Zum Hauptinhalt springen

Wie Sie sich vor Phishing-Angriffen schützen

Phishing ist der häufigste Weg, auf dem Konten gestohlen werden. Wie modernes Phishing funktioniert, Warnsignale und Schutzmaßnahmen, die Angriffe tatsächlich stoppen.

Zuletzt aktualisiert: 14. April 2026

Kurz & knapp

  • Phishing ist die häufigste Ursache für Kontoübernahmen — Angreifer bringen Sie dazu, Ihre Zugangsdaten auf einer gefälschten Website einzugeben.
  • Moderne Phishing-Kits klonen Anmeldeseiten pixelgenau und leiten Ihre 2FA-Codes in Echtzeit weiter.
  • Hardware-Sicherheitsschlüssel (YubiKey, FIDO2) sind die einzige Schutzmaßnahme, die von Grund auf phishingsicher ist.
  • Passwort-Manager schützen Sie, indem sie sich weigern, Daten auf der falschen Domain automatisch auszufüllen.
  • Überprüfen Sie die genaue Domain, bevor Sie Zugangsdaten eingeben, und melden Sie sich niemals über einen Link in einer E-Mail an.

Was ist Phishing?

Phishing ist ein Social-Engineering-Angriff, bei dem ein Angreifer eine überzeugende Kopie einer legitimen Website erstellt — oft pixelgenau — und ein Opfer dazu verleitet, dort Zugangsdaten einzugeben. In dem Moment, in dem das Opfer das Formular absendet, erfasst der Angreifer Benutzername, Passwort und jeden zweiten Faktor und nutzt diese innerhalb von Sekunden, um das echte Konto zu übernehmen.

Das Wort leitet sich von der Metapher des „Fischens" nach Opfern mit einem Köder ab (in der Regel eine E-Mail). Die Schreibweise wurde geändert, um zu betonen, dass Angreifer häufig Phone-Nummern (SMS-Phishing, auch „Smishing" genannt) und professionell wirkende Infrastruktur einsetzen.

Warum Phishing nach wie vor die häufigste Bedrohung ist

Die meisten groß angelegten Kontoverletzungen beinhalten heute kein Hacken, kein Knacken von Passwörtern oder das Umgehen von Verschlüsselung. Sie beinhalten einen Menschen, der ein Passwort auf einer gefälschten Website eintippt. Phishing ist:

  • Günstig — ein Angreifer kann Millionen von E-Mails zu den Kosten eines VPS und einer gefälschten Domain versenden
  • Schwer zu filtern — moderne Kits rotieren Domains, nutzen legitimes Hosting und passen sich in Echtzeit an Filter an
  • Effektiv — selbst sicherheitsbewusste Nutzer fallen auf gut gestaltete, zielgerichtete Versuche herein (Spear-Phishing)
  • Skalierbar — ein einziger erfolgreicher Phishing-Angriff ermöglicht häufig Zugang zu Dutzenden verbundener Dienste durch Passwort-Wiederverwendung

Der Verizon Data Breach Investigations Report 2024 stellte fest, dass Phishing bei über 36 % aller Datenschutzverletzungen der erste Zugriffsvektor war — mehr als jede andere einzelne Ursache.

Wie modernes Phishing funktioniert

Phishing hat sich weit über die „Nigerianischer Prinz"-E-Mails der 2000er Jahre hinaus entwickelt. Ein moderner Phishing-Angriff umfasst typischerweise:

1. Ein überzeugender Köder

In der Regel eine E-Mail, SMS oder Chat-Nachricht, die Dringlichkeit erzeugt („Ihr Konto wird gesperrt"), Autorität vermittelt („Microsoft-Sicherheitsteam") oder Neugier weckt („Jemand hat Sie auf einem Foto markiert"). Spear-Phishing geht noch weiter und enthält persönliche Details, die aus LinkedIn, Datenleck-Dumps oder früherer Korrespondenz stammen.

2. Eine pixelgenaue gefälschte Website

Angreifer verwenden handelsübliche Phishing-Kits, die HTML, CSS und JavaScript der Zielwebsite klonen. Viele Kits werden als Service verkauft (Phishing-as-a-Service), mit funktionierenden Dashboards und Kundensupport.

3. Ein Echtzeit-Proxy für 2FA

Das Gefährliche daran: Moderne Kits erfassen nicht nur Ihr Passwort. Sie fungieren als Man-in-the-Middle-Proxy, der alles, was Sie eingeben — einschließlich Ihres TOTP-Codes — innerhalb von Sekunden an die echte Website weiterleitet und so die meisten 2FA-Methoden umgeht. Diese Technik wird als Adversary-in-the-Middle (AiTM) bezeichnet und wird in Tools wie Evilginx2 und Modlishka eingesetzt.

4. Diebstahl von Sitzungs-Tokens

Sobald Sie sich über den Proxy authentifiziert haben, erfasst der Angreifer Ihr Sitzungs-Cookie und kann es verwenden, um angemeldet zu bleiben, selbst nachdem Sie Ihr Passwort geändert haben. Deshalb umfasst die Reaktion auf Phishing immer das Widerrufen aktiver Sitzungen und nicht nur das Rotieren des Passworts.

Was Phishing tatsächlich stoppt

Hardware-Sicherheitsschlüssel (FIDO2 / WebAuthn)

Dies ist die einzige Schutzkategorie, die von Grund auf phishingsicher ist. Wenn Sie sich mit einem FIDO2-Schlüssel anmelden, verifiziert Ihr Schlüssel kryptografisch die genaue Domain der Website, die die Authentifizierung anfordert. Eine gefälschte Website — egal wie visuell perfekt — hat eine andere Domain, sodass der Schlüssel sich weigert zu antworten. Der kryptografische Handshake wird schlicht nicht abgeschlossen.

Google verpflichtete bekanntlich alle 85.000+ Mitarbeiter im Jahr 2017 zur Nutzung von YubiKeys und meldete seitdem null erfolgreiche Phishing-Angriffe auf Unternehmenskonten.

Passkeys

Passkeys sind die verbraucherfreundliche Weiterentwicklung von FIDO2. Sie verwenden dieselbe domain-gebundene Kryptografie und sind in iOS, Android, macOS und Windows integriert. Wenn eine von Ihnen genutzte Website Passkeys unterstützt, macht die Aktivierung eines Passkeys das Konto phishingsicher.

Passwort-Manager

Ein Passwort-Manager ist Ihre zweite Verteidigungslinie, da er Zugangsdaten nur auf der exakten Domain automatisch ausfüllt, auf der sie gespeichert wurden. Wenn Sie auf paypaI.com (großes I) statt auf paypal.com landen, verweigert Ihr Manager stillschweigend das Ausfüllen des Formulars. Diese Verweigerung ist eine deutliche Warnung, dass etwas nicht stimmt.

E-Mail- und DNS-Filterung

E-Mail-Anbieter verwenden DMARC, SPF und DKIM, um gefälschte Absenderadressen zu erkennen. Die meisten modernen Anbieter fangen die offensichtlichen Versuche ab, aber zielgerichtete Angriffe schlüpfen dennoch durch. Aktivieren Sie die Schaltfläche „Phishing melden" in Ihrem E-Mail-Client, um zur Verbesserung der Filter beizutragen.

Warnsignale, auf die Sie achten sollten

Wenn Sie eine Nachricht erhalten, in der Sie aufgefordert werden, sich anzumelden, etwas zu verifizieren oder dringend zu handeln:

  • Dringlichkeit und Drohungen — „Ihr Konto wird in 24 Stunden gesperrt"
  • Allgemeine Anreden — „Sehr geehrter Kunde" statt Ihres Namens
  • Ähnlich aussehende DomainspaypaI.com, app1e.com, secure-microsoft-login.net
  • Unerwartete Anhänge — insbesondere .zip-, .html- oder .pdf-Dateien, die Sie auffordern, sich zur Ansicht anzumelden
  • Grammatik- oder Formatierungsfehler — große Unternehmen lektorieren ihre E-Mails
  • Link-Diskrepanz — fahren Sie mit dem Mauszeiger über den Link und prüfen Sie, ob das Ziel mit dem Text übereinstimmt

Wenn irgendetwas seltsam erscheint, schließen Sie die E-Mail. Navigieren Sie manuell zur Website. Wenn es ein echtes Problem gibt, werden Sie es sehen, wenn Sie sich über Ihren normalen Workflow anmelden.

Was Sie tun sollten, wenn Sie auf einen Angriff hereingefallen sind

Handeln Sie schnell — Geschwindigkeit ist entscheidend, da Angreifer innerhalb von Minuten beginnen, Zugangsdaten zu nutzen.

  1. Ändern Sie das Passwort sofort auf einem anderen Gerät (zum Beispiel auf Ihrem Smartphone, wenn Sie auf Ihrem Laptop hereingefallen sind)
  2. Widerrufen Sie alle aktiven Sitzungen in den Kontoeinstellungen — dadurch werden alle Personen ausgeloggt, die derzeit gestohlene Sitzungs-Tokens verwenden
  3. Aktivieren Sie 2FA, falls noch nicht geschehen, und verwenden Sie wenn möglich einen Hardware-Schlüssel oder Passkey
  4. Überprüfen Sie auf unbefugte Aktivitäten — gesendete E-Mails, aktuelle Anmeldungen, Abrechnungsänderungen, neue Weiterleitungsregeln
  5. Benachrichtigen Sie das betroffene Institut, wenn es sich um ein Finanz- oder Arbeitskonto handelt
  6. Überprüfen Sie andere Konten, die dasselbe Passwort verwendet haben — selbst wenn Sie sicher sind, keine Passwörter wiederzuverwenden, überprüfen Sie es trotzdem

Das Fazit

Phishing gedeiht, weil es Technologie umgeht und Menschen zum Ziel hat. Die besten Schutzmaßnahmen kombinieren drei Ebenen: Passwort-Manager (verweigern das automatische Ausfüllen auf falschen Domains), phishingsichere 2FA (Hardware-Schlüssel oder Passkeys, die an die echte Domain gebunden sind) und gesunde Skepsis (melden Sie sich niemals über einen E-Mail-Link an).

Aktivieren Sie alle drei Maßnahmen zuerst für Ihr wichtigstes Konto — Ihre E-Mail. Von dort aus wird der Rest Ihres digitalen Lebens deutlich sicherer.

Wie Sie sich vor Phishing schützen

Eine praktische, geordnete Checkliste, um Ihre Konten gegen Phishing-Angriffe zu schützen.

  1. Einen Passwort-Manager verwenden:Installieren Sie einen seriösen Passwort-Manager (1Password, Bitwarden, Proton Pass) und lassen Sie ihn Zugangsdaten automatisch ausfüllen. Er verweigert das automatische Ausfüllen auf ähnlich aussehenden Domains und bietet Ihnen so einen integrierten Phishing-Detektor.
  2. Phishingsichere 2FA aktivieren:Fügen Sie Ihren wichtigsten Konten einen FIDO2-Hardware-Schlüssel (YubiKey, Google Titan) oder einen Passkey hinzu — beginnen Sie mit E-Mail, dann Banking, Cloud-Speicher und Passwort-Manager. Dies sind die einzigen 2FA-Methoden, die modernes Phishing tatsächlich stoppen.
  3. Sich niemals über E-Mail-Links anmelden:Wenn Sie eine E-Mail erhalten, in der Sie aufgefordert werden, sich anzumelden, schließen Sie die E-Mail und navigieren Sie manuell zur Website über ein Lesezeichen oder durch Eingabe der URL. Der Link in der E-Mail könnte ein perfektes Klon sein; das Lesezeichen in Ihrem Browser hingegen nicht.
  4. Die genaue Domain vor der Eingabe prüfen:Bevor Sie ein Passwort eingeben, schauen Sie sich die vollständige URL in der Adressleiste an. Achten Sie auf HTTPS, die korrekte Schreibweise und keine zusätzlichen Subdomains wie paypal.com.secure-login.net.
  5. Melden und weitermachen:Melden Sie den Phishing-Versuch Ihrem E-Mail-Anbieter (die meisten haben eine Schaltfläche „Phishing melden"). Machen Sie dann weiter mit Ihrem Tag — Phishing ist nur gefährlich, wenn Sie darauf hereinfallen, und Bewusstsein ist der größte Teil des Schutzes.

Häufig gestellte Fragen