secure-os.org
ENFRESDEITPT
Alle AnleitungenQubes OSTailsWhonixGehärtetes LinuxFestplattenverschlüsselungBedrohungsmodell
phishing

Was ist Phishing? So erkennst und stoppst du es (2026)

secure-os· Aktualisiert 19. Juni 2026· 4 Min. Lesezeit #phishing#security#email#social-engineering#passwords
Ein gemaltes Symbol eines Fisches und eines Angelhakens auf einem runden Schild, eingelassen in Kopfsteinpflaster

Phishing ist die häufigste Art, wie ganz normale Menschen gehackt werden — und es greift nicht deine Software an, sondern dich. Statt Verschlüsselung zu knacken, bringt ein Angreifer dich einfach dazu, ein Passwort herauszugeben oder auf einen schädlichen Link zu klicken. Dieser Leitfaden erklärt, was Phishing ist, die wichtigsten Arten, die Warnsignale und die Abwehrmaßnahmen, die das Risiko tatsächlich verringern.

Die kurze Definition

Phishing ist ein Social-Engineering-Angriff, der eine Person oder Organisation vortäuscht, der du vertraust, um dich dazu zu bringen, sensible Informationen preiszugeben — Passwörter, Kartennummern, Codes — oder Schadsoftware zu installieren. Es kommt meist als gefälschte E-Mail, SMS oder Nachricht daher, die seriös aussieht und dich zu schnellem Handeln drängt. Der Name ist ein Wortspiel mit dem englischen „fishing” (Angeln): Der Angreifer wirft den Köder aus und wartet, bis jemand anbeißt.

Wie ein Phishing-Angriff funktioniert

Das Muster ist fast immer dasselbe:

  1. Der Köder. Eine Nachricht, die deine Bank, einen Arbeitgeber, einen Lieferdienst oder eine beliebte App vortäuscht, oft mit einem dringenden oder beängstigenden Aufhänger („dein Konto wird gesperrt”, „bestätige diese Zahlung”).
  2. Der Haken. Ein Link zu einer nachgebauten Website oder ein Anhang. Die Seite ist eine nahezu perfekte Kopie der echten Login-Seite.
  3. Der Fang. Du gibst deinen Benutzernamen und dein Passwort ein — direkt in die Hände des Angreifers. Oft leitet dich die gefälschte Seite anschließend zur echten Seite weiter, sodass nichts verdächtig wirkt.

Weil es auf Vertrauen und Dringlichkeit setzt, funktioniert Phishing auch bei vorsichtigen Menschen — nicht nur bei den Unachtsamen.

Ein Laptop, der einen Online-Banking-Login-Bildschirm mit Feldern für Benutzername und Passwort zeigt, daneben ein Telefon auf einem Holztisch — Phishing-Seiten ahmen echte Logins wie dieses nach, um deine Zugangsdaten abzufangen.

Die wichtigsten Arten

  • E-Mail-Phishing — Massen-E-Mails, die eine Marke vortäuschen und an riesige Listen versendet werden, in der Hoffnung, dass ein Bruchteil anbeißt.
  • Spear-Phishing — auf eine bestimmte Person zugeschnitten, mit echten Details über dich, um glaubwürdig zu wirken. Weitaus überzeugender.
  • Whaling — Spear-Phishing, das auf Führungskräfte oder hochwertige Ziele abzielt.
  • Smishing — Phishing per SMS (gefälschte Liefer- oder Bank-Nachrichten).
  • Vishing — Phishing per Telefonanruf, oft unter Vortäuschung des Supports oder deiner Bank.
  • Clone-Phishing — eine Kopie einer echten E-Mail, die du erhalten hast, bei der die Links gegen schädliche ausgetauscht wurden.

Die Warnsignale

Das meiste Phishing verrät sich, wenn du innehältst und genau hinsiehst:

  • Dringlichkeit oder Drohungen — „handle jetzt, sonst wird dein Konto gesperrt”. Druck ist der Sinn der Sache.
  • Unstimmige oder nachgebaute Links — fahre vor dem Klicken mit der Maus darüber; der sichtbare Text und die echte URL unterscheiden sich, oder die Domain ist subtil falsch (paypaI mit einem großen i, zusätzliche Wörter vor der echten Domain).
  • Allgemeine Anreden — „Sehr geehrter Kunde” statt deines Namens (bei Spear-Phishing weniger zuverlässig).
  • Aufforderungen zur Eingabe von Zugangsdaten oder Codes — echte Dienste fragen nicht per E-Mail nach deinem Passwort oder 2FA-Code.
  • Unerwartete Anhänge — besonders Dokumente, die dich auffordern, „Inhalt zu aktivieren”.
  • Eine Absenderadresse, die nicht zur Organisation passt, selbst wenn der Anzeigename richtig aussieht.

So schützt du dich

Kein einzelner Trick reicht aus; was funktioniert, sind Schichten:

  • Klicke nicht auf Links in unaufgeforderten Nachrichten. Gehe direkt zur Seite, indem du die Adresse eintippst oder ein Lesezeichen nutzt, und melde dich dort an.
  • Aktiviere die Zwei-Faktor-Authentifizierung (2FA). Wenn dein Passwort abgephisht wird, kann ein zweiter Faktor den Login dennoch blockieren. App-basierte oder Hardware-Schlüssel sind stärker als SMS.
  • Nutze einen Passwort-Manager. Über starke, einzigartige Passwörter hinaus fügt er eine stille Anti-Phishing-Schicht hinzu — siehe unten.
  • Verifiziere über einen anderen Kanal. Wenn dir deine „Bank” schreibt, rufe die Nummer auf deiner Karte an, nicht eine aus der Nachricht.
  • Halte Software aktuell, damit schädliche Anhänge weniger Schwachstellen ausnutzen können, und melde Phishing deinem Anbieter.

Ein Passwort-Manager ist stilles Anti-Phishing

Das ist die unterschätzte Abwehr. Ein Passwort-Manager verknüpft jeden gespeicherten Login mit der echten Domain, zu der er gehört. Auf einer nachgebauten Phishing-Seite bietet der Manager schlicht nicht an, deine Zugangsdaten automatisch auszufüllen — weil die Domain nicht übereinstimmt. Diese stille Verweigerung ist oft das erste klare Signal, dass eine „Login-Seite” gefälscht ist, und sie hindert dich daran, dein Passwort an der falschen Stelle einzugeben.

Das ehrliche Fazit

Phishing zielt auf das menschliche Vertrauen ab, nicht auf Softwarefehler — deshalb tappen selbst Experten gelegentlich in eine gut gemachte Spear-Phishing-Nachricht. Du kannst dich nicht darauf verlassen, nie einen Fehler zu machen — du verlässt dich auf mehrschichtige Verteidigung: bei dringenden Nachrichten innehalten, Seiten direkt aufrufen und 2FA sowie einen Passwort-Manager zwischen einen einzelnen Ausrutscher und ein gestohlenes Konto setzen. Diese Schichten machen aus einem erfolgreichen Phishing einen knappen Fehlschlag.