Woran erkennst du eine Phishing-Nachricht?
- Dringlichkeit & Drohung: „Handeln Sie sofort, sonst wird Ihr Konto gesperrt" – echte Firmen setzen dich nicht so unter Druck.
- Falscher Absender: Die E-Mail-Adresse passt bei genauem Hinsehen nicht zur echten Firma (z. B. „paypal-service.info" statt „paypal.com").
- Links vor dem Klicken prüfen: Auf dem Handy den Link lange gedrückt halten, am PC mit der Maus drüberfahren – die echte Zieladresse wird angezeigt.
- Anfrage nach Passwort oder Code: Keine seriöse Firma fragt per Mail, SMS oder Anruf nach deinem Passwort oder einem 2FA-Code.
Was du tun solltest
- Nicht klicken, nicht antworten – einfach löschen oder melden.
- Im Zweifel: Firma über die offizielle Website oder App kontaktieren, nicht über den Link in der Nachricht.
- Hast du schon geklickt oder etwas eingegeben? Sofort Passwort ändern und jemandem Bescheid sagen.
Weiterführend: Phishing (Wikipedia)
Die häufigsten Maschen
Phishing kommt heute nicht nur per E-Mail: gefälschte Paket-SMS, Anrufe angeblicher Bank-Mitarbeiter, gefälschte Rechnungen und QR-Codes gehören längst dazu. Allen gemeinsam: Sie wollen Sie zu einer schnellen, unüberlegten Handlung bringen.
So prüfen Sie eine verdächtige Nachricht
- Absenderadresse genau ansehen, nicht nur den angezeigten Namen.
- Rechtschreibfehler, ungewöhnliche Anrede oder untypische Formulierungen sind Warnsignale.
- Bei Anrufen: auflegen und über die offizielle, selbst recherchierte Telefonnummer zurückrufen.
Wo Sie melden können
- Verdächtige E-Mails: An den jeweiligen Anbieter weiterleiten (viele haben eine Phishing-Meldeadresse) und danach löschen.
- Betrugsversuche allgemein: Verbraucherzentrale Phishing-Radar, Polizei Online-Wache.
- Gefälschte Websites: An das BSI oder den Hosting-Provider melden.
Weiterführend: Phishing-Schutz (BSI)
Warum Phishing das größte Einfallstor bleibt
Die überwiegende Mehrheit erfolgreicher Cyberangriffe auf kleine und mittlere Unternehmen beginnt mit einer Phishing-Mail. Ein einziger unbedachter Klick kann ausreichen, um Zugangsdaten, Zahlungsinformationen oder den Zugriff auf Ihr gesamtes Netzwerk zu verlieren.
Unsere Handlungsempfehlungen
- Technische Basis schaffen: Spam-/Phishing-Filter aktivieren, SPF/DKIM/DMARC für die eigene Domain einrichten.
- Multi-Faktor-Authentifizierung erzwingen: Selbst gestohlene Zugangsdaten nützen Angreifern dann nichts.
- Meldeprozess etablieren: Mitarbeitende müssen wissen, wohin sie verdächtige Mails weiterleiten – ohne Angst vor Konsequenzen.
- Realistisch schulen: Regelmäßige, kurze Sensibilisierung schlägt einmalige Pflichtschulungen.
- Vorfallplan bereithalten: Was passiert, wenn doch jemand klickt? Klare Sofortmaßnahmen (Passwort zurücksetzen, IT informieren, betroffene Systeme isolieren) sparen im Ernstfall wertvolle Zeit.
Weiterführend: Phishing-Angriffe abwehren (BSI) · DMARC (Wikipedia)