Echt oder gefälscht? So erkennen Sie Phishing-E-Mails

Phishing-E-Mails sind die häufigste Einstiegsmethode für Online-Betrug weltweit. Laut aktuellen Studien beginnen über 90 % aller Cyberangriffe mit einer Phishing-Nachricht. Trotz zunehmend ausgefeilter Methoden lassen sich die meisten Phishing-Versuche erkennen — wenn man weiß, worauf man achten muss. Dieser Ratgeber zeigt Ihnen die 7 wichtigsten Warnsignale.

Was ist eine Phishing-E-Mail?

Phishing (von "fishing" — angeln) beschreibt den Versuch, durch täuschend echte E-Mails oder Nachrichten sensible Daten zu stehlen: Passwörter, Kreditkartennummern, TANs, Zugangsdaten zu Banking- oder Krypto-Konten. Manchmal führen Phishing-Links auch direkt zu Schadsoftware, die im Hintergrund Daten ausliest.

Besonders im Finanzbereich sind die Folgen schwerwiegend: Ein einziger Klick kann dazu führen, dass Ihr Bankkonto geleert oder Ihre Krypto-Wallet kompromittiert wird.

Warnsignal 1: Die Absenderadresse stimmt nicht

Das offensichtlichste, aber am häufigsten übersehene Warnsignal ist die tatsächliche Absender-E-Mail-Adresse. Betrüger zeigen als angezeigten Absendernamen "Deutsche Bank" oder "PayPal" an — aber die dahinterliegende Adresse ist völlig anders.

So prüfen Sie die Absenderadresse:

• Klicken oder tippen Sie auf den Absendernamen, um die vollständige E-Mail-Adresse anzuzeigen
• Achten Sie auf subtile Abweichungen: support@deutschebank-sicherheit.com statt support@deutschebank.de
• Beachten Sie die Domain — bei seriösen Unternehmen schreiben Mitarbeiter immer von der offiziellen Unternehmens-Domain
• Misstrauen Sie Adressen mit kryptischen Zeichenfolgen, Zahlen oder unbekannten Domains

Faustregel: Wenn der Absendername und die tatsächliche E-Mail-Adresse nicht zusammenpassen, handelt es sich höchstwahrscheinlich um Phishing.

Warnsignal 2: Unpersönliche oder generische Anrede

Ihre Bank, Ihr Zahlungsdienstleister oder ein seriöses Unternehmen, bei dem Sie Kunde sind, weiß Ihren Namen. Wenn eine E-Mail mit "Sehr geehrter Kunde", "Liebe Nutzerin", "Dear User" oder gar ohne Anrede beginnt, ist das ein klares Zeichen für eine Massen-Phishing-Kampagne.

Ausnahmen gibt es — z. B. bei automatisierten Systemen. Aber in Kombination mit anderen Warnsignalen (Dringlichkeit, unbekannte Absenderadresse) wird die unpersönliche Anrede zum deutlichen Hinweis.

Einige Angreifer recherchieren mittlerweile Ihren Namen im Voraus (sog. "Spear Phishing") — persönliche Anrede allein ist also keine Garantie für Echtheit.

Warnsignal 3: Künstliche Dringlichkeit und Drohungen

Phishing-E-Mails erzeugen bewusst psychologischen Druck. Typische Formulierungen:

• "Ihr Konto wird in 24 Stunden gesperrt, wenn Sie nicht sofort handeln."
• "Ungewöhnliche Aktivität wurde auf Ihrem Konto festgestellt — bestätigen Sie sofort Ihre Identität."
• "Ihr Paket wird zurückgesandt, wenn Sie die offene Gebühr nicht innerhalb von 48 Stunden bezahlen."
• "Letzter Hinweis: Ihr Steuererstattungsanspruch verfällt in 3 Tagen."

Diese Nachrichten sind darauf ausgelegt, Ihren Verstand auszuschalten und einen Reflex auszulösen. Seriöse Unternehmen verschicken keine solchen Drohungen per E-Mail — sie kontaktieren Sie telefonisch oder per Post, wenn wirklich etwas dringend ist.

Wenn Sie unter Druck gesetzt werden: Innehalten, nicht klicken, direkt beim Unternehmen anrufen — über eine Nummer, die Sie selbst recherchiert haben, nicht aus der E-Mail.

Warnsignal 4: Verdächtige Links — die Hover-Technik

Links in Phishing-Mails führen fast nie dorthin, wohin der angezeigte Text suggeriert. Bevor Sie irgendeinen Link in einer E-Mail anklicken, fahren Sie mit der Maus darüber (Hover) — ohne zu klicken. In der Statusleiste Ihres E-Mail-Programms oder Browsers erscheint die tatsächliche Ziel-URL.

Worauf Sie achten sollten:

• Stimmt die URL mit dem Namen des angeblichen Absenders überein? (paypal.com vs. paypal-sicherheit.net)
• Ist die Domain korrekt geschrieben? (Typosquatting: arnazon.de statt amazon.de)
• Beginnt die URL mit https://? (Kein HTTPS ist schlecht — aber auch HTTPS allein ist keine Garantie)
• Enthält die URL ungewöhnliche Subdomains wie login.ihre-bank.sicherheit-update.xyz?

Auf mobilen Geräten können Sie Links gedrückt halten, um die tatsächliche URL angezeigt zu bekommen, bevor Sie folgen.

Warnsignal 5: Unerwartete Dateianhänge

Phishing-E-Mails enthalten häufig Anhänge, die Schadsoftware verbergen. Besonders gefährlich sind:

• Office-Dokumente (.docx, .xlsx) mit "aktivierten Makros" — diese können beim Öffnen automatisch Code ausführen
• PDF-Dateien mit eingebetteten Links oder Formularen
• ZIP-Archive, die ausführbare Dateien (.exe, .js, .bat) enthalten
• Anhänge mit Doppelendungen wie Rechnung.pdf.exe

Öffnen Sie niemals Anhänge in E-Mails, die Sie nicht erwartet haben — auch nicht, wenn der Absender bekannt wirkt. Im Zweifel fragen Sie beim Absender telefonisch nach, ob er Ihnen wirklich etwas geschickt hat.

Warnsignal 6: Anfragen nach persönlichen Daten oder Passwörtern

Kein seriöses Unternehmen, keine Bank und kein Zahlungsdienstleister wird Sie jemals per E-Mail nach Ihrem Passwort, Ihrer vollständigen Kartennummer, Ihrer TAN oder Ihrer PIN fragen. Das ist schlicht und einfach niemals notwendig.

Wenn eine E-Mail Sie bittet:

• Ihre Login-Daten auf einer verlinkten Seite einzugeben
• Ihre vollständige Kreditkartennummer zu "bestätigen"
• Einen einmaligen Code einzugeben, den Sie per SMS erhalten haben
• Ihre Online-Banking-Zugangsdaten zu "verifizieren"

… dann handelt es sich mit hoher Wahrscheinlichkeit um Phishing oder einen Social-Engineering-Angriff. Geben Sie diese Daten niemals preis.

Warnsignal 7: Sprachliche Fehler — aber auch fehlerfreie Phishing-Mails

Der klassische Hinweis auf Phishing sind Rechtschreibfehler, schlechte Grammatik und holpriges Deutsch. Das ist nach wie vor ein gültiges Warnsignal — aber verlassen Sie sich nicht darauf.

Moderne Phishing-Kampagnen, besonders solche, die auf bestimmte Länder abzielen, werden mit erheblichem Aufwand auf Sprachqualität optimiert — oft unter Einsatz von KI-Übersetzungstools. Eine fehlerfreie E-Mail ist kein Beweis für Echtheit.

Typische sprachliche Warnsignale:

• Merkwürdige Satzstruktur oder Wortfolge
• Übersetzungsfehler bei Fachbegriffen ("Ihre Bankverbindung wurde kompromittieren")
• Mischung aus formeller und informeller Ansprache innerhalb derselben E-Mail
• Ungewöhnliche Formatierung (Buchstaben werden durch ähnlich aussehende Zeichen ersetzt: RаyРаl statt PayPal)

Was tun, wenn man auf einen Phishing-Link geklickt hat?

Wenn Sie versehentlich auf einen Link geklickt haben oder — noch schlimmer — Daten eingegeben haben:

1. Sofort: Passwörter ändern — beginnen Sie mit dem betroffenen Konto, dann mit allen Konten, die dasselbe Passwort verwenden
2. Bank/Kreditkartenunternehmen informieren — bei Verdacht auf kompromittierte Zahlungsdaten sofort anrufen und ggf. Karte sperren lassen
3. Gerät auf Schadsoftware prüfen — aktuellen Virenscan durchführen; im Zweifel Gerät von einem Fachmann prüfen lassen
4. 2FA aktivieren — auf allen wichtigen Konten (E-Mail, Banking, Krypto-Börsen)
5. Vorfall melden — beim BSI (bsi.bund.de), bei der Verbraucherzentrale oder dem Anti-Phishing-Working-Group-Portal
6. Anzeige erstatten — wenn ein finanzieller Schaden entstanden ist, ist eine Polizeianzeige wichtig für spätere Rechtsdurchsetzung

Wenn durch eine Phishing-Attacke ein erheblicher Finanzschaden entstanden ist, lohnt sich eine rechtliche Einschätzung. Jede Erfolgsaussicht hängt vom Einzelfall ab — aber mit professioneller Unterstützung sind die Handlungsoptionen oft größer, als Betroffene zunächst denken.