Was ist Phishing? Erkennen, verhindern & E-Mail schützen

Posted on von Sophia Schön
Phishing in einen Code rein geschrieben und ein Achtung Zeichen neben dran

Phishing ist eine Betrugsmethode, bei der Angreifer über gefälschte E-Mails, Webseiten oder Nachrichten versuchen, an vertrauliche Daten wie Passwörter, Kreditkarten- oder Zugangsdaten zu gelangen. Die Nachrichten wirken meist seriös und geben sich als Bank, Online-Shop, Paketdienst oder IT-Dienstleister aus.

Wie Phishing-Angriffe ablaufen

Typisch ist eine E-Mail mit einer dringenden Aufforderung, etwa ein Konto zu bestätigen, eine Rechnung zu öffnen oder ein Passwort zurückzusetzen. Ein Klick auf den Link führt meist auf eine gefälschte Login-Seite, auf der eingegebene Zugangsdaten direkt bei den Angreifern landen. Häufig enthalten solche Mails auch Anhänge, die beim Öffnen Schadsoftware nachladen können.

Typische Anzeichen für Phishing-E-Mails

Wer Phishing erkennt, kann viel Schaden verhindern. Achten Sie insbesondere auf:

  • Dringende oder bedrohliche Sprache („Ihr Konto wird gesperrt…“)

  • Ungewöhnliche oder leicht veränderte Absenderadressen

  • Grammatik- oder Rechtschreibfehler in angeblich offiziellen Nachrichten

  • Links, deren Zieladresse nicht zur angegebenen Organisation passt

  • Unerwartete Anhänge, insbesondere Office-Dokumente oder Skripte

Ein klassisches Beispiel: Eine E-Mail gibt sich als Bank aus, verlinkt aber auf eine Domain mit zusätzlichen oder vertauschten Buchstaben in der Adresse.

Technische E-Mail-Sicherheit: SPF, DKIM und DMARC

Für Unternehmen reicht Aufmerksamkeit allein nicht aus – eine professionelle E-Mail-Sicherheit ist entscheidend.

  • SPF und DKIM sind bei großen E-Mail-Anbietern wie Google und Yahoo seit Februar 2024 Mindestanforderung für den Versand von E-Mails. Ohne diese Konfiguration drohen schlechtere Zustellung, Spam-Markierungen und ein erhöhtes Missbrauchsrisiko der eigenen Domain.

  • DMARC ist ab einem Versandvolumen von 5000 oder mehr E-Mails pro Tag verpflichtend, um Zustellungsprobleme zu vermeiden. Auch für kleinere Versender ist eine DMARC-Richtlinie sinnvoll, um Missbrauch frühzeitig zu erkennen und das Vertrauen empfangender Mailserver zu stärken.

Unternehmen sollten SPF und DKIM für jede versendende Domain aktivieren und eine passende DMARC-Policy setzen, um ihre Marke und ihre Empfänger bestmöglich vor Phishing und Spoofing zu schützen.

So schützen sich Unternehmen und Mitarbeitende vor Phishing

Ein wirksamer Phishing-Schutz kombiniert geschulte Mitarbeitende mit einer sicheren E-Mail-Infrastruktur.

  • Mitarbeitende regelmäßig zu Phishing, Social Engineering und E-Mail-Sicherheit schulen

  • Absender, Links und Anhänge kritisch prüfen, insbesondere bei unerwarteten Nachrichten

  • Starke, einzigartige Passwörter sowie Passwortmanager einsetzen

  • Zwei-Faktor-Authentifizierung für wichtige Konten aktivieren

  • Professionelle E-Mail-Sicherheitskonfiguration (SPF, DKIM, DMARC) nutzen oder einen spezialisierten Dienstleister einbinden

So sinkt das Risiko, dass Phishing-Angriffe erfolgreich sind, und sensible Unternehmens- und Kundendaten bleiben deutlich besser geschützt.