Phishing: Was ist das und wie kann ich mich schützen?

Haben Sie auch schon einmal von Phishing gehört? Wir zeigen, was dieser Begriff meint und wann Phishing besonders gefährlich ist.

© one photo/shutterstock.com

Grüße der besten Freundin, die Bestätigung der letzten Schuhbestellung, Newsletter, für die Sie sich eingetragen hatten: Tagtäglich trudeln unzählige E-Mails in unseren Postfächern ein. Manche dieser Mails scheinen auf den ersten Blick wichtig und seriös, haben aber betrügerische Inhalte und zielen darauf ab, Ihre persönlichen Daten abzugreifen. In diesen Fällen spricht man von Phishing.

Was bedeutet Phishing?

Anders als der Begriff zunächst vermuten lässt, hat Phishing leider nichts mit einem entspannenden Trip an den See zu tun, sondern ist ein Phänomen aus dem Bereich Cyberkriminalität. Der Ausdruck „Phishing“ ist eine Neuschöpfung aus den Begriffen „Password“ und „Fishing“ (engl. für angeln) und beschreibt damit ziemlich genau das, was sich dahinter verbirgt: Das Angeln Ihrer persönlichen Passwörter. Dabei werden spezielle E-Mails als Köder benutzt, die Nutzer dazu bewegen sollen, Ihre geheimen Daten auf sogenannten Phishing-Websites an- und somit für Dritte preiszugeben.

Welche Methode steckt dahinter?

Über täuschend echt aussehende Mailinhalte geben Betrüger vor, beispielsweise Ihre Bank bzw. andere Zahlungsdienstleister, ein Online-Shop, aber auch eine Dating-Plattform zu sein. Selbst ganz große und bekannte Unternehmen werden immer wieder Opfer krimineller Phishing-Mails. Mit einer Tarnung werden Sie über einen fadenscheinigen Vorwand dazu aufgefordert, sich beispielsweise mit Ihren Zugangsdaten in einem entsprechenden Portal einzuloggen.

Ein Vorwand kann zum Beispiel sein, dass es irgendein Problem mit Ihrem Konto gebe und Sie sich erneut autorisieren müssen.

Meist werden Sie über einen Link auf eine Internetseite gelotst, wo Sie dazu aufgefordert werden, Ihre Daten einzugeben. Obwohl die Webseite häufig dabei der echten Seite des Unternehmens verblüffend ähnlich sieht, handelt es sich dabei um einen Fake, der von Betrügern gebaut wurde, um an Ihre Daten zu gelangen.

Welche Folgen kann Phishing haben?

Ein erfolgreicher Phishing-Angriff hat meist Identitätsdiebstahl zur Folge. Wenn dies geschehen ist, können in Ihrem Namen kriminelle Handlungen getätigt werden. Die wohl bekannteste Folge aus dieser Art von Delikt ist ein finanzieller Schaden: Von Ihrem Konto aus können Überweisungen getätigt, Ihre Kreditkarte kann für von Ihnen nicht autorisierte Zahlungen eingesetzt werden.

Bei Online-Auktionshäusern wie z. B. eBay kann zudem Rufschädigung eine potentielle Folge sein, wenn gestohlene Waren unter Ihrem Namen angeboten werden. Zur Aufklärung eines solchen Falles werden oft nicht nur starke Nerven und viel Geduld benötigt, sondern häufig auch Gebühren wie ggf. Anwaltskosten fällig.

Wie kann ich mich vor Phishing schützen?

Die Methoden der Betrüger werden immer professioneller. Deshalb ist es essenziell, bei wichtig scheinenden E-Mails ein wenig genauer hinzuschauen und auf die folgenden Hinweise Acht zu geben:

Sensible Daten nicht per E-Mail preisgeben

Ihre Daten für das Online-Banking haben Sie meist über zwei verschiedene postalische Schreiben erhalten. Ihre Bank wird daher nicht über eine bloße E-Mail mit Ihnen Kontakt aufnehmen, wenn es um Ihre persönlichen Daten geht. Geben Sie daher nie deine Zugangsdaten, Passwörter oder TANs, wenn Sie per E-Mail dazu aufgefordert werden. Nachrichten mit einem solchen Inhalt können Sie ignorieren, selbst wenn Sie den Absender vermeintlich kennen.

Aktuelle Meldungen überprüfen

Wenn Phishing-Mails im Umlauf sind, dessen vermeintlicher Absender ein großes, bekanntes Unternehmen ist, wird in den Medien zumeist recht schnell darüber berichtet. Sobald man an der Echtheit einer Nachricht zweifelt, kann man z. B. bei der Verbraucherzentraleexternal nachschlagen, ob die Mail bereits als Phishing-Inhalt erkannt wurde. Wenn man selbst eine Nachricht als Fake-Mail identifiziert hat, empfiehlt es sich, die Betrügermails zu melden, um so andere vor Missbrauch zu schützen.

Auffälligkeiten finden

Die wohl klarsten Indizien, die auf eine betrügerische E-Mail hinweisen, können in Sprache und Layout gefunden werden. Eine fremdsprachige Nachricht von einem hiesigen Anbieter, schlechtes Deutsch oder aber plötzlich auftauchende Sonderzeichen, wie z. B. kyrillische Buchstaben, deuten auf einen Betrug hin.

Da die Methode der Cyberkriminellen jedoch immer professioneller wird, können diese Auffälligkeiten heute nicht mehr als eindeutige Hinweise gesehen werden. Es gibt mittlerweile auch fehlerfreie Mails mit einwandfreiem Layout.

Adresse checken

Bevor Sie persönliche Daten im Internet angeben, ist es wichtig, vorher immer die sogenannte URL, also die Adresse der Website, auf der diese angefordert werden, zu überprüfen. Recherchieren Sie den vermeintlichen Absender und vergleichen Sie die „echte“ URL mit der, die hinter dem Link in der E-Mail steckt. Leider weicht diese oft nur minimal von der echten und oft vertrauten Website ab, sodass hier besonders genau hingeschaut werden muss.

Zertifikat prüfen

Ebenfalls wichtig bei der Prüfung von potentiellen Phishing-Mails ist, ob die in der E-Mail verlinkte Seite ein gültiges Zertifikat hat. Dies lässt sich ganz leicht überprüfen. Klicken Sie hierzu einfach auf das Symbol vor der Webadresse. An dieser Stelle finden Sie häufig ein Schloss-Symbol oder auch das Logo des Unternehmens. Beim Klick sollte sich ein Fenster öffnen, über das Sie weiterführende Informationen zur Verschlüsselung der Seite und dem Urheber der Webseite erhalten.

Wie erkenne ich eine Phishing-Mail?

Es gibt ein paar Warnsignale, anhand deren Sie eine Phishing-Mail enttarnen können.

Grammatik- und Rechtschreibung

Phishing-Mails erkennen Sie oftmals an ihrem fehlerhaften Deutsch. Oft werden Übersetzungsdienste eingesetzt, die nicht akkurat übersetzen. Weitere Hinweise sind auch Zeichenfehler oder fehlende Umlaute. Sollten Sie dubiose Mails erreichen, die auf Französisch oder Englisch verfasst worden sind, aber im Namen Ihrer Bank oder Versicherung verschickt werden, können Sie auch hier von Phishing ausgehen. Ihre Bank, soweit in Deutschland ansässig, wird Sie lediglich in deutscher Sprache kontaktieren.

Fehlender Name

Eigentlich konnte man Phishing-Mails daran identifiziert werden können, wenn Sie ohne direkte namentliche Ansprache, also mit „Sehr geehrte*r“ begannen. Heute sind die Phisher allerdings deutlich gewiefter und sprechen Sie auch mit Ihrem Namen an. Dieser Faktor ist also mit Vorsicht zu genießen. Dennoch können Sie davon ausgehen, dass seriöse Dienste, bei denen Sie registriert sind, Sie immer mit ihrem echten Namen nennen.

Dringlichkeit

Werden Sie stutzig, wenn Ihnen in E-Mails harte Deadlines genannt werden. Phishing-Mails fordern Sie fast immer dazu auf, schnell dringend etwas erledigen zu müssen.

Preisgabe von Daten

Die Aufforderung, persönliche Daten, Passwörter oder PINs preiszugeben, ist ein weiterer Hinweis auf gefälschte Mails. Gehen Sie davon aus, dass Ihre Bank Sie per Mail oder Telefon nicht nach solchen Daten fragen würde.

Aufforderung zur Öffnung einer Datei & Eingabe von Daten in ein Formular

Werden Sie in Mails aufgefordert, Anhänge zu öffnen oder Dateien herunterzuladen? Finger weg! Meist sind das schadhafte Programme oder Viren, die sich dann auf Ihrem PC breit machen.

Links oder Daten einfügen

Wenn deutsche Banken Sie kontaktieren, erfolgt das meist über den Postweg. Wenn Sie doch mal eine seriöse Mail von Ihren Banken bekommen, dann meist nur mit einer Ankündigung zur Änderung der AGBs oder einer Mitteilung über andere Veränderungen. Mails, in denen Sie aufgefordert werden, Dinge zu klicken oder einzutippen, sind unseriös und mit hoher Wahrscheinlichkeit Phishing-Mails. Kommen Sie diesen Befehlen keinesfalls nach.

Absender unbekannt

Sie kennen den Absender der Mail gar nicht und haben noch nie etwas von diesem gehört? Löschen Sie die Mail direkt.

Fokus auf den Mailheader

Checken Sie immer den Headerteil der Mail. Von wem stammt die Mail, ist die E-Mail Adresse nur auf den ersten Blick seriös? Mit einem Klick auf Antworten in Ihrem Mailprogramm sehen Sie außerdem, welche E-Mail-Adresse Sie mit einer Antwortmail anschreiben würden. Hier kann aus der vermeintlichen Sparkasse im Ort schnell eine kryptische internationale E-Mail-Adresse  werden – klarer Fall für Phishing! Senden Sie die Antwortmail keinesfalls ab. Um auf Nummer sicher zu gehen, sollten Sie sich auch den Mailheader genauer ansehen. Dort finden Sie die IP-Adresse des Absenders — ein Faktor, der sich nicht fälschen lässt.

Was kann ich tun, wenn ich meine Daten preisgegeben habe?

Wenn Sie eine zweifelhafte Webseite besucht und dort Ihre Daten preisgegeben haben, setzen Sie sich umgehend mit Ihrer Bank bzw. dem vermeintlichen Anbieter in Kontakt, um finanzielle oder Rufschäden gegebenenfalls noch vermeiden zu können. Ihr Account und etwaige PIN bzw. TAN-Nummern sollten in diesem Fall gesperrt werden. Weisen Sie Ihren Ansprechpartner bestenfalls darauf hin, dass Sie Opfer einer Phishing-Mail geworden sind. Da Phishing leider kein Einzelphänomen mehr ist, wird dieser wissen, was zu tun ist.

Sollte bereits ein finanzieller Schaden entstanden und gewisse Summen von Ihrem Konto überwiesen worden sein, melden Sie sich bitte umgehend bei der Polizei und bringen Sie den Fall zur Anzeige.

Die neuesten Magazinartikel immer direkt in Ihr Postfach erhalten?

Der erste Schritt Ihrer Anmeldung war erfolgreich.

Wichtig: Um Ihre Anmeldung abzuschließen, öffnen Sie bitte die E-Mail mit dem Betreff „Bestätigen Sie jetzt Ihre Newsletter-Anmeldung“ in Ihrem Postfach und klicken Sie auf den blauen Button. Erst dann können wir Sie regelmäßig informieren.

Herausgeber: Trusted Shops AG | Hinweis zu unserer Datenschutzerklärung | Abmeldung jederzeit möglich

Hat Ihnen dieser Artikel gefallen?

Ihre Meinung interessiert uns!

Bitte beachten Sie, dass wir Kommentare, die Links oder persönliche Daten beinhalten, nicht freigeben können.

Vielen Dank!

Ihr Kommentar wurde erfolgreich übermittelt. Er muss jedoch zuerst genehmigt werden, bevor er angezeigt werden kann.

sortieren nach: Datum aufsteigend
Maria Mayer
18.02.2018

Es gibt eine sehr viel einfachere und zugleich todsichere Methode, auf Phishing-Mails zu reagieren: Man folgt dem Link und wird in aller Regel aufgefordert, Usernamen und Passwort einzugeben. Da gibt man dann PHANTASIEDATEN ein. Wenn die akzeptiert werden und weitere Daten abgefragt werden, dann handelt es sich um Phishing.

Clara Ammar
18.02.2018

Danke für diesen simplen Trick, liebe Frau Mayer <3 Den werde ich als PC - Neuling und Oldie gerne übernehmen! Aber auch den Tipp Nr. 5 hier von der Autorin, wie man ganz einfach das Zertifikat überprüfen kann, werde ich ergänzend anwenden. Bis jetzt habe ich im Zweifelsfall immer beim richtigen, mir bekannten Anbieter, wie z. B. eBay oder Amazon telefonisch nachgefragt und so die Phishing-Mails enttarnen können :D

Joachim Gräther
19.02.2018

Guter Trick???👍👍👍

Svenja vom Trusted Shops Team
19.02.2018

Liebe Frau Mayer, liebe Frau Ammar,

danke für die guten Tipps! Die Anbieter selbst können im Zweifelsfall am besten Auskunft darüber geben, ob sie eine E-Mail versendet haben.

Herzliche Grüße aus Köln
Svenja

Hans-Peter Liedtke
25.02.2019

Ihre IP-Adresse, die ja ausgelesen werden kann, geht auch bei PHANTASIEDATEN an den Empfänger. Ich wäre da etwas vorsichtiger damit. Löschen und ignorieren scheint mir die bessere Lösung zu sein

Heike
19.02.2018

Hallo zusammen,
ich habe mir angewöhnt, nicht über den Link in der Aufforderungsmail auf die "angebliche" Webseite zu gehen. Solche Audentifikationsaufforderungen kamen auch schon mal von Amazon. Wenn ich dann unsicher bin, gehe ich über Google auf die genannte Seite und prüfe dann, ob mit meinem Konto alles in Ordnung ist :)
Gruß Heike

Hans-Werner Leopold
18.02.2018

Umgekehrt gilt: Wer Webseiten mit sprachlichen Fehlern veröffentlicht, gerät in Verdacht, betrügerische Absichten zu verfolgen. Leider ist auch diese Trusted Shops Webseite nicht fehlerfrei.

Zitat aus dieser Seite:
"Bei Online-Auktionshäusern wie z. B. eBay kann zudem Rufschädigung eine potentielle Folge sein, wenn gestohlene Waren unter deinem Namen angeboten werden. Zur Aufklärung des eines solchen Falles werden oft nicht nur starke Nerven und viel Geduld benötigt, sondern häufig auch Gebühren wie ggf. Anwaltskosten fällig."
Ende des Zitats.

Es muss heißen:
"eine potenzielle Folge" statt "eine potentielle Folge".
Es muss heißen:
"Zur Aufklärung eines solchen Falles" statt "Zur Aufklärung des eines solchen Falles".

Zugegeben: Hier nicht schlimm - aber: Wehret den Anfängen!

Es sind immer erst Worte da, bevor Taten folgen. Aufpassen!

Freundliche Grüße
Hans-Werner Leopold

Svenja vom Trusted Shops Team
19.02.2018

Hallo Herr Leopold,

vielen Dank für den Hinweis, die Fehler sind korrigiert. In Zukunft werden wir die Augen noch etwas offener halten!

Herzliche Grüße aus Köln
Svenja

Kjfalke
02.09.2020

Das ist mir auch aufgefallen!

PeterPose
18.02.2018

Solche E-Mails habe ich schon des öfteren erhalten, man braucht nur bei den E-Mails auf die unterste Zeile, das Klein geschriebenes schauen, bzw klicken. Bei Seriösen Anbietern kann ich das Impressium od. weiteres anklicken und komme auf die entsprechende Seite.
Bei den Spam Mails geht das nicht. Sämtliche Spam Mails wurden sofort gelöscht

Svenja vom Trusted Shops Team
19.02.2018

Hi PeterPose,

guter Tipp! Ein fehlendes oder fehlerhaftes Impressum kann ebenfalls ein aufschlussreiches Indiz sein.

Liebe Grüße aus Köln
Svenja

Hans-Peter Liedtke
25.02.2019

Ein Rechtsklick auf die Absenderadresse zeigt schon an wer dahinter steckt

Sieglinde Leber
18.02.2018

kürzlich wurde ich angeschrieben meine Daten bei Paypal anzugeben, ansonsten wird mein Konto gesperrt.
Dann bekam ich den fehlenden Betrag an Telekom zu überweisen,ansonsten werden meine Anschlüsse gesperrt. Lt. Nacfrage bei Telekom wurde dieses Mail nicht verschickt

Ursula
18.02.2018

habe von paypal nachricht bekommen...wegen datenabgleich...hab nicht geachtet,,,dass es pishing war...bis ich merkte, dass ich keine zahlungen mehr tätigen konnte...nach einigen tagen bekam ich ein schreiben meiner bank,,die KK ist gesperrt worden...weil 2 firmen abgebucht haetten,,ob die mir bekannt sind auch dessen Artikel die ich gekauft haette insgesamt im wert von 160 eurol...natuerlich kannte ich wede firma noch die artikel...sowas wuerde ich nie bestellen...bin ich froh,,dass meine bank so schnell reagierte...hab mich tausendmal bedankt..das geld wird wieder zurueck gebucht...bin ich froh...jetzt geb ich doppelt acht...

Svenja vom Trusted Shops Team
19.02.2018

Hallo Ursula,

schön, dass deine Bank so super reagiert hat und keine weiteren Schäden entstanden sind!

Herzliche Grüße aus Köln
Svenja

J.Gräther
19.02.2018

Bekam kürzlich eine Mail angeblich von PayPal. Ich solle mich neu verizifiren, da ansonsten mein Konto eingeschränkt werde. Auf Nachforschung von mir stellte sich heraus, daß es eine Firma aus Bamberg war.(Komplette Anschrift und Name ist mir bekannt.) Bin am überlegen ob ich diese Firma bei der Polizei anzeigen soll?

007-Exikutor
19.02.2018

Hallo, ich würde in einem solchen konkreten Fall ohne Gnade Anzeige erstatten. Diesen "Elemente" gehört kräftig einer "zwischen die Hörner".

Svenja vom Trusted Shops Team
19.02.2018

Hallo J.Gräther,

in diesem Fall würde ich raten, sich mit PayPal in Verbindung zu setzen und den Anbieter über den konkreten Fall zu informieren. Vielleicht ist die E-Mail bzw. das Unternehmen bereits bekannt. Eine Anzeige bei der Polizei kann im Anschluss eine mögliche Konsequenz sein, sofern klar ist, dass es sich um einen Betrug handelt.

Herzliche Grüße aus Köln
Svenja

Eva Schöck
19.02.2018

Diese Mails nehmen überhand, denn es vergeht keine Woche, an der Ich keine bekomme. Ich leite sie dann an PayPal weiter und löschen Sie anschließend,

Karl
25.02.2019

Oft wurde die Mailadresse von einem Trojaner genutzt um die Mail zu versenden. Die betreffende Firma weiß wahrscheinlich gar nicht das der Firmen PC von einem Trojaner gekapert wurde und fleißig solche Mails versendet. Die Urheber sitzen irgendwo in Nahost und feixen sich einen.

Hans-Peter Liedtke
25.02.2019

Da gibt es nichts zu überlegen. ANZEIGEN

Dr.h.c. Claudia -Maria -Anna Kramer
19.02.2018

Bitte immer solche E- Mails als Datas bei Interpol melden und zusenden :Seite im Netz zufinden ,Abteilung Cybercrime oder and Die Poststelle des BKA's:poststelle@bka.bund400.de

frezo
19.02.2018

Wenn ich so eine Mail bekomme und ich unsicher bin, logge ich mich direkt über die normale Webseite auf dem Konto ein. (z.B. Paypal) und nicht über den Link auf dem Mail.
Falls dann wirklich etwas falsch sein würde, sollte ich das ja sehen wenn ich eingeloggt bin und könnte dies dann direkt korregieren.

Peter K.
19.02.2018

Man sollte bei zweifelhaften mails auch auf die Anrede acchten. Der wahre Absender spricht mit meinem Namen an, die Betrüger mit :"Sehrgeehrter Kunde!." In Zweifelsfällen habe ich auch schon Kontakt mit dem mir bekannten Unternehmen Kontakt aufgenommen, und immer die Antwort bekommen, daß sie so eine mailnicht losgelassen haben. Also fix gelöscht und vorbei.

M. K.
19.02.2018

Tja leider. Dabei war mir Pishing bekannt. Bei Amazon wurde mein Passwort verwendet für ein sogenanntes "Ballerspiel" was ich nun wirklich nicht spiele. Es wurden sogenannte "Coins" für ein Smartphonespiel gekauft und dabei besitze ich noch nicht einmal ein Smartphone. Ich habe meinen Schaden sofort von Amazon erstattet bekommen und bin auf deren Rat hin sofort zur Polizei und habe es zur Anzeige gebracht. Leider ist die Anzeige im Sande verlaufen.

Waltraud Scholz
28.05.2018

Ich bekam schon öfters Phishing-Mails, immer von irgendeiner Bank, wo ich schon längst kein Konto mehr hatte und von meiner jetzigen Bank. Da ich mich persönlich dort erkundigt habe, wurde mir gesagt, dass sie Kunden nie über E-Mail anschreiben. Seitdem habe ich grundsätzlich alles gelöscht. Auch von meinem Internetanbieter mit täuschend echtem Firmenzeichen sollte ich mich neu verifizieren. Gelöscht, weil auch Schreibfehler drin waren.

Kennen Sie schon unsere gesamte Themenwelt Sicherheit & Datenschutz?

Jetzt Themenwelt Sicherheit & Datenschutz entdecken