Logo STRATO
  • Menü

Phishing E-Mails erkennen und sich schützen

  • So sehen betrügerische Mails aus
  • Die besten Schutzmaßnahmen gegen Phishing E-Mails
  • Sicheres Postfach mit STRATO E-Mail
E-MAIL
Plus
5 GB pro Postfach:
Ideal für großen Speicherbedarf
12 Monate
 1 € /Mon.

danach 5 €/Mon.
Einrichtung: 0 €
Zum Angebot
Preise inkl. MwSt.

Phishing E-Mail – Was ist das?

Eine Phishing E-Mail ist eine Angriffsmethode von Cyberkriminellen, auch Phisher genannt. Die betrügerischen Nachrichten tarnen sich als vertrauenswürdige Mails mit bekanntem Absender – allerdings enthalten sie Links zu schädlichen Websites oder mit Malware infizierte Anhänge. Meist findet sich in einer Phishing-Mail die Aufforderung, ein Konto oder Zahlungsmethoden zu aktualisieren.

Auf diese Weise wollen die Betrüger persönliche Informationen wie Kennwörter von Nutzenden, Unternehmen oder öffentlichen Einrichtungen abgreifen. Das Kunstwort „Phishing“ umschreibt dieses Vorgehen: Der Begriff setzt sich aus den englischen Wörtern „password“ und „fishing“ zusammen.

Gängige Phishing E-Mails werden massenweise an Nutzende verschickt. Meist verwenden Betrüger eine gefälschte Absenderadresse (E-Mail Spoofing) und geben sich beispielsweise als vertrauenswürdige Bank oder als Online-Shop aus. So hoffen Phisher, möglichst viele Opfer zu finden, die auf die Mail reagieren und ihre persönlichen Daten an die Betrüger übermitteln. Das größte Sicherheitsrisiko sind bei Phishing-Attacken die Nutzenden selbst: Angriffe lassen sich nur durch den aufmerksamen und kritischen Umgang mit E-Mails und richtiges Handeln im Verdachtsfall vermeiden.

Wichtiger Hinweis

Nutzen Sie deshalb ausschließlich die Vorschau-Funktion Ihres Mail-Programms, um den Inhalt einer Phishing E-Mail einzusehen. Öffnen Sie die Mail nicht und laden Sie keinesfalls Anhänge herunter: Diese Aktionen können Phishern bereits schützenswerte Daten preisgeben oder schädliche Software auf Ihrem Computer installieren.

Wie erkenne ich eine Phishing E-Mail?

Viele Phishing-Mails wirken nur auf den ersten Blick authentisch. Beim genaueren Hinsehen lässt sich eine Phishing E-Mail schnell entlarven. Sie haben eine verdächtige Nachricht im Posteingang? Achten Sie auf diese Punkte:

  • Falsche Rechtschreibung, Grammatik oder Zeichensetzung: „Fordernsie Ihr Paket an!“ (anstelle von „Fordern Sie Ihr Paket an!“)
  • Domain mit absichtlichem Rechtschreibfehler, die einer bekannten Website ähnlich sieht: www.stadtwerke-mannheirn.de statt www.stadtwerke-mannheim.de
  • Absendername stimmt nicht mit der tatsächlichen Absenderadresse überein
  • Unpersönliche Anrede: „Sehr geehrte(r) Kunde“
  • Dringende Handlungsanweisung oder Drohung: „Der Domainname läuft in den nächsten 2 Tagen ab, wenn Sie den Anweisungen nicht folgen!“
  • Aufforderung, persönliche Daten auf externer, verlinkter Website zu validieren – oft in Form eines Buttons: „Identitätsprüfung erforderlich“, „Jetzt Konto aktualisieren“

Beachten Sie

Es reicht heute nicht mehr aus, sich auf  das verschlüsselte Kommunikationsprotokoll HTTPS zu verlassen: Denn viele Cyberkriminelle erwerben mittlerweile eine Domain mit SSL-Zertifikat, die sie anschließend in einer Phishing-Mail verlinken – ein weiterer Versuch, das Vertrauen bei potenziellen Opfern zu erhöhen.

Ein hilfreicher Anhaltspunkt ist das Phishing-Radar der Verbraucherzentrale. Hier werden Screenshots aktueller Phishing-Mails geteilt, um Nutzende über neueste Methoden der Angreifer zu informieren.

Spear Phishing: Gezielte Angriffe per E-Mail

Spear Phishing ist eine Sonderform von Phishing E-Mails, die sich an ausgesuchte Personen oder kleine Gruppen richtet. Statt Massen-Mails werden also einzelne, zielgerichtete Nachrichten verschickt.

Beim Spear Phishing recherchieren Cyberkriminelle nach konkreten persönlichen Informationen wie Namen oder Arbeitsstellen der Nutzenden, um sie direkt zu adressieren. Diese Phishing-Methode ist aufgrund der vermeintlich vertraulichen Aufmachung deutlich schwerer zu erkennen – und auch aufwendiger für jene, die sie in Umlauf bringen.

Das Ziel dieser Phishing-Methode: Unautorisierte Personen versuchen, per E-Mail an eine einzelne Person erstmaligen Zugang zu einem ganzen (Firmen-)System zu erhalten. Im Anschluss folgt ein größerer Angriff mit Datenraub oder finanzieller Erpressung.

Ein Beispiel für Spear Phishing

Stellen Sie sich vor: Herr Thomas Kunze erhält eine E-Mail von seiner guten Arbeitskollegin Frau Birgit Bauer aus der IT-Abteilung: „Lieber Thomas, deine Zugangsdaten für unsere Website sind veraltet. Bitte nutze den Link, um dein Passwort zu ändern. Liebe Grüße Birgit“

Der Inhalt der E-Mail klingt auf den ersten Blick authentisch: Thomas und Birgit kennen sich. Sie ist in der IT-Abteilung für die Verwaltung der Accounts zuständig. Doch tatsächlich handelt es sich um eine Phishing-Mail. Im genannten Beispiel wendeten Cyberkriminelle viel Mühe für die Recherche auf: Sie fanden heraus, in welchem Unternehmen Herr Kunze arbeitet und wie eine seiner Kolleginnen heißt.

Wenn Herr Kunze nun auf den Link in der betrügerischen E-Mail klickt und dort seine aktuellen Daten eingibt, können die Kriminellen diese abfangen und einsehen. Mit diesen Informationen gelingt es ihnen, in das Firmennetzwerk einzudringen. Dies kann für das betroffene Unternehmen erheblichen Schaden nach sich ziehen.

Wie kann ich mich vor Spear Phishing schützen?

Auch beim Spear Phishing kommt die Checkliste für Phishing E-Mails zum Einsatz:

  • Befinden sich Rechtschreib- oder Grammatikfehler in der E-Mail?
  • Stimmt die Absenderadresse mit dem Absendernamen überein?
  • Entspricht die angezeigte E-Mail-Adresse den Kontaktdaten der bekannten Person?

Eine hilfreiche Methode ist es, die Person hinter der angegebenen Absenderadresse telefonisch zu kontaktieren. Im Kontext des oben genannten Beispiels: Sobald Herr Kunze Verdacht schöpft, sollte er Frau Bauer anrufen und nachfragen, ob sie die E-Mail tatsächlich gesendet hat. So lassen sich Phishing-Mails in Unternehmen schnell aufdecken.

3 Schritte gegen Phishing: So schützen Sie Ihre Daten

1. Informieren Sie sich über aktuelle Phishing-Mails

Je mehr Sie über Phishing E-Mails wissen, desto leichter erkennen Sie Nachrichten mit gefälschten Absendern und versteckter Schadsoftware. Setzen Sie sich also regelmäßig mit dem Thema auseinander, um über aktuelle Betrugsversuche Bescheid zu wissen.

Unternehmen und öffentliche Einrichtungen können ihre Mitarbeitenden mit Probe-Phishing-Mails schulen. Das Vorgehen gleicht einem Probe-Feueralarm: Die interne IT-Abteilung erstellt eine Phishing-Mail und sendet sie an die Belegschaft. So üben die Empfängerinnen und Empfänger, Phishing E-Mails zu erkennen.

2. Setzen Sie auf gesundes Misstrauen

Nicht jede Phishing-Mail beinhaltet Rechtschreibfehler oder kryptische E-Mail-Adressen. Gehen Sie also stets mit Skepsis durch Ihren Posteingang und lesen Sie Mails mithilfe der Vorschau-Ansicht genau durch, bevor Sie sie als vertrauenswürdig einstufen. Kritische Rückfragen helfen.

Ein Beispiel: Sie erhalten eine vermeintliche Phishing-Mail von einem Postdienstleister, ein Paket sei auf dem Weg – für eine Zustellung ist es allerdings nötig, dass Sie Ihre Adresse über einen Link erneut mitteilen. Prüfen Sie in solch einem Fall nach, ob ein an Sie adressiertes Paket im Umlauf sein kann.

3. Verifizieren Sie den Inhalt der Mail beim angegebenen Absender

Ein weiteres Beispiel: Sie haben eine Mail eines Online-Shops erhalten, bei dem Sie ein Kundenkonto besitzen – vermuten allerdings, dass es sich um eine Phishing-Mail handelt? Kontaktieren Sie den Online-Shop und fragen Sie nach.

Wichtig: Nutzen Sie dafür ausschließlich Kontaktdaten, die Sie auf der offiziellen Website des Shops finden. Antworten Sie niemals direkt auf die vermeintliche Phishing E-Mail.

Schutz durch Technologie: 5 Tipps, um Phishing-Angriffe abzuwenden

1. Nutzen Sie Mail-Programme mit Authentifizierungstechnologien

Die drei wichtigsten Methoden zur E-Mail-Authentifizierung sind diese Technologien:

  • SPF (Sender Policy Framework)
  • DKIM (DomainKeys Identified Mail)
  • DMARC (Domain-based Message Authentication, Reporting and Conformance)

SPF überprüft, ob ein Absender auf einer Liste mit vertrauenswürdigen Mail-Adressen gelistet ist. DKIM ist mit einer digitalen Unterschrift vergleichbar und verifiziert die Echtheit Ihrer E-Mails. DMARC ergänzt die beiden Methoden und entscheidet, in welche Ordner verdächtige Mails abgelegt werden.

Die Funktionsweise dahinter sieht wie folgt aus: Erreicht eine Nachricht einen E-Mail-Server, kontrolliert er diese zunächst auf SPF und DKIM. Wird die E-Mail als schädlich eingestuft, lehnt DMARC sie ab oder schiebt sie direkt in Quarantäne (also den Spam-Ordner), sodass die E-Mail nicht im Posteingang landet.

Heutzutage werden SPF, DKIM und DMARC von den meisten modernen E-Mail-Dienstleistern unterstützt. Gegebenenfalls müssen Sie aktiviert oder konfiguriert werden. Bei STRATO E-Mail ist die DKIM-Signatur standardgemäß aktiv.

Gut zu wissen: Zugänge zu persönlichen Konten lassen sich mit Multi-Faktor-Authentifizierung schützen. So wird ein Zugriff zum Beispiel nur erteilt, wenn Nutzende zusätzlich zum Passwort ihren Fingerabdruck scannen oder eine TAN-Nummer eingeben. Betrügern fällt es damit schwerer, abgefischte Daten auszunutzen.

2. Installieren Sie Sicherheitssoftware

Sicherheitssoftware gehört zum Standard bei der Internetnutzung. Am gängigsten sind:

  • Antivirenprogramme
  • Firewall-Programme
  • Spam-Filter für Browser

Diese Tools verhindern zwar nicht, dass Sie eine Phishing E-Mail erreicht. Sie warnen allerdings vor schädlichen Websites und schützen Ihr System vor Viren und Würmern. Achten Sie darauf, dass die Tools regelmäßig Updates erhalten und stets auf dem neuesten Stand sind.

3. Schieben Sie Phishing-Mails in den Spam-Ordner

Eine Empfehlung der Verbraucherzentrale: Wenn Sie eine schädliche E-Mail in den Spam-Ordner verschieben, lernt Ihr Mail-Programm, verdächtige Absender zu erkennen und behandelt solche E-Mails künftig direkt als Spam. Auf diese Weise lassen sich Phishing-Mails im Posteingang reduzieren.

4. Verwenden Sie die erweiterte Filter-Funktion Ihres Mail-Programms

E-Mail-Software verfügt über zusätzliche Funktionen, die den Spam-Filter erweitern. Je nach Programm ist es möglich, bestimmte E-Mail-Adressen oder Wörter auf eine Filterliste zu setzen. Die Software überprüft die Adresse und Betreffzeile eingehender Mails auf die festgelegten Kriterien und schiebt verdächtige Nachrichten direkt in den Ordner für Spam- oder Junk-E-Mails.

5. Deaktivieren Sie das HTML-Format der Mail-Ansicht

Cyberkriminelle verstecken schädliche Links zu Phishing-Websites hinter Call-to-Action Buttons, die zum Klicken auffordern. Die verlinkten Webadressen werden sichtbar, wenn Sie in den Einstellungen Ihres E-Mail-Clients die „Nur-Text“-Ansicht wählen und damit das HTML-Format deaktivieren. So können Sie die Weiterleitung zu dubiosen und betrügerischen Websites mit einem Blick erkennen und eine Phishing E-Mail direkt in den Spam-Ordner verschieben.

Maximale Datensicherheit mit STRATO E-Mail

Der E-Mail-Service von STRATO bietet einen optimalen Schutz gegen Phishing-Angriffe:

Zudem informiert Sie STRATO über aktuelle Phishing-Mails – inklusive Tipps, wie Sie diese erkennen. Im Falle eines Missbrauchs Ihrer Mail-Adresse ist die Abuse-Abteilung von STRATO zur Stelle: Unsere Ansprechpartner kümmern sich rund um die Uhr um derartige Anliegen.

Jetzt E-Mail-Konto erstellen

Diese Mail-Angebote könnten Sie interessieren

E-MAIL
Business
Bis zu 350 GB flexibler E-Mail-Speicher: Für Firmen und wachsende Teams
1 Monat
kosten­los
  • danach 5,50 €/Mon.
  • Einrichtung: 0 €
Zum E-Mail Angebot
E-MAIL
Plus
5 GB pro Postfach:
Ideal für großen Speicherbedarf
12 Monate
 1 € /Mon.
  • danach 5 €/Mon.
  • Einrichtung: 0 €
Zum E-Mail Angebot
E-MAIL
Basic
2 GB pro Postfach:
Ideal für privaten E-Mail-Verkehr
1 Monat
kostenlos
  •  
  • danach 3 €/Mon.
  • Einrichtung: 0 €
Zum E-Mail Angebot
Preise inkl. MwSt.
Zertifizierte Rechenzentren

Zertifizierte Rechenzentren

Service-Champion & Nr. 1 im Webhosting

Service-Champion & Nr. 1 im Webhosting

Hosted in Germany

Hosted in Germany

Klimafreundlich

Klimafreundlich

Häufig gestellte Fragen zu Phishing E-Mails

Phishing und Spam: Was ist der Unterschied?

Phishing E-Mails lassen sich als Unterkategorie von Spam E-Mails betrachten. Der Unterschied: Bei Spam-Mails handelt es sich um unerwünschte Nachrichten wie Werbung, die den Posteingang überfluten. Phishing-Mails haben die Absicht, persönliche Daten abzugreifen.

Ich wurde Opfer einer Phishing-Mail: Was muss ich tun?

Sollten Sie mit Inhalten einer Phishing-Mail interagiert oder persönliche Daten wie Passwörter herausgegeben haben, trennen Sie Ihr Gerät schnellstmöglich von der Internetverbindung. Falls sich Cyberkriminelle auf Ihr Gerät geschaltet haben, verhindern Sie so, dass sie weiterhin in Echtzeit Schaden anrichten können. Nutzen Sie anschließend ein anderes Device, um die Kennwörter von betroffenen Konten zu ändern.

Meine Bank fordert mich per E-Mail auf, meine Kreditkartennummer zu bestätigen. Ist das Phishing?

Ja: Banken oder Kreditinstitute werden Sie nie dazu auffordern, vertrauliche Daten per E-Mail preiszugeben oder über einen Link zu aktualisieren. Schieben Sie die Phishing-E-Mail direkt in den Spam-Ordner und melden Sie der betroffenen Bank den Vorfall.