Phishing-Mails erkennen und sich schützen: Der vollständige Leitfaden

Was sind Phishing-Mails?

Phishing-Mails sind betrügerische E-Mails, die darauf abzielen, persönliche Daten wie Passwörter, Kreditkartennummern oder Bankdaten zu stehlen. Die Absender geben sich dabei als vertrauenswürdige Institutionen aus – etwa als Ihre Bank, als Paketdienst oder als Online-Händler. Die Nachrichten sind oft täuschend echt gestaltet und verwenden Logos, Farben und Formulierungen, die den Originalen verblüffend ähneln.

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Phishing nach wie vor eine der häufigsten Cyberbedrohungen in Deutschland. Allein 2025 wurden über 37 Millionen Phishing-Versuche registriert. Der durchschnittliche finanzielle Schaden pro betroffenem Haushalt lag bei rund 4.300 Euro – ein Betrag, der die Existenz vieler Familien bedrohen kann.

So erkennen Sie Phishing-Mails: Die wichtigsten Merkmale

Achten Sie auf folgende Warnsignale: Die Absenderadresse weicht vom offiziellen Domain-Namen ab – zum Beispiel steht statt @sparkasse.de etwas wie @sparkasse-sicherheit.info. Die Anrede ist unpersönlich (»Sehr geehrter Kunde«) statt Ihren Namen zu nennen. Die E-Mail enthält Rechtschreib- oder Grammatikfehler, auch wenn moderne Phishing-Mails durch KI-gestützte Texterstellung immer fehlerfreier werden.

Besonders gefährlich sind Phishing-Mails, die zeitlichen Druck aufbauen: »Ihr Konto wird in 24 Stunden gesperrt« oder »Letzte Mahnung – handeln Sie sofort«. Seriöse Unternehmen setzen niemals derart aggressive Fristen per E-Mail. Prüfen Sie außerdem Links, ohne sie anzuklicken: Fahren Sie mit der Maus über den Link und kontrollieren Sie die angezeigte URL in der Statusleiste Ihres Browsers.

Verdächtige Anhänge sind ein weiteres Erkennungsmerkmal. Banken und Behörden versenden keine unaufgeforderten ZIP-Dateien oder ausführbare Programme per E-Mail. Öffnen Sie niemals Anhänge, deren Herkunft Sie nicht zweifelsfrei verifiziert haben.

Aktuelle Phishing-Maschen in Deutschland

Derzeit kursieren besonders häufig gefälschte E-Mails im Namen der Sparkassen, Volksbanken und der Deutschen Post. Die Betrüger nutzen dabei aktuelle Anlässe wie die PSD2-Zahlungsrichtlinie, angebliche Kontoverifizierungen oder vermeintliche Paketzustellungen. Auch gefälschte Benachrichtigungen von Finanzämtern zur Steuerrückerstattung treten vermehrt auf.

Eine neue Variante ist das sogenannte Spear-Phishing, bei dem Kriminelle gezielt einzelne Personen angreifen. Sie nutzen öffentlich verfügbare Informationen aus sozialen Netzwerken, um die E-Mails besonders glaubwürdig zu gestalten. So kann eine Phishing-Mail beispielsweise den Namen Ihres tatsächlichen Bankberaters enthalten oder auf eine kürzlich getätigte Bestellung Bezug nehmen.

Sofortmaßnahmen: Was tun, wenn Sie auf eine Phishing-Mail hereingefallen sind?

Wenn Sie Ihre Daten auf einer Phishing-Seite eingegeben haben, handeln Sie sofort: Ändern Sie umgehend alle betroffenen Passwörter, beginnend mit dem E-Mail-Konto und dem Online-Banking. Kontaktieren Sie Ihre Bank über die offizielle Telefonnummer und lassen Sie betroffene Konten und Karten sperren. Die zentrale Sperrnummer für Karten in Deutschland lautet 116 116.

Erstatten Sie Anzeige bei der Polizei – dies ist auch online über die Internetwachen der Landespolizeibehörden möglich. Dokumentieren Sie die Phishing-Mail mit Screenshots, bevor Sie sie löschen. Informieren Sie außerdem die betroffene Institution, deren Name missbraucht wurde, damit diese andere Kunden warnen kann.

Technische Schutzmaßnahmen gegen Phishing

Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) für alle wichtigen Online-Konten. Selbst wenn Betrüger Ihr Passwort erbeuten, können sie ohne den zweiten Faktor nicht auf Ihr Konto zugreifen. Nutzen Sie einen modernen Browser mit integriertem Phishing-Schutz und halten Sie Ihre Software stets aktuell, da Updates häufig Sicherheitslücken schließen.

Ein Passwort-Manager hilft nicht nur bei der Verwaltung komplexer Passwörter, sondern bietet auch einen versteckten Phishing-Schutz: Er füllt Zugangsdaten nur auf der richtigen Website automatisch ein. Auf einer gefälschten Seite bleibt die Autovervollständigung leer – ein deutliches Warnsignal.

Phishing melden: So helfen Sie anderen Verbrauchern

Leiten Sie verdächtige E-Mails an die Verbraucherzentrale weiter (phishing@verbraucherzentrale.nrw). Das BSI nimmt Meldungen unter cert@bsi.bund.de entgegen. Durch Ihre Meldung tragen Sie dazu bei, dass Phishing-Seiten schneller gesperrt und andere Verbraucher rechtzeitig gewarnt werden können.