Phishing: Gefährliche Täuschung – digital & analog

Wie oft haben Sie sich schon geärgert, wenn plötzlich Nachrichten wie „Ihr Paket verspätet sich“ oder „Bitte ändern Sie jetzt Ihre Zugangsdaten“ auf Ihrem Smartphone oder im Posteingang auftauchen? Im hektischen Alltag klickt man schnell auf die vermeintliche Sendungsverfolgung, um zu sehen, wo das Paket denn nun steckt – oder loggt sich auf der angeblich vertrauten Plattform ein, um die Kontodaten zu aktualisieren. Und genau hier beginnt das Problem. Denn wer genauer hinsieht, erkennt: Hinter solchen Nachrichten steckt oft nicht der Paketdienst oder die Hausbank, sondern eine raffinierte Betrugsmasche namens Phishing. Cyberkriminelle nutzen täuschend echte Nachrichten, um sensible Daten wie Passwörter, Kreditkarteninformationen oder Zugangsdaten zu erbeuten – oft mit nur einem Klick. Was genau hinter dem Begriff „Phishing“ steckt und wie Sie sich davor schützen können, erfahren Sie in diesem Beitrag.

Täuschend echt: Phishing verstehen

Phishing ist längst keine Randerscheinung mehr – es zählt heute zu den häufigsten Formen digitaler Kriminalität. Wer glaubt, nur Großunternehmen oder vermögende Personen seien betroffen, liegt falsch. Die Realität ist: Phishing passiert täglich. Am Arbeitsplatz, im privaten E-Mail-Postfach und sogar analog – etwa im Briefkasten oder am Telefon.

Die Angriffe werden immer raffinierter, die Methoden vielfältiger. Täuschend echte Nachrichten, gefälschte Webseiten und psychologische Tricks machen es zunehmend schwer, Betrug auf den ersten Blick zu erkennen. Umso wichtiger ist es, das Bewusstsein für diese Gefahr zu schärfen – denn nur wer die Maschen kennt, kann sich wirksam schützen.

Was ist Phishing?

Fangen wir mit dem Grundwissen an: Phishing bezeichnet eine betrügerische Methode, bei der sich Angreifer als vertrauenswürdige Instanz ausgeben, um sensible Daten und Informationen abzugreifen. Kriminelle treten dabei direkt mit uns in Kontakt – etwa per E-Mail – und geben sich als Hausbank, Behörde, Paketzusteller oder IT-Dienstleister aus. Der Begriff „Phishing“ leitet sich vom englischen „fishing“ (= angeln) ab und beschreibt bildlich das „Fischen nach Daten“. Der Köder? Manipulierte E-Mails oder täuschend echte Webseiten bekannter Marken. Und der Fisch am Haken? Das sind leider wir – die Opfer der Phishing-Attacke.

Kann mir nicht passieren? Ein gefährlicher Irrtum. Denn Cyberkriminelle nutzen nicht nur täuschend echte Nachahmungen uns bekannter Unternehmen, sondern setzen einen auch psychologisch unter Druck. Sie arbeiten mit Warnungen, Fristen oder vermeintlichen Belohnungen. Der berühmte Großonkel aus Amerika, der für 2000 Euro Überweisungsgebühr sein 1,8-Millionen-Vermögen verspricht, ist dabei längst ein Klassiker. Denn Phishing ist eine Form des Social Engineerings – einer Manipulation, die gezielt menschliche Schwächen wie Vertrauen, Hilfsbereitschaft oder Angst ausnutzt.

Besonders gefährlich ist das sogenannte „Spear-Phishing“: eine gezielte Attacke auf Einzelpersonen, Organisationen oder Unternehmen. Die Nachrichten sind oft personalisiert – basierend auf Daten, die zuvor telefonisch oder über andere Kanäle abgefragt wurden.

Das Ziel hinter all dem? Zugriff auf unsere sensiblen Daten. Ob wir diese auf gefälschten Webseiten oder Online-Shops eingeben, per SMS (Smishing) oder am Telefon (Vishing) preisgeben, manipulierte Apps oder QR-Codes (Quishing) nutzen – die Methoden sind vielfältig. Der Nutzen für die Täter reicht von Identitätsdiebstahl und Kreditkartenmissbrauch über Kontoplünderung bis hin zum Zugriff auf Unternehmensnetzwerke. Und ist ebenso verborgen wie die Wege, die Kriminelle dafür wählen.

Vertrauen als Schwachstelle: Die Psychologie hinter Phishing & Co.

Im Zentrum aller Phishing-Attacken steht ein einfacher, aber mächtiger Hebel: unser Vertrauen. Bei Nachrichten, die in unser E-Mail-Postfach, per WhatsApp oder bei Social Media eintreffen, wird unser „kritischer Filter“ oft ausgeschaltet – schließlich ist das unser gewohntes Umfeld, in welchem wir tagtäglich unzählige Meldungen bekommen. Bei diesen bekannten, sozialen Interaktionen setzt das Vertrauen ein, das Misstrauen und Hinterfragen aus – und schon haben uns die Betrüger in vermeintlich sicheres Gewässer gelockt.

Dabei genauso wirkungsvoll sind das Prinzip der Knappheit und Dringlichkeit. Wenn vermeintlich vertraute Experten („dringende Sicherheitswarnung Ihrer Bank“) dazu auffordern, unsere Logindaten zu ändern, um uns zu schützen, stellen wir diese Autorität meist nicht infrage. Genauso wenig, wenn uns ein knappes Zeitfenster („Nur noch 24 Stunden, um Ihr Konto zu verifizieren“) gesetzt wird. Denn hier erzeugen die Betrüger gezielt Stress und aktivieren unser Angstzentrum. Unter dem Druck eines engen Zeitfensters übersehen wir Fehler leichter: Eine falsch geschriebene Domain, eine irreführende Absenderadresse oder das Fehlen einer persönlichen Anrede bleiben unbemerkt. Der einsetzende Tunnelblick verhindert, dass wir unsere üblichen Sicherheitschecks durchführen.

Spear-Phishing-Methoden wie der „CEO-Fraud“ nutzen besonders unseren Respekt vor Hierarchien. Erscheint eine E-Mail scheinbar vom Vorgesetzten mit dringender Aufforderung – etwa, sensible Daten weiterzuleiten oder Zahlungen zu veranlassen – sinkt die Schwelle zum Mitmachen drastisch. Die oft ruppige, fordernde Tonalität verstärkt noch den Druck, denn im Beruf fürchten wir harte Konsequenzen bei Verzögerungen oder Widerspruch.

Ein weiterer Erfolgsfaktor ist soziale Bestätigung. Wird uns ein vermeintlich kostenloser Service angeboten oder eine Empfehlung eines Freundes weitergeleitet, ist nicht nur unsere Neugier geweckt, sondern auch unser Alarmstatus wechselt in „alles ist in Ordnung“. Gefälschte Testimonials und getarnte Bewertungen verstärken dieses Gefühl. Selbst widersprüchliche Informationen fallen unter den Tisch, wenn die Mehrheit Zustimmung signalisiert.

Digital & analog: Die Methoden der Datenräuber

Es ist die perfide Kombination aus professionellem Auftreten, getäuschtem Vertrauen und gezielter Manipulation, die selbst erfahrene Nutzer in die Phishing-Falle lockt. Schon ein einziger, perfekt platzierter Trigger – sei es eine dringliche E-Mail, eine scheinbar harmlose SMS oder ein authentisch wirkender Brief – genügt, um Tür und Tor für digitale oder analoge Angriffe zu öffnen. Die Bandbreite der Methoden reicht von klassischen Cyberattacken über Offline-Taktiken bis hin zu raffinierten Hybridformen. Denn obwohl Phishing häufig mit Online-Betrug gleichgesetzt wird, nutzen Kriminelle immer öfter auch analoge Wege – und kombinieren diese geschickt mit digitalen Bausteinen, um ihre Attacken noch undurchsichtiger zu gestalten.

Cybertricks im Alltag: So funktionieren digitale Phishing-Angriffe

Methode	Vorgehen
E-Mail-Phishing	Cyberkriminelle versenden willkürlich eine große Anzahl gefälschter E-Mails, die auf betrügerische Webseiten verlinken oder infizierte Anhänge enthalten, um Zugangsdaten oder Zahlungsinformationen abzugreifen.
Spear-Phishing	Persönliche Informationen werden (z. B. vorher über Telefon, die Firmenwebsite oder Social Media) gesammelt, um hochgradig personalisierte Nachrichten an eine bestimmte Person oder Gruppe zu senden.
Whaling	Auch als „CEO-Fraud“ bekannt: Eine Form des Spear-Phishings, bei der sich Angreifer als Führungskräfte ausgeben, um sensible Daten oder hohe Geldbeträge zu erbeuten.
SMiShing	Betrügerische SMS (z. B. angebliche Paketbenachrichtigungen oder Sicherheitswarnungen) enthalten schädliche Links oder Rückrufnummern, die zur Datenerbeutung führen.
Quishing	Manipulierte QR-Codes auf physischen Medien oder Webseiten führen zu gefälschten Landingpages, die Daten abfragen oder Malware verbreiten.
Clone-Phishing	E-Mails bekannter Unternehmen oder Brands werden kopiert und mit bösartigen Links oder infizierten Anhängen verschickt – dabei sehen diese täuschend echt aus, sogar Absenderadressen werden dabei manipuliert.
Pharming	Durch DNS-Manipulation oder Malware werden Nutzer trotz korrekter URL-Eingabe auf gefälschte Webseiten umgeleitet.
Malware-Phishing	E-Mails oder Downloads enthalten Schadsoftware (z. B. Trojaner), die beim Öffnen Daten abgreift oder Netzwerke infiziert.
Watering-Hole-Phishing	Webseiten, die von einer Zielgruppe häufig besucht werden, werden kompromittiert, um Besucher mit Malware zu infizieren.
Angler-Phishing	Gefälschte Accounts auf Social-Media-Kanälen locken Nutzer über Kommentare oder Posts zu betrügerischen Seiten.
Search-Engine-Phishing	Nutzer werden durch bezahlte Suchanzeigen oder manipulierten SEO auf Fake-Seiten oder in Shops gelotst, um dort sensible Daten in Login-Felder oder Formulare einzugeben.
Typosquatting	Nutzer werden durch bezahlte Suchanzeigen oder manipulierten SEO auf Fake-Seiten oder in Shops gelotst, um dort sensible Daten in Login-Felder oder Formulare einzugeben.
Pop-up-Phishing	Unerwartete Pop-up-Fenster auf Webseiten und Online-Shops fordern zur dringlichen Eingabe von Passwörtern oder zur Software-Aktualisierung auf, nur um Daten auszuspähen.
Baiting	Gezielter „Köderauswurf“ von verlockenden, aber infizierten Files (wie etwa ein zurückgelassener USB-Stick in der Bibliothek), die die Neugier wecken, aber lediglich Daten abgreifen oder Schadsoftware aufspielen.
Deepfake-Phishing	Einsatz von KI-erzeugten Stimmen, Bildern oder Videos, die bekannten Personen zum Verwechseln ähnlich sind und die Opfer manipulieren sollen.
Fake-Apps	Schadsoftware, die über den App-Download aufgespielt wird oder Login-Daten und Zahlungsinformationen abgreift.

Phishing analog: Wenn Betrüger persönlich werden

Dass Phishing längst kein rein digitales Phänomen mehr ist, ist bekannt. Betrüger greifen zunehmend auch auf analoge Methoden zurück, um an sensible Daten, Geld oder andere Vermögenswerte zu gelangen. Häufig kommen hybride Ansätze zum Einsatz – etwa, wenn vor einer Spear-Phishing-Attacke gezielt Informationen telefonisch abgefragt werden, um die anschließenden gefälschten E-Mails noch glaubwürdiger und schwerer zu durchschauen zu machen.

Methode	Vorgehen
Vishing	Klassischer Betrug am Telefon (z. B. durch angebliche Bankmitarbeiter, Polizisten, etc. – auch „Enkelkind-Trick“), bei dem Kriminelle Druck aufbauen und Opfer zur Daten- oder Geldfreigabe drängen.
Briefkasten-Phishing	Gefälschte Briefe oder Flyer im Postkasten, die wie offizielle Schreiben oder Werbung von Banken, Ämtern oder Paketdiensten aussehen. Oft in Kombination mit „Quishing“ – da die Schreiben QR-Codes aufweisen.
ATM-Skimming	Auch „Bankautomaten-Manipulation“ genannt – hier werden die Kartenschlitze der Geldautomaten manipuliert („Skimming-Geräte“) und Nutzerdaten und PINs mittels Mini-Kameras abgefangen.
Face-to-Face-Pretexting	Betrüger geben sich persönlich (vor Ort) als Techniker, Umzugshelfer oder Paketbote aus, um am Türschloss Manipulationen vorzunehmen oder Daten am Rechner oder allgemein in der Wohnung auszuspähen.
Fake-Rechnungen	Authentisch wirkende Papierrechnungen werden via Post verschickt und fordern zur Überweisung auf. Das Geld landet dann auf präparierten Kontodaten der Täter.
Flyer-/Plakat-Quishing	Wieder eine Analog-Digital-Kombo: QR-Codes auf Straßenplakaten oder Flyern verlinken zu Phishing-Seiten, obwohl der gedruckte Kontext seriös wirkt.
Schlüsselbund-Baiting	Eine weitere Hybrid-Version, bei der Werbegeschenke (z. B. manipulierte USB-Sticks) am Arbeitsplatz oder via Post verteilt werden – ein analoger Köder und digitaler Angriff.

Phishing-Taktiken durchschauen und abwehren

Je besser wir die verschiedenen Phishing-Methoden kennen und uns sowie andere dafür sensibilisieren, desto seltener vertrauen wir verdächtigen E-Mails, Webseiten oder SMS blind – und das ist gut so. Denn lieber einmal zu viel geprüft als einmal zu wenig. Sind sensible Daten oder überwiesene Beträge erst einmal verloren, lässt sich der Schaden meist nicht mehr rückgängig machen.

Daher ist es umso wichtiger, sich mit diesem – zweifellos unangenehmen – Thema aktiv auseinanderzusetzen, Familie und Freunde über neue Phishing-Methoden zu informieren und auch am Arbeitsplatz regelmäßig zur Vorsicht zu mahnen. Schulungen und Sensibilisierungsmaßnahmen helfen, Risiken frühzeitig zu erkennen und Schäden zu vermeiden.

Um Ihnen einen groben „Fahrplan“ an die Hand zu geben, haben wir Ihnen einige Tipps zusammengetragen, die Ihnen helfen, sich vor Phishing zu schützen:

20 Tipps zum Schutz vor Phishing

URLs lieber manuell eintippen statt auf Links klicken – und auf Rechtschreibfehler achten
Immer prüfen, ob es sich um eine sichere HTTPS-Verbindung handelt (Schloss-Symbol im Browser)
Niemals persönliche Daten z. B. per E-Mail, am Telefon oder via SMS preisgeben
Absender, Logos und Anrede in E-Mails sorgfältig kontrollieren
Zwei-Faktor-Authentifizierung aktivieren, wo möglich
Keine Anhänge aus unbekannten Quellen öffnen – und auch bei bekannten Absendern vorher prüfen
Sicherheitssoftware regelmäßig aktualisieren und Systemupdates durchführen
Öffentliche WLANs – vor allem für sensible Transaktionen – meiden
QR-Codes nur aus vertrauenswürdigen Quellen scannen
Bei verdächtigen Briefen oder E-Mails direkt beim Unternehmen oder der Bank nachfragen
Keine sensiblen Daten in Online-Formularen oder auf unbekannten Webseiten eingeben
Bei Anrufen von „Behörden“ oder „Banken“ skeptisch bleiben – ggf. persönlichen Ansprechpartner verlangen
Bei angeblichen Polizeianrufen (z. B. Unfall eines Familienmitglieds) die betroffene Person direkt kontaktieren
Phishing-Versuche an die Verbraucherzentrale oder Polizei melden, um andere zu schützen
Spam-Filter aktivieren und regelmäßig prüfen
Kontoauszüge und Konten bei Online-Zahlungsdiensten regelmäßig prüfen
Keine sensiblen Informationen („Wir sind im Urlaub!“) auf Social Media teilen
Schulungen zu Phishing und Cyberkriminalität wahrnehmen und weiterempfehlen
Kühlen Kopf bewahren – auch bei Druck oder Drohungen. Hilfe bei vertrauten Personen suchen
Im Zweifel lieber einmal zu viel prüfen als einmal zu wenig – Intuition („Bauchgefühl“) zählt

💡 Extra-Tipp für Unternehmen:
Setzen Sie bei Ihrer Netzwerk-Hardware auf hochwertige Profigeräte. Diese gibt es preisgünstig als wiederaufbereitete refurbished Hardware bei uns im Shop.

Weitere Artikel zum Thema Cyberkriminalität & Phishing, die Sie interessieren könnten: