Eine Hand mit nach unten zeigenden Mittel- und Zeigefingern und einem Angelhaken darüber.

Immer mehr Leute in Deutschland werden Opfer einer Phishing-Attacke. Sie geben ihre Daten unwissend an Betrüger weiter, welche diese zu kriminellen Zwecken missbrauchen. Personen, die auf die Masche hereinfallen, verlieren oft hohe Geldsummen, setzen ihre Privatsphäre aufs Spiel und geraten im schlimmsten Fall sogar ins Kreuzfeuer weiterer Betrüger. Aber was genau ist Phishing überhaupt, wie funktioniert es und weshalb ist es so gefährlich?

Unterschiedliche Arten von Phishing-Angriffen, Ziele der Cyberkriminellen und Präventionsmaßnahmen, die du ergreifen kannst: Hier wird dir Phishing einfach erklärt.

Inhaltsverzeichnis

    Was ist Phishing?

    Phishing ist ein Kunstwort, dessen Bedeutung vom englischen „fishing“ also Fischen abstammt. Dies hat damit zu tun, dass die Betrüger beim Phishing nach Daten „fischen“, indem sie ihre Opfer ködern. Dieses Ködern geschieht dabei meist über sogenannte Phishing-E-Mails oder Phishing-Websites – mehr dazu später.

    Grob gesagt geht es aber darum, dass die Täter durch Nachahmung von bekannten Organisationen und einem falschen Vorwand den Menschen sensible Informationen entlocken. Häufig geht es dabei um Zugangsdaten für Online-Profile, Kreditkartendaten oder Bankinformationen.

    Die Folgen davon sind weitreichend. Das Bundeskriminalamt BKA und der Digitalverband Bitkom schätzen den jährlichen Schaden für die deutsche Wirtschaft durch Phishing-Angriffe auf einen dreistelligen Milliardenbetrag. Fakt ist, dass Behörden und Organisationen wie die Anti Phishing Working Group beobachten, dass Phishing-Angriffe in den letzten Jahren extrem zugenommen haben. Das spricht dafür, dass die Methode für die Angreifer nach wie vor enorm profitabel ist.

    Bleib online sicher
    Schütze dich vor Phishing und anderen Cyberbedrohungen mit einem VPN
    Hol dir Surfshark VPN
    Surfshark

    Phishing einfach erklärt: wie funktioniert es?

    Beim Phishing geht es darum, das Opfer mit einem Köder zu locken und dann die Beute an Land zu ziehen. Am häufigsten geschieht dies über Phishing-E-Mails und Phishing-Websites. 

    Unter einem Vorwand wirst du dazu verleitet, deine Daten anzugeben. Da die Inhalte der E-Mail oder der Webseite dem Original stark ähneln, erkennst du den Fake möglicherweise nicht und fällst auf den Betrug herein.

    Phishing-Beispiele: Verbreitete Arten

    Phishing ist ein Oberbegriff, der eine Bandbreite an verschiedenen Betrugsversuchen zusammenfasst, bei denen Kriminelle digital nach deinen Daten fischen. Im Folgenden findest du Arten von Phishing.

    Classic-Phishing

    Die Phisher fälschen Webseiten von bekannten Organisationen und Behörden und verleiten die Leute unter einem Vorwand dazu, ihre Daten anzugeben. Oft werden die Opfer über einen Link in einer Phishing-E-Mail auf die Seite gelockt. 

    Spear-Phishing

    Spear-Phishing ist inspiriert vom Speerfischen, der gezielten Unterwasserjagd mittels Speer oder Harpune. Dieser Vergleich ist äußerst treffend, da die Kriminellen beim Spear-Phishing ebenfalls zielgerichtet bestimmte Personen ins Visier nehmen. 

    Smishing

    Smishing, kurz für SMS-Phishing, ist eine der am weitesten verbreiteten Arten des Phishings. Unter falschen Vorwänden locken die Betrüger auf gefährliche Links. 

    Vishing

    Vishing steht für Voice Phishing. Hierbei wirst du durch einen verpassten Anruf zum Rückrufen verleitet. Rufst du zurück, erreichst du die Täter, welche behaupten, dein Konto sei missbraucht worden und deine Daten müssten verifiziert werden. Hier fließen Elemente des Social Engineerings ein.

    Whaling

    Whaling ist eine eigene Art des Spear-Phishings und zielt auf hochrangige Führungskräfte ab. Im Gegensatz zu breit angelegtem Phishing erfordert Whaling eine besonders detaillierte Vorbereitung.

    Spoofing

    Beim Spoofing kopieren Angreifer vertrauenserweckende Marken. Technische Varianten wie IP- oder DNS-Spoofing manipulieren den Internetverkehr oder täuschen Netzwerke mit gefälschten IP-Adressen. Diese Angriffe dienen oft dazu, Malware zu verbreiten.

    Clone-Phishing

    Bei einer Clone-Phishing-Attacke kopieren Täter eine echte E-Mail, die du schon erhalten hast. Alle Links und Anhänge sind jetzt mit Schadsoftware versehen. Die Betrüger behaupten oft, es habe in der vorherigen E-Mail Probleme gegeben, um dich zum Klicken zu verleiten.

    Watering Hole Phishing

    Beim sogenannten Watering Hole Phishing lauern die Angreifer wie Krokodile an einer Wasserstelle. Sie präparieren Fake-Seiten so, dass beim Besuch automatisch Malware auf deinem Computer installiert wird. 

    Evil Twin

    Evil Twin Phishing-Angriffe nutzen ein gefälschtes WLAN-Netzwerk. Nutzer verbinden sich unwissentlich mit diesem Netzwerk, sodass die Hacker alles überwachen können. 

    Pharming

    Beim Pharming wird der Internetverkehr umgeleitet. Gibst du die richtige URL ein, landest du trotzdem auf einer gefälschten Webseite. 

    Weitere Phishing-Beispiele

    • Angling
    • Dyre-Phishing
    • Social Media Phishing
    • Google Docs Phishing
    • Suchmaschinen-Phishing
    • HTTPS-Phishing
    • MITM-Phishing

    Wie entdeckst du Phishing?

    Fehler in der Rechtschreibung und Grammatik sind oft Warnsignale. Überprüfe auch die Absenderadresse; sie weist manchmal kleine Abweichungen auf. 

    Sei misstrauisch bei Links und fahre mit dem Mauszeiger darüber, um zu sehen, wohin sie tatsächlich führen. Echte Unternehmen fordern dich nie auf, sensible Informationen per E-Mail zu bestätigen.

    Wie vermeidet man Phishing?

    Eine Hand hält eine Angelrute, während die andere Hand die Leine mit einem leeren Haken am Ende einholt.

    Folgend findest du Präventions-Tipps, wie du Phishing vermeiden kannst.

    Nicht auf Links in E-Mails klicken

    Sei vorsichtig mit Links in E-Mails, besonders wenn sie unerwartet kommen. Betrüger nutzen gefälschte Links, um dich auf schädliche Websites zu locken. Überprüfe immer den Absender und die E-Mail-Adressen und zögere nicht, direkt beim Unternehmen oder der Behörde nachzufragen, bevor du auf einen Link in einer E-Mail klickst.

    Skepsis bei Pop-ups

    Misstraue Pop-up-Fenstern, die auf Webseiten erscheinen, besonders wenn sie dich auffordern, persönliche Informationen anzugeben. Echte Unternehmen fragen dich nicht über solche Methoden nach sensiblen Daten.

    Nie sensible Daten per Telefon oder E-Mail teilen

    Gib niemals persönliche Informationen wie Passwörter oder Bankdaten per Telefon oder E-Mail preis. Seriöse Organisationen fordern diese Details nicht auf diesem Weg an.

    Webseiten auf Vertrauenswürdigkeit prüfen

    Prüfe die URL einer Webseite, bevor du persönliche Daten eingibst. Stelle sicher, dass die Adresse mit ‚https://‘ beginnt und ein Schloss-Symbol in der Browserleiste sichtbar ist, was auf eine sichere Verbindung hinweist.

    Gesundes Misstrauen walten lassen

    Bleibe immer skeptisch gegenüber Angeboten oder Warnungen, die zu gut oder zu dringend erscheinen, um wahr zu sein. Nimm dir Zeit, die Informationen zu überprüfen und lass dich nicht unter Druck setzen.

    Verifizierungsprozesse und Datenschutz

    Achte darauf, dass alle Websites und Dienste, die du nutzt, klare Verifizierungsprozesse und Datenschutzrichtlinien haben. Das schließt Zwei-Faktor-Authentifizierung und regelmäßige Updates der Sicherheitsmaßnahmen ein.

    Vorsicht bei doppelten E-Mails

    Wenn du ähnliche E-Mails doppelt erhältst, besonders mit leicht unterschiedlichen Details, sei vorsichtig. Dies kann ein Zeichen für Clone-Phishing sein, bei dem Betrüger versuchen, dich mit verschiedenen Versionen einer Nachricht zu täuschen.

    Keine unbekannten Nummern zurückrufen

    Rufe keine unbekannten Nummern zurück, besonders wenn sie in kurzer Zeit mehrfach anrufen, ohne eine Nachricht zu hinterlassen. Dies könnte ein Vishing-Versuch sein, um deine persönlichen Daten zu erfragen.

    Neuer E-Mail-Account einrichten

    Wenn du oft suspekte E-Mails erhältst, ist es wahrscheinlich, dass deine E-Mail-Adresse in zwielichtigen Listen hinterlegt ist und an Betrüger verkauft wird. Um das Risiko zukünftiger Phishing-Angriffe zu reduzieren, kannst du dir eine neue E-Mail-Adresse einrichten. 

    Ein VPN nutzen

    Ein VPN (Virtual Private Network) hilft, deine Online-Identität und Aktivitäten zu verschleiern. Es schützt dich vor Hackern und Schnüfflern, besonders wenn du öffentliches WLAN benutzt.

    Alt ID nutzen

    Mit der Alt ID von Surfshark bewegst du dich anonym im Netz und schützt deinen Datenverkehr. Deine virtuelle Identität beinhaltet zudem ein E-Mail-Konto, wodurch dein echter Account unter Verschluss bleibt.

    Alternative ID
    Schütze deine identität mit einer Alt ID
    Hol dir Surfshark
    Surfshark

    Was tun, wenn du Opfer von Phishing wirst?

    Ändere zunächst deine Login-Daten und sperre umgehend deine Konten und Karten. Eine Anzeige bei der Polizei ist kostenlos und hilft, Muster zu erkennen. 

    Falls bereits Geld abgebucht wurde, ist die Lage leider etwas komplizierter. Viele Banken übernehmen bei Phishing keine Haftung, bieten aber Ihre Unterstützung an.

    Echte Phishing-Beispiele aus Deutschland

    Paketgebühr

    Du erhältst eine Nachricht, dass du die Zoll- oder Liefergebühr für ein Paket nachzahlen musst. Da viele Leute tatsächlich ein Paket erwarten, fallen sie auf die Phishing-Mails rein und geben ihre Kreditkartendaten an. 

    Einkaufsgutschein

    Angeblich hast du einen Einkaufsgutschein gewonnen. Um den Gutschein zu erhalten, musst du lediglich deine persönlichen Daten auf der Webseite der Ladenkette eingeben. Leider sind die Gewinnmeldung und die Webseite gefälscht.

    Online-Banking Kennwort

    Deine Bank teilt dir mit, dass sie dein Kennwort vergessen haben oder dass du dich aus einem trivialen Grund einloggen musst. Natürlich ist deine Bank nicht der Absender dieser E-Mail, und der Link führt auf eine gefälschte Website.

    Unbefugter Zugriff

    Betroffen sind häufig Online-Dienste oder Social-Media-Plattformen. Um dein Profil abzusichern, wird dir empfohlen, dein Passwort zurückzusetzen. Damit gibst du den Cyberkriminellen dein Log-in bekannt.

    Tatvorwurf

    Per Anruf, E-Mail oder SMS- bzw. Social-Media-Nachricht wirst du informiert, dass dir rechtliche Konsequenzen drohen. Die als Behörde getarnten Betrüger werfen dir beispielsweise den Konsum illegaler Inhalte oder Steuerdelikte vor. Ziel ist es, dich zu Zahlungen zu bewegen, an deine persönlichen Daten zu gelangen oder deinen Computer per E-Mail-Anhang mit Malware zu infizieren.

    Im Falle einer Anzeige oder Strafuntersuchung gegen dich wirst du nicht über inoffizielle Kanäle informiert werden. Wenn du unsicher bist, ob du tatsächlich etwas falsch gemacht hast, kannst du dich direkt bei der entsprechenden Behörde melden.

    Surfshark One+ für all deine Geräte
    Sicher und anonym surfen
    Hol dir Surfshark
    Surfshark

    FAQs

    Was ist der Unterschied zwischen Phishing und Spam?

    Phishing ist das gezielte Ködern mit dem Ziel, an deine Daten zu gelangen. Spam hingegen beschreibt lediglich den Massenversand von Werbung und unseriösen Angeboten ohne konkretes Ziel.

    Gehört Phishing-Betrug zur Cyberkriminalität?

    Ja, Phishing ist eine Art der Cyberkriminalität. Zwar bewegen sich manche Phisher in einer rechtlichen Grauzone, in den meisten Fällen machen sie sich jedoch strafbar.

    Wie verbreitet ist Phishing in Deutschland?

    Phishing ist in Deutschland, wie beinahe überall auf der Welt, leider sehr verbreitet. Die Anzahl der Phishing-Attacken nimmt weiter zu. Da die Betrüger oft organisiert sind und international agieren, ist es schwierig, sie zu fassen.

    Welche Arten von Phishing gibt es?

    Phishing ist ein Oberbegriff für verschiedene Angriffsmethoden, darunter E-Mail-Phishing, Spear-Phishing oder Whaling – wobei Erstere wegen ihrer Einfachheit und der Möglichkeit, eine große Zahl an Empfänger zu erreichen, zu den verbreitetsten Phishing-Angriffen gehört.