Phishing: So erkennen und vermeiden Sie Angriffe

Täglich werden weltweit 3,4 Milliarden Phishing-E-Mails verschickt. Hinter diesen Nachrichten verbergen sich immer ausgefeiltere Manipulationstechniken. Wer versteht, wie sie funktionieren, ist am besten dagegen gewappnet.

Was ist Phishing und warum funktioniert es?

Phishing ist eine Betrugsmethode, bei der sich Angreifer als vertrauenswürdige Organisation ausgeben – etwa eine Bank, ein Paketdienst oder eine Behörde – um persönliche Daten zu stehlen. Die Wirksamkeit beruht auf einem einfachen Prinzip: dem Anschein von Legitimität.

Eine Phishing-E-Mail übernimmt die Logos, Farben und den Ton einer offiziellen Nachricht. Nutzerinnen und Nutzer verlassen sich auf das visuelle Erscheinungsbild, um die Glaubwürdigkeit einer Nachricht zu beurteilen – und genau diese Gewohnheit nutzen Angreifer aus. Ob per E-Mail, SMS oder sogar per Brief: Der Mechanismus ist immer derselbe – ein glaubwürdiges Erscheinungsbild erzeugen, um eine unüberlegte Handlung auszulösen.

Wie erzeugen Angreifer ein Gefühl der Dringlichkeit?

Phishing-Nachrichten setzen auf psychologischen Druck, um das Urteilsvermögen auszuhebeln und zum schnellen Handeln zu verleiten – bevor man groß nachdenkt. Das Ziel ist es, eine emotionale Reaktion anstelle einer rationalen Analyse hervorzurufen.

Die häufigsten Vorwände folgen einem wiederkehrenden Muster:

  • „Verdächtige Aktivität auf Ihrem Konto festgestellt – ändern Sie sofort Ihr Passwort"
  • „Zahlungsproblem – Ihr Abonnement wird gekündigt"
  • „Paket wartet auf Sie – Zollgebühren innerhalb von 24 Stunden zu zahlen"
  • „Sicherheitswarnung zu Ihrer Bankkarte"

Jede Nachricht enthält einen Link oder eine Schaltfläche, die zu einer gefälschten Website führt, die der echten optisch täuschend ähnlich sieht. Auf dieser Website gibt das Opfer seine Zugangsdaten ein, im Glauben, sich beim legitimen Dienst anzumelden.

Wie erkennt man einen gefälschten Domainnamen?

Die zuverlässigste Methode, eine Phishing-Website zu identifizieren, ist ein aufmerksamer Blick auf die URL – insbesondere auf den Domainnamen. Angreifer verwenden verschiedene Verschleierungstechniken, um das Auge zu täuschen.

Nehmen wir example.com als legitime Domain:

  • Subdomain-Missbrauch: example.another-dangerous-site.cam – hier ist die echte Domain another-dangerous-site.cam, nicht example
  • Täuschender Bindestrich: example-secure-login.cam – eine völlig andere Domain, die den Markennamen enthält
  • Andere Top-Level-Domain: example.site statt example.com
  • Typosquatting: examplle.com – ein doppelter Buchstabe, der beim schnellen Lesen leicht übersehen wird

Die Regel, die man sich merken sollte: Die echte Domain ist das, was direkt vor der TLD steht (.com, .de, .org). Alles, was links von einem weiteren Punkt steht, ist eine Subdomain – und die kann jeder beliebig anlegen.

Kann man die Echtheit einer E-Mail überprüfen?

Ja, aber nicht allein durch den Augenschein. Spam-Filter erkennen einen Teil der betrügerischen E-Mails mithilfe technischer Mechanismen wie SPF und DKIM, die prüfen, ob eine E-Mail tatsächlich von einem autorisierten Server für die angezeigte Domain gesendet wurde.

SPF (Sender Policy Framework) listet die Server auf, die berechtigt sind, E-Mails für eine Domain zu versenden. DKIM (DomainKeys Identified Mail) fügt eine kryptografische Signatur hinzu, die der Empfänger verifizieren kann. Diese Informationen sind in den technischen E-Mail-Headern sichtbar.

Diese Mechanismen haben jedoch eine wichtige Einschränkung: Sie belegen die technische Herkunft der Domain, nicht die tatsächliche Identität des Absenders. Ein Angreifer kann ein einwandfreies SPF und DKIM für eine Domain wie support-sicherheit-amazon.com einrichten. Technisch korrekt – menschlich aber irreführend.

Warum ist Phishing per SMS noch gefährlicher?

Smishing (Phishing per SMS) nutzt die Besonderheiten mobiler Geräte, um Wachsamkeitsreflexe zu umgehen. SMS werden häufig als vertrauenswürdiger wahrgenommen als E-Mails, obwohl der Schutz dort geringer ist.

Mehrere Merkmale machen SMS besonders riskant:

  • Spam-Filter sind hier weniger leistungsfähig als bei E-Mails
  • Die mobile Benutzeroberfläche zeigt die vollständige URL vor dem Klick nicht an
  • Die Absendernummer kann durch einen alphanumerischen Namen ersetzt werden (DHL, Telekom) – leicht zu fälschen
  • Die URL im mobilen Browser wird oft abgekürzt dargestellt
  • Die betrügerische Nachricht kann sich in denselben Gesprächsverlauf einfügen wie echte Nachrichten desselben Absenders

Die Vorwände ähneln denen beim E-Mail-Phishing: wartendes Paket, Bankwarnung, ausstehende Erstattung, behördliche Vorladung.

Wie schützt ein Passwort-Manager vor Phishing?

Ein Passwort-Manager vergleicht die tatsächliche URL einer Website mit der gespeicherten URL der jeweiligen Zugangsdaten. Stimmt die Domain nicht exakt überein, werden die Felder nicht automatisch ausgefüllt. Das ist ein passiver Schutz, der vom Nutzer keinerlei Aufwand erfordert.

Wo das menschliche Auge example.com und examplle.com verwechseln kann, führt der Passwort-Manager einen zeichengenauen Vergleich durch. Er lässt sich durch visuelle Verschleierungstricks bei Domainnamen nicht täuschen. Diese automatische Prüfung ist ein tägliches Sicherheitsnetz: Wenn der Passwort-Manager auf einer Website keine Zugangsdaten anbietet, ist das ein unmittelbares Warnsignal.

Warum reicht 2FA gegen Phishing nicht aus?

Die Zwei-Faktor-Authentifizierung (2FA) ist ein echter Sicherheitsgewinn, schützt aber nicht vor automatisierten Phishing-Angriffen in Echtzeit. Bei einem sogenannten AiTM-Angriff (Adversary-in-the-Middle) fängt der Angreifer jeden Schritt des Anmeldevorgangs ab und leitet ihn weiter.

Der Ablauf ist folgender: Das Opfer gibt seine Zugangsdaten auf der gefälschten Website ein. Diese leitet sie sofort an die echte Website weiter, die daraufhin einen 2FA-Code sendet. Das Opfer gibt diesen Code auf der gefälschten Website ein, die ihn wiederum weiterleitet. Der Angreifer ist mit einem gültigen Code in Echtzeit eingeloggt.

2FA bleibt wirksam gegen zeitversetzte Angriffe – eine gestohlene Passwortdatenbank ist nutzlos, wenn 2FA aktiv ist. Gegen einen Echtzeit-Proxy jedoch wird der Einmalcode abgefangen, bevor er abläuft.

Schützen Passkeys vor Phishing?

Ja. Anders als die Kombination aus Passwort und 2FA-Code ist eine Passkey kryptografisch an die genaue Domain gebunden, für die sie erstellt wurde. Auf einer gefälschten Website – selbst wenn sie optisch identisch aussieht – funktioniert die Passkey schlicht nicht.

Es gibt nichts abzufangen und nichts wiederzuverwenden: Die Authentifizierung beruht auf einem kryptografischen Austausch zwischen dem Gerät des Nutzers und dem legitimen Server. Selbst ein AiTM-Proxy in Echtzeit kann diesen Schutz nicht umgehen. Passkeys sind die strukturelle Antwort auf Phishing – sie eliminieren das schwächste Glied, nämlich das gemeinsame Geheimnis, das Nutzer unwissentlich preisgeben können.

Sollte man bei Sicherheitsfragen lügen?

Sicherheitsfragen wie „Wie heißt Ihr Haustier?" oder „In welcher Stadt sind Sie geboren?" beziehen sich häufig auf halböffentliche Informationen. Ein Angreifer mit Zugang zu Ihren sozialen Netzwerken, zu einem Datenleck oder mit auch nur flüchtiger Bekanntschaft kann diese Fragen an Ihrer Stelle beantworten.

Niemand ist verpflichtet, die Wahrheit zu sagen. Auf „Was ist Ihr Lieblingstier?" kann die Antwort auch „der Planet Mars" lauten. Wichtig ist nur, diese falsche Antwort wiederfinden zu können – ein Passwort-Manager ist der naheliegende Ort, um sie zu speichern, genauso wie ein Passwort.

Das Wichtigste im Überblick

  • Phishing setzt auf den Anschein von Legitimität und ein Gefühl der Dringlichkeit: Innehalten, bevor man klickt, ist der erste Reflex, den man sich angewöhnen sollte
  • Die URL ist der einzig verlässliche Anhaltspunkt: Lernen Sie, den echten Domainnamen zu lesen – besonders auf dem Smartphone
  • Ein Passwort-Manager prüft die URL für Sie und lässt sich von gefälschten Domains nicht täuschen
  • 2FA schützt vor zeitversetzten Angriffen, aber nicht vor Echtzeit-Phishing
  • Passkeys sind der einzige strukturelle Schutz, der Phishing technisch unmöglich macht
  • Lügen Sie bei Sicherheitsfragen und speichern Sie Ihre falschen Antworten in einem Passwort-Manager

Schützen Sie Ihre Zugangsdaten mit dem Passwort-Manager von Octopussian →

Kostenlos registrieren

Keine Kreditkarte erforderlich. Registrierung in 1 Minute

Steigern Sie Ihre Effizienz ab heute. Registrieren Sie sich für eine kostenlose Testversion.

Wir verwenden Ihre E-Mail-Adresse und Ihren Namen,
um Ihren Octopussian-Arbeitsbereich zu erstellen.

oder
@ Mit meiner E-Mail-Adresse fortfahren

Wir respektieren Ihre Privatsphäre. Ihre Daten werden nicht für andere Zwecke verwendet.
Mit der Registrierung stimmen Sie unseren Nutzungsbedingungen und unserer Datenschutzrichtlinie zu.