namen kennt?
Nicht unbedingt. Persönliche Angaben wie Ihr Name oder Ihre Adresse können aus einem früheren Datenleck oder aus sozialen Netzwerken stammen. Gerade beim Spear-Phishing nutzen Angreifer solche echten Daten, um glaubwürdiger zu wirken. Persönliche Ansprache ist daher kein Beweis für Echtheit.
Was ist der wirksamste Schutz gegen Phishing?
Eine Kombination mehrerer Schichten: aufmerksames Prüfen verdächtiger Nachrichten, einzigartige Passwörter mit einem Passwort-Manager und eine überall aktivierte zweite Anmeldestufe. Selbst wenn ein Angriff einmal gelingt, begrenzt diese zweite Anmeldestufe den Schaden erheblich.
