Phishing ist ein Cyberangriff, bei dem Kriminelle sich per E-Mail, SMS oder gefälschten Websites als vertrauenswürdige Einrichtungen – wie Banken, Technologieunternehmen oder Kollegen – ausgeben, um Sie zur Preisgabe sensibler Informationen wie Passwörter, Kreditkartennummern oder persönlicher Daten zu verleiten. Es ist nach wie vor eine der häufigsten und wirksamsten Formen der Cyberkriminalität.

Wie erkenne ich eine Phishing-E-Mail?

Achten Sie auf dringende oder bedrohliche Sprache, verdächtige Absenderadressen, die legitime Unternehmen imitieren, allgemeine Anreden wie „Sehr geehrter Kunde", unerwartete Anhänge und Links, die nicht mit der offiziellen Website-URL übereinstimmen. Fahren Sie mit der Maus über Links, bevor Sie klicken, um die tatsächliche Zieladresse in der Vorschau zu sehen.

Schützt mich ein VPN vor Phishing-Angriffen?

Ein VPN verschlüsselt Ihren Internetverkehr und verbirgt Ihre IP-Adresse, kann Phishing-Angriffe jedoch nicht direkt verhindern. Phishing zielt auf menschliches Verhalten ab und nicht auf Netzwerkschwachstellen. Ein VPN ist dennoch wertvoll für die allgemeine Sicherheit, sollte jedoch mit Anti-Phishing-Tools und sorgfältigen Surfgewohnheiten kombiniert werden.

Was soll ich tun, wenn ich versehentlich auf einen Phishing-Link geklickt habe?

Trennen Sie sofort die Internetverbindung, führen Sie einen Malware-Scan auf Ihrem Gerät durch, ändern Sie die Passwörter für möglicherweise kompromittierte Konten, aktivieren Sie die Zwei-Faktor-Authentifizierung und benachrichtigen Sie Ihre Bank, falls Finanzdaten eingegeben wurden. Melden Sie den Phishing-Versuch Ihrem E-Mail-Anbieter und den zuständigen Behörden wie der FTC oder Action Fraud.

Phishing

Phishing: Was es ist und warum Sie es kennen müssen

Täglich werden Milliarden gefälschter E-Mails, Textnachrichten und Websites mit einem einzigen Ziel verschickt: Sie dazu zu bringen, Ihre persönlichen Daten preiszugeben. Diese Methode nennt sich Phishing und zählt nach wie vor zu den effektivsten und verbreitetsten Cyberangriffen überhaupt – nicht weil sie technisch besonders ausgeklügelt ist, sondern weil sie menschliche Psychologie statt Computersysteme ins Visier nimmt.

Was ist Phishing?

Phishing ist eine Form des Social Engineerings, bei der ein Angreifer vorgibt, jemand zu sein, dem Sie vertrauen – Ihre Bank, ein Streamingdienst, Ihr Arbeitgeber oder sogar eine Behörde –, um Sie zu einer Handlung zu verleiten, die Sie andernfalls nicht vornehmen würden. Diese Handlung kann das Klicken auf einen schädlichen Link, das Herunterladen eines infizierten Anhangs oder die Eingabe Ihres Passworts auf einer gefälschten Anmeldeseite sein.

Der Name ist eine bewusste Anspielung auf das englische Wort „fishing" (Angeln). Angreifer werfen einen Köder aus und warten, wer anbeißt.

Wie funktioniert Phishing?

Die meisten Phishing-Angriffe folgen einem vorhersehbaren Muster:

Der Köder: Sie erhalten eine Nachricht, die legitim wirkt. Sie könnte eine Netflix-Zahlungsbenachrichtigung, eine PayPal-Sicherheitswarnung oder eine dringende E-Mail der IT-Abteilung Ihres Unternehmens imitieren.
Der Haken: Die Nachricht erzeugt ein Gefühl der Dringlichkeit – Ihr Konto wird gleich gesperrt, es liegt eine verdächtige Aktivität vor oder Sie müssen Ihre Identität sofort bestätigen.
Die Falle: Sie werden auf eine gefälschte Website weitergeleitet, die der echten zum Verwechseln ähnlich sieht. Sobald Sie Ihre Anmeldedaten eingeben, landen diese direkt beim Angreifer.

Darüber hinaus gibt es gezieltere Varianten. Spear-Phishing bezeichnet personalisierte Angriffe auf bestimmte Personen, häufig unter Verwendung von Informationen aus sozialen Medien. Whaling zielt auf hochrangige Führungskräfte ab. Smishing erfolgt über SMS, während Vishing per Telefonanruf stattfindet.

Moderne Phishing-Seiten nutzen oft HTTPS und zeigen ein Schlosssymbol an, was viele Menschen fälschlicherweise als Zeichen für eine sichere Seite werten. Es bedeutet lediglich, dass die Verbindung verschlüsselt ist – nicht, dass die Seite selbst vertrauenswürdig ist.

Warum das für VPN-Nutzer relevant ist

Ein weit verbreiteter Irrglaube ist, dass ein VPN vor Phishing schützt. Das stimmt nicht – zumindest nicht direkt. Ein VPN verschlüsselt Ihren Internetdatenverkehr und verbirgt Ihre IP-Adresse, kann Sie jedoch nicht daran hindern, Ihre Anmeldedaten freiwillig auf einer gefälschten Website einzugeben.

Dennoch sind VPN-Nutzer nicht völlig schutzlos:

Einige VPNs verfügen über Bedrohungsschutzfunktionen, die bekannte Phishing-Domains blockieren, bevor Ihr Browser sie überhaupt lädt.
Ein VPN kann DNS-Hijacking verhindern, eine Methode, mit der Angreifer Sie still und heimlich auf gefälschte Websites umleiten – selbst wenn Sie die richtige Adresse eingeben.
Die Nutzung eines VPNs in öffentlichen WLAN-Netzwerken schützt vor Man-in-the-Middle-Angriffen, die gelegentlich in Kombination mit Phishing eingesetzt werden, um Anmeldedaten abzufangen.

Sich jedoch ausschließlich auf ein VPN als Schutz vor Phishing zu verlassen, vermittelt ein falsches Sicherheitsgefühl. Gute digitale Gewohnheiten bleiben unerlässlich.

Beispiele aus der Praxis

Sie erhalten eine E-Mail von „Apple Support", die besagt, Ihr Konto sei gesperrt worden. Der Link führt Sie zu apple-support-login.com – einer täuschend echten Fälschung, die Ihre Apple-ID stiehlt.
Eine SMS behauptet, Ihre Bank habe einen Betrugsfall festgestellt, und fordert Sie auf, eine bestimmte Nummer anzurufen. Am anderen Ende der Leitung sitzt ein Betrüger, der sich als Betrugsermittler ausgibt.
Eine interne E-Mail, die scheinbar von der Personalabteilung stammt, fordert Mitarbeiter auf, sich in einem neuen Mitarbeiterportal anzumelden – tatsächlich handelt es sich um eine Seite zum Abgreifen von Anmeldedaten.

So schützen Sie sich

Prüfen Sie stets die tatsächliche E-Mail-Adresse des Absenders, nicht nur den angezeigten Namen
Fahren Sie mit der Maus über Links, bevor Sie klicken, um die tatsächliche Ziel-URL zu sehen
Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle wichtigen Konten – selbst gestohlene Passwörter werden ohne den zweiten Faktor nutzlos
Verwenden Sie einen Passwort-Manager, der Anmeldedaten auf gefälschten Seiten nicht automatisch ausfüllt
Rufen Sie im Zweifelsfall die offizielle Website direkt auf, anstatt auf einen Link zu klicken

Phishing funktioniert, weil es einfach und skalierbar ist. Zu verstehen, wie es funktioniert, ist Ihre erste Verteidigungslinie.

PhishingEinsteiger