Zum Hauptinhalt springen

So schützen Sie sich vor Phishing-Angriffen

Phishing ist nach wie vor die häufigste Art, wie Konten gestohlen werden. Erfahren Sie, wie modernes Phishing funktioniert, welche Warnzeichen Sie beachten sollten und praktische Abwehrmaßnahmen, die Angriffe tatsächlich stoppen.

2026-04-14

TL;DR

  • Phishing ist die häufigste Ursache für Kontoübernahmen — Angreifer bringen Sie dazu, Anmeldedaten auf einer gefälschten Website preiszugeben.
  • Moderne Phishing-Kits klonen Anmeldeseiten pixelgenau und leiten Ihre 2FA-Codes in Echtzeit weiter.
  • Hardware-Sicherheitsschlüssel (YubiKey, FIDO2) sind die einzige Abwehr, die von Grund auf phishing-sicher ist.
  • Passwort-Manager schützen Sie, indem sie sich weigern, auf der falschen Domain automatisch auszufüllen.
  • Überprüfen Sie die exakte Domain, bevor Sie Anmeldedaten eingeben, und melden Sie sich niemals über einen Link in einer E-Mail an.

Was ist Phishing?

Phishing ist ein Social-Engineering-Angriff, bei dem ein Angreifer eine überzeugende Kopie einer legitimen Website erstellt — oft pixelgenau — und ein Opfer dazu bringt, dort Anmeldedaten einzugeben. In dem Moment, in dem das Opfer das Formular absendet, erfasst der Angreifer den Benutzernamen, das Passwort und jeden zweiten Faktor und verwendet sie dann innerhalb von Sekunden, um das echte Konto zu übernehmen.

Das Wort kommt von der Metapher des „Fischens" nach Opfern mit einem Köder (normalerweise eine E-Mail). Die Schreibweise änderte sich, um zu betonen, dass Angreifer oft Phone-Nummern (SMS-Phishing oder „Smishing") und professionell aussehende Infrastruktur verwenden.

Warum Phishing immer noch die größte Bedrohung ist

Die meisten großangelegten Kontoverletzungen heute beinhalten nicht das Hacken, Knacken von Passwörtern oder Umgehen von Verschlüsselung. Sie beinhalten einen Menschen, der ein Passwort in eine gefälschte Website eingibt. Phishing ist:

  • Günstig — ein Angreifer kann Millionen von E-Mails für die Kosten eines VPS und einer gefälschten Domain senden
  • Schwer zu filtern — moderne Kits rotieren Domains, verwenden legitimes Hosting und passen sich in Echtzeit an Filter an
  • Effektiv — selbst sicherheitsbewusste Benutzer fallen auf gut gestaltete gezielte Versuche herein (Spear-Phishing)
  • Skalierbar — ein einziges erfolgreiches Phishing führt oft zu Zugang zu Dutzenden von verbundenen Diensten durch Passwort-Wiederverwendung

Der Verizon Data Breach Investigations Report 2024 fand heraus, dass Phishing der ursprüngliche Zugriffsvektor in über 36% aller Datenverletzungen war — mehr als jede andere einzelne Ursache.

Wie modernes Phishing funktioniert

Phishing hat sich weit über die „Nigerianischer Prinz"-E-Mails der 2000er Jahre hinaus entwickelt. Ein moderner Phishing-Angriff umfasst normalerweise:

1. Ein überzeugender Köder

Normalerweise eine E-Mail, Textnachricht oder Chat-Nachricht, die Dringlichkeit („Ihr Konto wird gesperrt"), Autorität („Microsoft-Sicherheitsteam") oder Neugier („Jemand hat Sie in einem Foto markiert") schafft. Spear-Phishing geht noch weiter mit persönlichen Details, die von LinkedIn, Datenverletzungen oder früherer Korrespondenz stammen.

2. Eine pixelgenaue gefälschte Website

Angreifer verwenden standardmäßige Phishing-Kits, die die HTML-, CSS- und JavaScript-Dateien der Ziel-Website klonen. Viele Kits werden als Service verkauft (Phishing-as-a-Service), mit funktionierenden Dashboards und Kundensupport.

3. Ein Echtzeit-Proxy für 2FA

Der gefährliche Teil: moderne Kits erfassen nicht nur Ihr Passwort. Sie fungieren als Man-in-the-Middle-Proxy, der alles, was Sie eingeben — einschließlich Ihres TOTP-Codes — innerhalb von Sekunden an die echte Website weiterleitet und so die meiste 2FA umgeht. Diese Technik wird Adversary-in-the-Middle (AiTM) genannt und wird in Tools wie Evilginx2 und Modlishka verwendet.

4. Session-Token-Diebstahl

Sobald Sie sich über den Proxy authentifizieren, erfasst der Angreifer Ihr Session-Cookie und kann es verwenden, um angemeldet zu bleiben, selbst nachdem Sie Ihr Passwort geändert haben. Deshalb umfasst die Phishing-Reaktion immer das Widerrufen aktiver Sitzungen, nicht nur die Passwort-Rotation.

Was Phishing tatsächlich stoppt

Hardware-Sicherheitsschlüssel (FIDO2 / WebAuthn)

Dies ist die einzige Kategorie von Abwehr, die von Grund auf phishing-sicher ist. Wenn Sie sich mit einem FIDO2-Schlüssel anmelden, überprüft Ihr Schlüssel kryptographisch die exakte Domain der Website, die Authentifizierung anfordert. Eine gefälschte Website — egal wie visuell perfekt — hat eine andere Domain, also weigert sich der Schlüssel zu antworten. Der kryptographische Handschlag wird einfach nicht abgeschlossen.

Google verpflichtete 2017 alle 85.000+ Mitarbeiter zu YubiKeys und berichtete null erfolgreiche Phishing-Angriffe auf Unternehmenskonten in den Jahren danach.

Passkeys

Passkeys sind die verbraucherfreundliche Weiterentwicklung von FIDO2. Sie verwenden dieselbe domain-gebundene Kryptographie und sind in iOS, Android, macOS und Windows integriert. Wenn eine Website, die Sie nutzen, Passkeys unterstützt, macht die Aktivierung eines solchen Kontos phishing-sicher.

Passwort-Manager

Ein Passwort-Manager ist Ihre zweite Verteidigungslinie, da er Anmeldedaten nur auf der exakten Domain automatisch ausfüllt, auf der sie gespeichert wurden. Wenn Sie auf paypaI.com (großes I) statt paypal.com landen, weigert sich Ihr Manager stillschweigend, das Formular auszufüllen. Diese Verweigerung ist eine laute Warnung, dass etwas nicht stimmt.

E-Mail- und DNS-Filterung

E-Mail-Anbieter verwenden DMARC, SPF und DKIM, um gefälschte Absenderadressen zu erkennen. Die meisten modernen Anbieter fangen die offensichtlichen Versuche ab, aber gezielte Angriffe schlüpfen immer noch durch. Aktivieren Sie „Phishing melden"-Buttons in Ihrem Mail-Client, damit Sie den Filtern helfen, sich zu verbessern.

Warnzeichen, auf die Sie achten sollten

Wenn Sie eine Nachricht erhalten, die Sie auffordert, sich anzumelden, zu verifizieren oder dringend zu handeln:

  • Dringlichkeit und Drohungen — „Ihr Konto wird in 24 Stunden geschlossen"
  • Allgemeine Begrüßungen — „Lieber Kunde" anstatt Ihres Namens
  • Ähnlich aussehende DomainspaypaI.com, app1e.com, secure-microsoft-login.net
  • Unerwartete Anhänge — besonders .zip-, .html- oder .pdf-Dateien, die Sie auffordern, sich anzumelden, um sie anzusehen
  • Grammatik- oder Formatierungsfehler — große Unternehmen korrigieren ihre E-Mails
  • Link-Nichtübereinstimmung — fahren Sie über den Link und prüfen Sie, ob das Ziel mit dem Text übereinstimmt

Wenn sich etwas komisch anfühlt, schließen Sie die E-Mail. Navigieren Sie manuell zur Website. Wenn es ein echtes Problem gibt, werden Sie es sehen, wenn Sie sich über Ihren normalen Arbeitsablauf anmelden.

Was zu tun ist, wenn Sie darauf hereingefallen sind

Handeln Sie schnell — Geschwindigkeit ist wichtig, weil Angreifer Anmeldedaten innerhalb von Minuten zu verwenden beginnen.

  1. Ändern Sie das Passwort sofort auf einem anderen Gerät (Ihrem Telefon zum Beispiel, wenn Sie darauf auf Ihrem Laptop hereingefallen sind)
  2. Widerrufen Sie alle aktiven Sitzungen in den Kontoeinstellungen — das wirft jeden raus, der derzeit gestohlene Session-Token verwendet
  3. Aktivieren Sie 2FA, wenn es nicht schon an war, und verwenden Sie einen Hardware-Schlüssel oder Passkey, wenn möglich
  4. Prüfen Sie auf unbefugte Aktivitäten — gesendete E-Mails, kürzliche Anmeldungen, Abrechnungsänderungen, neue Weiterleitungsregeln
  5. Benachrichtigen Sie die betroffene Institution, wenn es sich um ein Finanz- oder Arbeitskonto handelt
  6. Überprüfen Sie andere Konten, die dasselbe Passwort verwendet haben — auch wenn Sie sicher sind, dass Sie keine Passwörter wiederverwenden, überprüfen Sie es

Das Fazit

Phishing gedeiht, weil es Technologie umgeht und Menschen anvisiert. Die besten Abwehrmaßnahmen kombinieren drei Schichten: Passwort-Manager (weigern sich, auf falschen Domains automatisch auszufüllen), phishing-resistente 2FA (Hardware-Schlüssel oder Passkeys, die sich an die echte Domain binden) und gesunde Skepsis (melden Sie sich niemals über einen E-Mail-Link an).

Aktivieren Sie alle drei auf Ihrem wichtigsten Konto — Ihrer E-Mail — zuerst. Von dort aus wird der Rest Ihres digitalen Lebens bedeutend sicherer.

So schützen Sie sich vor Phishing

Eine praktische, geordnete Checkliste zur Härtung Ihrer Konten gegen Phishing-Angriffe.

  1. Verwenden Sie einen Passwort-Manager:Installieren Sie einen seriösen Passwort-Manager (1Password, Bitwarden, Proton Pass) und lassen Sie ihn Anmeldedaten automatisch ausfüllen. Er wird sich weigern, auf ähnlich aussehenden Domains automatisch auszufüllen, was Ihnen einen integrierten Phishing-Detektor bietet.
  2. Aktivieren Sie phishing-resistente 2FA:Fügen Sie einen FIDO2-Hardware-Schlüssel (YubiKey, Google Titan) oder Passkey zu Ihren wichtigsten Konten hinzu — zuerst E-Mail, dann Banking, Cloud-Speicher und Passwort-Manager. Das sind die einzigen 2FA-Methoden, die modernes Phishing tatsächlich stoppen.
  3. Melden Sie sich niemals über E-Mail-Links an:Wenn Sie eine E-Mail erhalten, die Sie zum Anmelden auffordert, schließen Sie die E-Mail und navigieren Sie manuell zur Website über ein Lesezeichen oder durch Eingabe der URL. Der Link in der E-Mail könnte ein perfekter Klon sein; das Lesezeichen in Ihrem Browser ist es nicht.
  4. Überprüfen Sie die exakte Domain vor der Eingabe:Bevor Sie ein Passwort eingeben, schauen Sie sich die vollständige URL in der Adressleiste an. Achten Sie auf https, die korrekte Schreibweise und keine zusätzlichen Subdomains wie paypal.com.secure-login.net.
  5. Melden und weitermachen:Melden Sie den Phishing-Versuch an Ihren E-Mail-Anbieter (die meisten haben einen „Phishing melden"-Button). Dann machen Sie mit Ihrem Tag weiter — Phishing ist nur gefährlich, wenn Sie darauf hereinfallen, und Bewusstsein ist der größte Teil des Kampfes.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email