Was ist Phishing? Definition, Beispiele und Schutzmaßnahmen

Was ist Phishing?

Phishing ist ein eine der am weitesten verbreiteten Arten von Cyberangriffen, bei denen mithilfe von Kommunikationsmitteln wie E-Mails, Textnachrichten, Anrufen oder Webseiten sensible Daten – wie Passwörter, Finanzinformationen oder andere vertrauliche Zugangsdaten – gestohlen werden sollen. Ein weiteres Ziel ist es oft, Opfer dazu zu bringen, Schadsoftware herunterzuladen. Der Begriff setzt sich aus einer Wortkomposition aus „Password“ und „Fishing“ (fischen) zusammen und versinnbildlicht, wie böswillige Akteure nach Opfern fischen. 

Bei Phishing-Angriffen geben die Cyberkriminellen aktiv vor, eine vertrauenswürdige Person oder Organisation zu sein. Sie schicken dir eine Nachricht, die scheinbar von einer seriösen Quelle stammt, aber in Wirklichkeit eine Fälschung ist. Diese Art von Scam appelliert oft an die Gefühle der Menschen, was ihr Urteilsvermögen trübt.

Wie funktioniert Phishing?

Ein Phishing-Angriff beginnt damit, dass der Angreifer eine Methode nutzt – in der Regel Social Engineering – um sich als vertrauenswürdige Quelle auszugeben, z. B. als Bank, Lieferdienst, Kollege oder bekannte Organisation. Ziel ist es, ein Gefühl der Dringlichkeit zu erzeugen und das Opfer dazu zu zwingen, sensible Informationen preiszugeben oder eine andere vom Angreifer gewünschte Aktion durchzuführen. Hier die wichtigsten Schritte, wie ein Phishing-Versuch aussieht:

1. 1.Der Phishing-Köder: Du erhältst eine Nachricht in Form einer E-Mail, SMS oder eines Anrufs und wirst dringend zu einer Aktion aufgefordert, z.B. dein Konto wiederherzustellen, deine Lieferung zu überprüfen oder etwas zu bezahlen, um eine Strafe zu vermeiden.
2. 2.Die Phishing-Falle: In den verschickten Nachrichten sind meisten Links, aber auch QR-Codes enthalten. Diese sind unauffällig gestaltet, aber sobald du darauf klickst, wirst du auf eine schädliche Seite führen, die die Kriminellen erstellt haben.
3. 3.Der Phishing-Fang: Wenn du auf der gefälschten Webseite deine Daten eingibst, können die Phishing-Angreifer diese Daten stehlen, sie nutzen, um weitere Angriffe zu starten oder dir Geld entwenden.

Um den Angriff durchzuführen und dieses Angriffssystem aufzubauen, verwenden Kriminelle verschiedene Techniken:

• Social Engineering. Hierbei werden Opfer durch psychologische Manipulation dazu gebracht, Sicherheitsverfahren zu ignorieren und sensible Daten preiszugeben.
• Link-Manipulation. Dabei wird das Aussehen eines schädlichen Links so verändert, dass er täuschend echt wirkt.
• URL-Shortener. Durch das Kürzen von URLs wird die eigentliche Zieladresse verschleiert, sodass der Nutzer nicht erkennen kann, ob der Link zu einer bösartigen Webseite führt.
• Domain-Spoofing. Angreifer fälschen E-Mail-Adressen oder Domain-Namen, um vorzutäuschen, dass eine Nachricht von einer legitimen Quelle stammt.
• DNS-Hijacking. Bei dieser Methode manipulieren Angreifer das Domain Name System (DNS), um Nutzer auf gefälschte oder unsichere Webseiten umzuleiten. Erfahre, wie du DNS-Hijacking verhindern kannst.

Aktuelle Phishing-Beispiele in Deutschland

Die Verbraucherzentralen, Medien und Behörden informieren die Öffentlichkeit regelmäßig über bekannt gewordene Phishing-Fälle, hier ein paar aktuelle Beispiele:

• Beispiel Banken-Phishing: Aktuell kursieren Phishing-Mails im Namen der DKB, die mit einer angeblichen Kontosperrung wegen „Unregelmäßigkeiten" drohen und zur Identitätsbestätigung über einen gefälschten Link auffordern. Typische Erkennungsmerkmale sind eine unpersönliche Anrede, eine unseriöse Absenderadresse und der Aufbau von Zeitdruck.
• Beispiel Krankenkassen-Phishing: Es sind Phishing-Mails im Umlauf, die im Namen der AOK eine angebliche Identitätsprüfung für „Mein AOK" fordern, inklusive Anmeldung per Online-Banking und Drohung mit Kontosperrung. Erkennbar sind sie an der unpersönlichen Anrede, unseriösen Absenderadresse und Fristsetzung.
• Beispiel GEZ-Phishing: In Bayern warnen Verbraucherschützer vor gefälschten E-Mails zum Rundfunkbeitrag, die mit Logos von ARD, ZDF und Deutschlandradio zur Zahlung angeblich offener Beiträge auffordern, teils mit einem Rabattversprechen bei schneller Überweisung. Erkennbar ist der Betrug an der unpersönlichen Anrede, falschen Beitragsnummern und ausländischen Bankverbindungen – der echte Rundfunkbeitrag wird ausschließlich per Post eingefordert, und einen Rabatt gibt es nicht.

Warum sind Phishing-Angriffe gefährlich?

Die Zahl der gefährlichen Phishing-Angriffe steigt jedes Jahr dramatisch an. Das liegt daran, dass Phishing extrem effizient ist, wenig Aufwand erfordert und einen großen finanziellen Gewinn bringt. Oft dient Phishing als initialer Vektor und Türöffner für weitaus größere und komplexere Cyberangriffe, wie zum Beispiel Ransomware-Attacken. Phishing zielt dabei nicht nur auf Einzelpersonen ab, sondern auch auf große Organisationen und kritische Infrastrukturen, da ein erfolgreicher Angriff hier immense Folgen haben kann. Schauen wir uns die Gefahren genauer an:

Risiken für Einzelpersonen

• Identitätsdiebstahl: Wenn ein Angreifer deine persönlichen Daten erlangt, kann er diese nutzen, um deine Identität zu stehlen und finanziellen Betrug zu begehen. Die gestohlenen Informationen werden oft gewinnbringend im Darknet angeboten.
• Verlust von Geld: Kriminelle können dir Zugang zu deinen Bankkonten oder Kreditkarten entlocken, um unberechtigte Käufe zu tätigen oder Geld zu stehlen.
• Installation von Schadsoftware: Bei manchen Phishing-Angriffen werden Menschen dazu verleitet, bösartige Software wie zum Beispiel Spyware herunterzuladen. Diese kann dann dazu benutzt werden, sich Zugang zu deinen Geräten zu verschaffen, Informationen zu stehlen oder sie zum Teil eines Botnet zu machen.

Risiken für Unternehmen und Organisationen

Phishing-Angriffe auf Unternehmen sind oft Teil einer größeren Strategie, bei der die Angreifer versuchen, über einen Mitarbeiter in das Netzwerk einzudringen.

• Einfallstor für umfassende Angriffe: Phishing ist häufig der erste Schritt zu einem größeren Cyberangriff, wie etwa Business Email Compromise (BEC) oder der Installation von Ransomware.
• Massive Datenlecks: Angreifer haben es auf sensible Unternehmensdaten wie Geschäftsgeheimnisse, Kundendaten oder geistiges Eigentum abgesehen. Ein erfolgreicher Angriff kann zu einem massiven Datenleck führen.
• Schädigung des Rufs und finanzieller Verlust: Unternehmen, die Opfer von Phishing-Attacken werden, erleiden oft hohe finanzielle Schäden durch verlorene Investitionen, Bußgelder und die Kosten für die Behebung des Schadens.
• Beispiele für gezielte Angriffe: Große Organisationen, Behörden und kritische Infrastrukturen sind regelmäßig Ziele. Ein Fall sorgte dieses Jahr besonders für Aufsehen, bei dem es Phishing-Angreifer über Signal auf Bundestagsabgeordnete abgesehen hatten.

Welche Arten von Phishing-Angriffen gibt es?

Phishing-Angriffe unterscheiden sich vor allem durch den Kanal, über den sie durchgeführt werden – ob per E-Mail, Telefon, SMS, QR-Code oder über soziale Medien. Die Methode bestimmt, wie die Betrüger an ihre Opfer herantreten, doch das Ziel ist immer dasselbe: sensible Daten stehlen oder Schadsoftware einschleusen. Hier die wichtigsten Arten im Überblick.

E-Mail-Phishing

E-Mail-Phishing ist die verbreitetste Form und richtet sich in der Regel an eine große Zahl von Empfängern gleichzeitig. Die Betrüger versenden massenhaft E-Mails, die aussehen, als kämen sie von bekannten Unternehmen, Banken oder Behörden. Sie enthalten Links zu gefälschten Webseiten oder schädliche Anhänge. 

Eine besondere Variante ist das sogenannte Clone-Phishing. Dabei wird eine echte, bereits empfangene E-Mail nahezu identisch kopiert – nur die Links oder Anhänge werden durch schädliche ersetzt. Das macht die Fälschung besonders schwer erkennbar.

Spear-Phishing

Während E-Mail-Phishing breit gestreut ist, zielt Spear-Phishing gezielt auf einzelne Personen oder Organisationen ab. Die Angreifer sammeln über ihre Opfer im Vorfeld Informationen und verfassen maßgeschneiderte Nachrichten, die persönliche Details enthalten – etwa den Namen des Vorgesetzten oder aktuelle Projekte. 

Eine noch gezieltere Form ist das sogenannte Whaling. Hier stehen hochrangige Führungskräfte wie CEOs oder Geschäftsführer im Visier. Die Nachrichten wirken oft wie dringende Geschäftskommunikation und zielen auf große Geldtransfers oder vertrauliche Unternehmensdaten ab.

Vishing – Telefonbetrug

Beim Vishing (Voice Phishing) setzen Betrüger auf Anrufe statt auf E-Mails. Sie rufen ihre Opfer an und geben sich als Bankmitarbeiter, Behördenvertreter oder Techniksupport aus. Durch geschickte Gesprächsführung und vorgetäuschte Dringlichkeit versuchen sie, sensible Daten wie Kontoinformationen, PINs oder Zugangsdaten zu erfragen. Oft werden Telefonnummern gefälscht (Spoofing), sodass auf dem Display eine vertrauenswürdige Nummer angezeigt wird. Mehr über diese Methode erfährst du im Artikel über Betrugsanrufe.

Smishing – SMS-Betrug

Smishing (SMS Phishing) nutzt Textnachrichten als Angriffskanal. Die Betrüger versenden SMS, die angeblich von Paketdiensten, Banken oder Behörden stammen, und fordern dich auf, auf einen Link zu klicken – etwa um eine Sendungsverfolgung zu öffnen oder ein Konto zu „verifizieren". Der Link führt zu einer gefälschten Webseite oder löst den Download von Schadsoftware aus. 

Quishing – QR-Code-Betrug

Beim Quishing nutzen Angreifer manipulierte QR-Codes, um ihre Opfer auf Phishing-Seiten zu leiten. Die QR-Codes können in E-Mails, auf gefälschten Briefen, Flyern oder sogar auf öffentlichen Aushängen platziert werden – etwa über bestehende QR-Codes an Parkautomaten oder Ladesäulen geklebt. Da der Inhalt eines QR-Codes vor dem Scannen nicht sichtbar ist, erkennen viele Nutzer die Fälschung erst, wenn es zu spät ist.

URL-Phishing

Beim URL-Phishing erstellen Betrüger Webseiten mit Adressen, die den echten URLs bekannter Dienste täuschend ähnlich sehen. Typische Tricks sind leicht veränderte Schreibweisen (z. B. „arnazon.de" statt „amazon.de"), zusätzliche Bindestriche oder ungewöhnliche Domain-Endungen. Die Opfer werden über E-Mails, Nachrichten oder Suchergebnisse auf diese gefälschten Seiten gelockt und geben dort ahnungslos ihre Zugangsdaten ein.

Angler-Phishing

Angler-Phishing spielt sich auf sozialen Medien ab. Betrüger erstellen gefälschte Kundenservice-Accounts, die denen bekannter Unternehmen zum Verwechseln ähnlich sehen. Wenn Nutzer sich öffentlich über ein Problem beschweren – etwa bei einer Bank, einem Mobilfunkanbieter oder einem Online-Shop –, antworten die Betrüger mit dem Fake-Account und bieten „Hilfe" an. Dabei leiten sie ihre Opfer auf Phishing-Seiten weiter oder fordern sie auf, Zugangsdaten oder persönliche Informationen preiszugeben.

Kalender-Phishing

Beim Kalender-Phishing versenden Angreifer manipulierte Kalendereinladungen – meist im .ics-Format –, die sich automatisch im Kalender des Opfers eintragen. Die Einträge enthalten Links zu Phishing-Seiten, getarnt als Termindetails, Videokonferenz-Links oder Veranstaltungshinweise. Da diese Einladungen oft die E-Mail-Spamfilter umgehen und direkt im Kalender erscheinen, wirken sie besonders glaubwürdig. Die beste Gegenmaßnahme: Verdächtige Kalendereinladungen nicht annehmen oder ablehnen, sondern direkt löschen. Denn selbst das Ablehnen kann dem Angreifer signalisieren, dass die Adresse aktiv ist.

Welche Anzeichen für Phishing gibt es?

Phishing-Angriffe werden immer raffinierter. Dennoch gibt es klare Anzeichen und Warnsignale, an denen du erkennst, ob eine E-Mail, SMS oder ein Anruf ein Betrugsversuch ist. Wir zeigen dir, worauf du achten musst:

• Nachricht erzeugt Gefühl der Dringlichkeit. Betrüger nutzen die Angst der Menschen aus, etwas zu verpassen, um sie zu schnellen Entscheidungen zu bewegen. Ein zeitlich begrenztes Sonderangebot oder eine drohende Kontosperrung sollen dich dazu verleiten, sofort zu handeln.
• Fehlerhafte Grammatik oder Rechtschreibung. Seriöse Unternehmen versenden in der Regel fehlerfreie Nachrichten. Achte auch auf falsch geschriebene Wörter oder Namen in den angegebenen Links, da dies ein Zeichen für Typosquatting ist.
• Unerwartete Anhänge oder Links. Sei bei Links und Dateianhängen, die du nicht erwartet hast, besonders vorsichtig. Unternehmen schicken Newsletter oder Warnungen nur selten mit Anhängen.
• Generische Anrede. Phishing-E-Mails werden oft an große Gruppen gesendet und verwenden unpersönliche Formulierungen wie „Sehr geehrter Kunde“ anstelle deines Namens.
• Absender ist unbekannt oder unvertraut. Wenn du von einem Dienst kontaktiert wirst, der dir nie zuvor Hinweise auf geänderte Passwörter oder zu gut klingende Angebote geschickt hat, solltest du misstrauisch werden.
• Forderung nach Geld oder Zugangsdaten. Banken oder seriöse Unternehmen werden dich niemals per E-Mail, SMS oder Anruf bitten, deine Anmeldedaten preiszugeben oder eine Vorauszahlung zu leisten.

Die Betrüger werden dank KI immer raffinierter, wodurch die Angriffe immer weniger offensichtlich sind. Da künstliche Intelligenz Nachrichten schnell, fehlerfrei und personalisiert erstellen kann, funktionieren die traditionellen Erkennungsmethoden nicht immer. Bleibe daher immer skeptisch, wenn du unaufgeforderte E-Mails, Nachrichten oder Anrufe erhältst, egal wie professionell sie klingen.

Wie kann ich mich vor Phishing-Angriffen schützen?

Um dich effektiv vor Phishing-Angriffen zu schützen, solltest du die folgenden Schutzmaßnahmen und Verhaltensregeln beachten:

• Lerne, Phishing-Betrugsversuche zu erkennen. Mit ein bisschen Übung kannst du lernen, Phishing-E-Mails zu erkennen. Auch die kleinen Dinge sind wichtig – wenn dein Vorgesetzter seine E-Mails immer mit „Danke!“ unterschreibt, aber aus dem Nichts heraus „Mit freundlichen Grüßen“ schreibt, solltest du am besten noch einmal nachhaken. Wenn es um Betriebsgeheimnisse und große Geldsummen geht, kann man nie vorsichtig genug sein.
• Nutze die Zwei-Faktor-Authentifizierung (2FA). Aktiviere die Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) für alle wichtigen Konten. Sie stellt sicher, dass selbst wenn dein Passwort gestohlen wird, Angreifer ohne dein physisches Gerät (z. B. Smartphone) keinen Zugriff erhalten.
• Verwende Spamfilter. Ein guter Weg, um Phishing-E-Mails zu vermeiden, ist zu verhindern, dass sie in deinem Posteingang landen. So vermeidest du, dass du versehentlich eine E-Mail mit bösartigen Links und Anhängen öffnest. Für zusätzliche Sicherheit können dir Anti-Phishing-Tools helfen, solche Inhalte automatisch zu erkennen und zu blockieren.
• Hol dir einen Anhangsfilter. Der Betrugs- und Phishing-Schutz vom Online-VPN-Dienst NordVPN warnt dich vor Phishing-Versuchen. Es ist eine Sicherheitsfunktion, die dich beim Surfen sicher hält und dich vor Schadsoftware schützt. Sie scannt deine Dateien während des Downloads und blockiert bösartige Inhalte, bevor sie dein Gerät erreichen.
• Halte deine Software auf dem neuesten Stand. Um dich vor Sicherheitslücken und Cyberangriffen zu schützen, ist es wichtig, dass du deine Software auf dem neuesten Stand hältst. Software-Updates enthalten in der Regel einen Schutz gegen die neuesten Bedrohungen.
• Nutze einen Link- oder Datei-Checker. Wenn du dir nicht sicher bist, ob ein E-Mail-Link oder eine Datei im Anhang sicher ist, solltest du Cybersicherheits-Tools wie einen Link-Checker bzw. einen Datei-Checker nutzen, um zu sehen, ob das Anklicken ungefährlich ist.
• Verwende einen Passwort-Manager. Erstelle und speichere komplexe, eindeutige und sichere Passwörter oder verwende Passkeys für jedes deiner Online-Konten.
• Bleib wachsam. Sei skeptisch und zögere nicht, die Echtheit einer E-Mail oder Webseite zu überprüfen. Kontaktiere das Unternehmen oder die Person, von der die E-Mail angeblich stammt, über einen anderen Kanal, um sie zu überprüfen.

Was kann ich tun, wenn ich von einem Phishing-Angriff betroffen bin?

Wenn du glaubst, auf einen Phishing-Angriff hereingefallen zu sein, ist schnelles Handeln entscheidend, um den Schaden zu begrenzen. Je nachdem, ob du nur auf einen Link geklickt oder bereits Zugangsdaten eingegeben hast, solltest du folgende Schritte unternehmen:

1. 1.Reagiere umgehend. Wenn du einen verdächtigen Anhang heruntergeladen oder auf einen Link geklickt hast, trenne umgehend die Internetverbindung, um die Kommunikation von möglicherweise installierter Schadsoftware mit dem Angreifer zu unterbinden.
2. 2.Ändere umgehend alle Passwörter. Wenn du Zugangsdaten eingegeben hast, ändere sofort die Passwörter für alle betroffenen Konten sowie für andere wichtige Konten (E-Mail, Bank, soziale Medien), falls du Passwörter wiederverwendet hast. Verwende einen Passwort-Manager für starke, eindeutige Passwörter.
3. 3.Informiere deine Bank oder Kreditkartenfirma. Wenn du Finanzdaten preisgegeben hast, kontaktiere umgehend dein Kreditinstitut und lasse Konten/Karten sperren, um unautorisierte Transaktionen zu verhindern.
4. 4.Überprüfe deine Geräte auf Schadsoftware. Führe einen vollständigen Scan mit einer vertrauenswürdigen Sicherheitssoftware durch, um Viren, Trojaner oder Spyware auszuschließen.
5. 5.Überwache deine Konten. Halte Ausschau nach ungewöhnlichen Aktivitäten auf deinen E-Mail-Konten, in sozialen Medien oder bei Finanzdienstleistern.
6. 6.Melde den Vorfall. Du kannst öffentliche Quellen überprüfen, um herauszufinden, ob ähnliche Nachrichten bereits gemeldet wurden. Die Verbraucherzentralen bringen kontinuierlich Meldungen zu Phishing-Betrugsmaschen heraus. Informiere außerdem Behörden wie das Service-Center des BSI, die Bundesnetzagentur oder deine örtliche Polizeidienststelle, um den Phishing-Betrug zu melden.