Eine Mail droht mit Kontosperrung. Eine SMS meldet ein angeblich festhängendes Paket. Im Messenger fragt jemand nach einem Code. Genau in solchen Momenten entscheidet sich oft, ob du kurz prüfst – oder ob du Kriminellen Zugang zu Konto, Zahlungsdaten oder Login gibst.
Die kurze Antwort: Phishing erkennst du selten an einem einzigen Merkmal, sondern an der Kombination aus Druck, Link, Datenforderung und ungewohntem Absender. Je dringlicher eine Nachricht klingt, desto langsamer solltest du werden. Nicht klicken, nicht antworten, nicht aus der Nachricht heraus einloggen. Öffne Bank, Paketdienst oder Kundenkonto lieber selbst über App, Lesezeichen oder die bekannte Website.
Früher waren Phishing-Mails oft voller Fehler. Heute sehen viele davon ordentlich aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt, dass gefälschte E-Mails und Webseiten immer professioneller werden.[1] Deshalb reicht der alte Tipp „achte auf Rechtschreibfehler“ nicht mehr.
Erst prüfen: Was ist gerade passiert?
Bei Phishing ist die wichtigste Frage nicht „War die Mail echt?“, sondern zuerst: Was habe ich schon getan? Davon hängt ab, wie dringend du reagieren musst.
| Situation | Was du jetzt machst | Warum |
|---|---|---|
| Nachricht nur erhalten | Nicht klicken, nicht antworten, Absender und Link prüfen, danach löschen oder melden. | Ohne Klick und ohne Dateneingabe ist meistens noch nichts passiert. |
| Link geöffnet, aber nichts eingegeben | Seite schließen, keine Downloads öffnen, Browserdaten bei Bedarf löschen, Gerät beobachten. | Der größere Schaden entsteht meist erst durch Dateneingabe oder Download. |
| Passwort eingegeben | Passwort sofort über die echte Website ändern, überall dort ändern, wo du es erneut nutzt, Zwei-Faktor-Schutz prüfen. | Kriminelle testen abgegriffene Passwörter oft bei mehreren Diensten. |
| Bankdaten, TAN oder Kartendaten eingegeben | Bank sofort kontaktieren, Karte oder Zugang sperren lassen, Umsätze prüfen, Beweise sichern. | Hier zählt Zeit, weil Abbuchungen oder Überweisungen folgen können. |
| Datei geöffnet oder App installiert | Gerät nicht weiter nutzen, Netzwerkverbindung trennen, IT oder Fachperson einschalten. | Anhänge und Fake-Apps können Schadsoftware enthalten. |
Diese Abstufung nimmt Druck raus. Nicht jede verdächtige Mail ist gleich ein Totalschaden. Aber sobald du Daten eingegeben oder etwas installiert hast, wird aus „prüfen“ ein Notfallablauf.
Phishing erkennen: Die vier stärksten Warnzeichen
Phishing arbeitet selten mit einem einzigen Trick. Meist wird eine bekannte Marke kopiert, dazu kommt Zeitdruck, ein Link und eine Forderung. Diese vier Punkte solltest du immer zusammen prüfen.
- Die Nachricht macht Druck. Typisch sind Formulierungen wie „letzte Frist“, „Konto wird gesperrt“, „Zahlung fehlgeschlagen“ oder „Paket geht zurück“.
- Der Link führt nicht dorthin, wo er hinführen soll. Die Verbraucherzentrale warnt unter anderem vor gefälschten Absendern und Links, die seriös wirken, aber auf betrügerische Seiten führen können.[2]
- Du sollst sensible Daten eingeben. Passwörter, PINs, TANs, komplette Kartendaten oder Ausweisdaten gehören nicht in ein Formular, das du über eine Mail oder SMS geöffnet hast.
- Der Weg ist ungewöhnlich. Deine Bank, ein Zahlungsdienst oder ein Amt nutzt plötzlich eine kurze URL, einen fremden Dateianhang oder eine merkwürdige Domain? Dann erst recht stoppen.
Die Polizei-Beratung bringt den Kern für Bankdaten knapp auf den Punkt: Passwörter, PIN und TAN sollen nicht nach Aufforderung herausgegeben werden; beim Onlinebanking sollten sensible Daten nur über eine gesicherte Verbindung und die offiziellen Zugangswege eingegeben werden.[3]
Der einfachste Test: Nicht den Link nutzen
Der sicherste Alltagstest ist erstaunlich schlicht: Nutze nicht den Link aus der Nachricht. Öffne stattdessen die App deiner Bank, die Website des Paketdienstes oder dein Kundenkonto selbst. Tippe die Adresse ein, nutze dein Lesezeichen oder gehe über die offizielle App.
Wenn die Nachricht echt ist, findest du dort meistens denselben Hinweis. Wenn im Kundenkonto nichts steht, war die Mail oder SMS sehr wahrscheinlich nur Köder.
Bei Bank-Mails ist diese Regel besonders wichtig. Eine echte Bank wird dich nicht per Mail oder SMS zu einer Seite lotsen, auf der du spontan PIN, TAN oder komplette Zugangsdaten bestätigen sollst. Sobald eine Nachricht genau das verlangt, ist der bessere Reflex: Browser zu, Bank-App selbst öffnen oder Bank über die bekannte Nummer kontaktieren.
Roberts Zwei-Minuten-Regel
Wenn eine Nachricht dich zu einer schnellen Entscheidung drängt, gib ihr absichtlich zwei Minuten extra. Absender vollständig ansehen, Linkziel prüfen, offizielles Konto selbst öffnen. Phishing lebt von Tempo. Du musst nicht mitspielen.
So prüfst du Absender und Link
Der angezeigte Name ist wenig wert. Dort kann „Sparkasse“, „DHL“, „PayPal“ oder „Finanzamt“ stehen, obwohl die Mail von ganz woanders kommt. Entscheidend ist die vollständige Adresse.
Bei Mails klickst du nicht auf den Button, sondern schaust dir zuerst den Absender genau an. Auf dem Computer kannst du oft mit der Maus über einen Link fahren, ohne ihn zu öffnen. Dann zeigt dir das Mailprogramm oder der Browser unten die Zieladresse. Auf dem Smartphone ist das schwieriger, weil gekürzte Links und kleine Displays weniger hergeben. Genau deshalb sind SMS-Links so beliebt bei Betrügern.
Achte besonders auf kleine Veränderungen. Aus „paypal.com“ wird dann eine fremde Domain mit PayPal im Namen. Aus einem Paketdienst wird eine Kurzadresse. Aus einer Bankdomain wird eine Adresse mit Bindestrichen, Zahlen oder zusätzlichem Wortsalat. Wichtig: Ein Schloss-Symbol im Browser bedeutet nur, dass die Verbindung verschlüsselt ist. Es beweist nicht, dass die Seite echt ist.
Phishing per SMS, Messenger und QR-Code
Phishing kommt längst nicht nur per Mail. SMS mit Paketlinks, Messenger-Nachrichten von angeblichen Angehörigen, gefälschte Kleinanzeigen-Links oder QR-Codes auf manipulierten Aufklebern funktionieren nach demselben Prinzip: Du sollst schnell handeln, bevor du prüfst.
Bei Paket-SMS ist der Trick besonders billig und trotzdem wirksam. „Ihr Paket konnte nicht zugestellt werden“ reicht oft schon, weil viele Menschen gerade tatsächlich etwas erwarten. Öffne dann nicht den SMS-Link, sondern die App oder Website des Paketdienstes selbst und prüfe dort die Sendungsnummer.
Bei QR-Codes gilt das Gleiche. Die Polizei-Beratung warnt beim sogenannten Quishing davor, dass QR-Codes auf gefälschte Webseiten führen können; wer Karten- oder Bankdaten auf einer gefälschten Seite eingegeben hat, soll die Karte umgehend sperren lassen und Anzeige erstatten.[4]
Wenn du schon geklickt hast
Ein Klick allein ist noch nicht automatisch der schlimmste Fall. Wichtig ist, was danach passiert ist. Hast du nur die Seite geöffnet und sofort geschlossen, ist das Risiko geringer als bei einer Dateneingabe oder einem Download.
Schließe die Seite. Öffne keine Datei, installiere keine App und erlaube keine Benachrichtigungen. Wenn ein Download gestartet wurde, öffne die Datei nicht. Bei einem Arbeitsgerät informierst du lieber früh die IT, auch wenn es dir unangenehm ist. Früh melden ist deutlich besser als still hoffen.
Hast du Login-Daten eingegeben, ändere das Passwort sofort über die echte Website oder App. Nutzt du dasselbe Passwort woanders, änderst du es dort ebenfalls. Das BSI empfiehlt für Kontenschutz unter anderem starke, unterschiedliche Passwörter, Passwortmanager und Zwei-Faktor-Authentisierung.[5]
Wenn du Bankdaten oder TAN eingegeben hast
Dann nicht mehr lange analysieren. Bank oder Zahlungsdienst sofort über die bekannte Telefonnummer, die echte App oder die offizielle Website kontaktieren. Karte oder Onlinebanking sperren lassen, Umsätze prüfen und verdächtige Abbuchungen melden.
Für Karten gibt es in Deutschland außerdem den Sperr-Notruf 116 116. Die Polizei-Beratung nennt diesen Notruf ebenfalls im Zusammenhang mit Kartenbetrug und Phishing-Folgen.[4]
Sichere Beweise: Mail, SMS, Link, Screenshots, Uhrzeit, angebliche Absender, Telefonnummern. Wenn Geld weg ist oder Daten missbraucht wurden, ist Anzeige bei der Polizei sinnvoll. Das BSI verweist bei Schäden infolge eines Phishing-Angriffs ebenfalls auf eine Strafanzeige bei der örtlichen Polizei.[6]
Im Job: Zweiter Kanal statt blindem Vertrauen
Im beruflichen Umfeld wird Phishing oft persönlicher. Dann geht es nicht nur um „Ihr Konto wurde gesperrt“, sondern um angebliche Rechnungen, Freigaben, Bewerbungsunterlagen, Projektdateien oder Zahlungsanweisungen vom Chef.
Der wichtigste Schutz ist ein zweiter Kanal. Wenn jemand per Mail dringend Geld, Zugangsdaten, Kundendaten oder eine Freigabe will, prüfst du nicht über „Antworten“, sondern über einen bekannten Weg: Telefon, interner Chat, Freigabeprozess, Ticket-System.
Auch hier gilt: Eine gute Sicherheitskultur macht Fehler meldbar. Wer aus Scham schweigt, verschlimmert die Lage. Eine IT-Abteilung kann nur reagieren, wenn sie früh erfährt, was passiert ist.
Eine Teamregel, die viel abfängt
Keine Zahlungsänderung, kein neuer Empfänger und keine ungewöhnliche Freigabe nur auf Basis einer Mail. Immer über einen bekannten zweiten Kanal prüfen. Besonders dann, wenn die Nachricht eilig klingt.
So machst du Phishing weniger wirksam
Phishing wird nie ganz verschwinden. Du kannst aber dafür sorgen, dass ein einzelner Fehler weniger Schaden anrichtet.
- Nutze für wichtige Konten unterschiedliche Passwörter und einen Passwortmanager.
- Aktiviere Zwei-Faktor-Authentisierung, vor allem bei Mail, Banking, Shops, Social Media und Cloud-Diensten.
- Speichere wichtige Websites als Lesezeichen, statt über Mail-Links einzusteigen.
- Halte Betriebssystem, Browser und Apps aktuell.
- Prüfe regelmäßig Konto- und Kartenumsätze.
- Installiere Apps nur aus offiziellen Stores und achte auf Berechtigungen.
Ein Passwortmanager hat noch einen netten Nebeneffekt: Er füllt Login-Daten normalerweise nur auf der passenden echten Domain aus. Wenn er auf einer angeblichen Bankseite plötzlich nichts anbietet, ist das ein starkes Warnsignal.
Unser Fazit: Phishing lebt von Eile
Phishing erkennen heißt nicht, jede Betrugsmasche auswendig zu kennen. Es reicht oft, den Ablauf zu bremsen. Kommt eine Nachricht mit Druck, Link und Datenforderung, steigst du nicht über diesen Link ein. Du öffnest den Dienst selbst und prüfst dort.
Wenn du nichts eingegeben hast, ist meistens noch wenig passiert. Wenn du Passwörter, Bankdaten, TANs oder Dateien ins Spiel gebracht hast, zählt Tempo: Zugang ändern oder sperren, Bank oder Dienst informieren, Beweise sichern, bei Schaden Anzeige erstatten.
Der beste Schutz ist keine perfekte Menschenkenntnis. Es ist eine Gewohnheit: Nicht die Nachricht führt dich zum Login. Du gehst selbst dorthin.
Quellen
- Bundesamt für Sicherheit in der Informationstechnik: Wie erkenne ich Phishing-E-Mails und Webseiten? (abgerufen am 09.06.2026)
- Verbraucherzentrale: Phishing-Mails erkennen (abgerufen am 09.06.2026)
- Polizei-Beratung: Phishing (abgerufen am 09.06.2026)
- Polizei-Beratung: Quishing – wenn ein QR-Code zur Falle wird (abgerufen am 09.06.2026)
- Bundesamt für Sicherheit in der Informationstechnik: Schutz vor digitalem Identitätsdiebstahl (abgerufen am 09.06.2026)
- Bundesamt für Sicherheit in der Informationstechnik: Hilfe bei gefälschten Absenderadressen (abgerufen am 09.06.2026)
FAQs zum Thema Phishing erkennen
Phishing wird professioneller. Deshalb zählen feste Prüfgewohnheiten mehr als das Suchen nach Tippfehlern.
Woran erkenne ich einen Phishing-Link?
Ein Phishing-Link führt oft auf eine leicht veränderte oder fremde Domain. Achte auf zusätzliche Wörter, Zahlen, Bindestriche, Kurzlinks oder Domains, die nicht zum angeblichen Absender passen. Öffne wichtige Konten lieber selbst über App, Lesezeichen oder bekannte Website.
Was mache ich, wenn ich auf einen Phishing-Link geklickt habe?
Wenn du nichts eingegeben und nichts heruntergeladen hast, schließe die Seite und nutze sie nicht weiter. Hast du Daten eingegeben, ändere sofort das betroffene Passwort über die echte Website. Bei Bank- oder Kartendaten informierst du direkt deine Bank.
Was tun, wenn ich mein Passwort eingegeben habe?
Ändere das Passwort sofort über die echte Website oder App. Wenn du dasselbe Passwort bei anderen Diensten nutzt, ändere es dort ebenfalls. Aktiviere Zwei-Faktor-Authentisierung und prüfe Kontoaktivitäten.
Was tun, wenn ich eine TAN eingegeben habe?
Kontaktiere sofort deine Bank über eine bekannte Telefonnummer oder die echte App. Lass den Zugang sperren, prüfe Umsätze und sichere Beweise. Bei Schaden oder Betrugsversuch solltest du Anzeige erstatten.
Kann eine Phishing-Mail ohne Klick gefährlich sein?
In den meisten Fällen wird es erst durch Klick, Dateneingabe, Antwort oder geöffneten Anhang kritisch. Trotzdem solltest du verdächtige Mails nicht weiterleiten, nicht antworten und keine Anhänge öffnen.
Wie prüfe ich eine angebliche Bank-Mail richtig?
Nicht über den Mail-Link einloggen. Öffne die Bank-App oder tippe die bekannte Adresse selbst ein. Wenn dort keine Nachricht steht, ist die Mail verdächtig. Bei Unsicherheit rufst du die Bank über die bekannte Nummer an.
Wo kann ich Phishing melden?
Viele Anbieter haben eigene Meldefunktionen für Phishing. Verdächtige Mails kannst du außerdem an den Phishing-Radar der Verbraucherzentrale weiterleiten. Bei finanziellem Schaden oder Datenmissbrauch ist die Polizei zuständig.