Was sind die wichtigsten Arten von Phishing?

Mehrere. E-Mail-Phishing ist die klassische Massenvariante. Spear-Phishing zielt mit personalisierten Details auf eine bestimmte Person ab, was es weitaus überzeugender macht. Whaling zielt auf Führungskräfte. Smishing ist Phishing per SMS/Textnachricht, und Vishing per Sprachanruf (oft ein gefälschter „Support“- oder „Bank“-Mitarbeiter). Clone-Phishing kopiert eine echte Nachricht, die Sie schon einmal gesehen haben, tauscht aber einen schädlichen Link ein. Sie teilen ein Ziel: Sie zum Handeln zu bringen — klicken, einloggen, zahlen oder teilen — bevor Sie innehalten, um zu prüfen.

Wie erkenne ich einen Phishing-Versuch?

Achten Sie auf: ein Gefühl von Dringlichkeit oder Drohung („Ihr Konto wird geschlossen“), eine Absenderadresse, die subtil falsch ist, Links, deren echtes Ziel (zum Prüfen mit der Maus darüberfahren) nicht zur angeblichen Seite passt, Aufforderungen zu Passwörtern oder Codes, nach denen seriöse Dienste nie fragen, allgemeine Anreden und unerwartete Anhänge. Auf dem Handy sind Links schwerer zu prüfen — seien Sie besonders vorsichtig. Im Zweifel nicht klicken; gehen Sie direkt zur Seite, indem Sie die Adresse selbst eintippen, und kontaktieren Sie die Organisation über eine Nummer oder App, der Sie bereits vertrauen.

Wie schütze ich mich vor Phishing?

Staffeln Sie die Abwehr. Klicken Sie nie auf Links in unerwarteten Nachrichten — navigieren Sie direkt zu den Seiten. Aktivieren Sie die Zwei-Faktor-Authentifizierung, damit ein gestohlenes Passwort allein nicht ausreicht; phishing-resistente Faktoren wie Passkeys oder Hardware-Schlüssel sind am besten, weil sie sich auf einer gefälschten Domain nicht authentifizieren. Verwenden Sie einen Passwort-Manager: Er füllt nur auf der echten Domain automatisch aus, sodass die Weigerung auszufüllen ein Warnsignal ist, dass die Seite gefälscht ist. Halten Sie Software aktuell und prüfen Sie jede „dringende“ Anfrage über einen separaten, vertrauenswürdigen Kanal.

Warum helfen Passkeys und Passwort-Manager gegen Phishing?

Weil sie an die Domain der echten Website gebunden sind. Ein Passwort-Manager füllt Zugangsdaten nur auf der exakten, seriösen Domain automatisch aus, für die er sie gespeichert hat — auf einer nachgeahmten Phishing-Seite füllt er also schlicht nicht aus, was Sie warnt. Passkeys (und Hardware-Sicherheitsschlüssel mit FIDO2/WebAuthn) gehen weiter: Das kryptografische Login ist an den Origin der echten Seite gebunden, sodass der Passkey sich selbst dann nicht authentifiziert, wenn Sie dazu verleitet werden, eine gefälschte Seite zu besuchen. Diese Origin-Bindung macht sie wirklich phishing-resistent, anders als ein Passwort, zu dessen Eingabe man Sie überall verleiten kann.

Was ist Phishing? So erkennen und stoppen Sie es (2026)

Q: Was ist Phishing?

Phishing ist eine Form des Social-Engineering-Angriffs, bei dem ein Betrüger sich als vertrauenswürdige Person oder Organisation ausgibt — Ihre Bank, einen Arbeitgeber, einen beliebten Dienst —, um Sie dazu zu bringen, sensible Informationen oder Zugangsdaten preiszugeben oder Schadsoftware zu installieren. Es kommt meist als Nachricht (E-Mail, SMS oder Chat) an, die Dringlichkeit erzeugt und Sie drängt, einen Link zu einer gefälschten Login-Seite anzuklicken oder mit persönlichen Daten zu antworten. Der Name spielt auf „fishing“ (Angeln) an: Der Angreifer ködert viele Ziele und wartet, bis jemand anbeißt.

Sie erhalten eine SMS: „Ihr Paket wird zurückgehalten — bestätigen Sie hier Ihre Daten.“ Oder eine E-Mail, die genau wie die Ihrer Bank aussieht und warnt, Ihr Konto werde gesperrt. Das ist Phishing — und es ist 2026 die häufigste Methode, mit der gewöhnliche Menschen um ihre Konten und ihr Geld gebracht werden. Es bricht keine Verschlüsselung und errät keine Passwörter; es bringt Sie dazu, sie selbst herauszugeben. Dieser Leitfaden erklärt, was Phishing ist, welche Arten Sie erkennen sollten, wie Sie es entlarven und welche Abwehrmaßnahmen tatsächlich funktionieren.

Was Phishing ist

Phishing ist ein Social-Engineering-Angriff: Ein Betrüger gibt sich als jemand aus, dem Sie vertrauen, um Sie dazu zu bringen, Zugangsdaten oder Daten preiszugeben oder Schadsoftware zu installieren. Es kommt meist als Nachricht an, die Dringlichkeit erzeugt („jetzt handeln oder den Zugang verlieren“) und Sie zu einer gefälschten Login-Seite oder einer Antwort mit persönlichen Daten drängt.

Der Angriff zielt auf das menschliche Urteilsvermögen, nicht auf die Technik. Deshalb funktioniert er selbst gegen starke Passwörter — Sie werden überredet, sie selbst auf der Seite des Angreifers einzutippen.

Die wichtigsten Arten

E-Mail-Phishing — die klassische Massenkampagne.
Spear-Phishing — auf ein bestimmtes Ziel personalisiert, weitaus überzeugender.
Whaling — auf Führungskräfte gerichtet.
Smishing — per SMS/Textnachricht; Vishing — per Sprachanruf (gefälschter „Support“ oder „Bank“).
Clone-Phishing — kopiert eine echte Nachricht, tauscht aber einen schädlichen Link ein.

Alle teilen ein Ziel: Sie zum Handeln zu bringen, bevor Sie prüfen.

So erkennen Sie es

Dringlichkeit oder Drohungen — „Ihr Konto wird geschlossen.“
Eine Absenderadresse, die subtil falsch ist — schauen Sie sich die Domain genau an.
Nicht passende Links — mit der Maus darüberfahren, um das echte Ziel zu sehen; es passt nicht zur angeblichen Seite.
Aufforderungen zu Passwörtern oder Codes — seriöse Dienste fragen nie danach.
Allgemeine Anreden und unerwartete Anhänge.

Auf dem Handy sind Links schwerer zu prüfen — seien Sie besonders vorsichtig. Im Zweifel nicht klicken: Tippen Sie die Adresse selbst ein oder nutzen Sie die offizielle App.

Eine Phishing-Nachricht, seziert

Stellen Sie sich eine SMS vor: „NETFLIX: Ihre Zahlung ist fehlgeschlagen. Aktualisieren Sie Ihre Karte innerhalb von 24 Std., sonst wird Ihr Konto gesperrt: netflix-billing-secure.com/verify“. Vier Warnsignale stapeln sich in einer einzigen Zeile:

Erzeugte Dringlichkeit — „innerhalb von 24 Std.… gesperrt“ drängt Sie zum Handeln, bevor Sie nachdenken.
Eine nachgeahmte Domain — netflix-billing-secure.com ist nicht netflix.com; die echte Marke ist nur ein Präfix. Angreifer lieben Subdomains und Bindestriche (paypal.account-verify.io), weil das vertraute Wort weiterhin erscheint.
Ein unerwarteter Kanal — ein echtes Abrechnungsproblem taucht in der App auf, nicht in einer zufälligen SMS mit Link.
Eine Aufforderung, die Zahlung über den Link zu „aktualisieren“ — seriöse Dienste sagen Ihnen, dass Sie sich normal einloggen sollen, niemals über eine per SMS verschickte URL.

Trainieren Sie sich darin, die Domain von rechts nach links zu lesen: Die echte Seite ist der Teil unmittelbar vor dem ersten einzelnen Schrägstrich (hier netflix-billing-secure.com), nicht der Markenname, der weiter vorne in der URL auftaucht.

So stoppen Sie es

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Ein Passwort-Manager füllt auf einer gefälschten Seite nicht automatisch aus → NordPassFüllt nur auf der echten Domain automatisch aus · Zero-Knowledge-Tresor · Integrierter Datenleck-Scanner→

Klicken Sie nie auf Links in unerwarteten Nachrichten. Navigieren Sie direkt zu den Seiten.
Aktivieren Sie die Zwei-Faktor-Authentifizierung, damit ein gestohlenes Passwort allein nicht ausreicht — und bevorzugen Sie phishing-resistente Faktoren.
Verwenden Sie einen Passwort-Manager. Er füllt nur auf der echten Domain automatisch aus; weigert er sich auszufüllen, ist die Seite wahrscheinlich gefälscht — eine eingebaute Warnung. (Sehen Sie, warum Passwort-Manager sicher sind.)
Prüfen Sie „dringende“ Anfragen über einen separaten, vertrauenswürdigen Kanal.

Was tun, wenn Sie bereits geklickt haben

Auf einen Phish hereinzufallen ist nicht das Ende — Schnelligkeit begrenzt den Schaden. Wenn Sie Zugangsdaten auf einer gefälschten Seite eingegeben haben:

Ändern Sie dieses Passwort sofort, auf der echten Seite und überall, wo Sie es wiederverwendet haben. Wiederverwendung ist das, was aus einem Phish viele kompromittierte Konten macht.
Prüfen Sie die 2FA des betroffenen Kontos: Stellen Sie sicher, dass kein unbekannter zweiter Faktor oder keine unbekannte Wiederherstellungs-E-Mail hinzugefügt wurde, und melden Sie alle aktiven Sitzungen ab.
Achten Sie auf den Folgeangriff. Angreifer verketten einen Phish oft mit einem gefälschten „Support“-Anruf (Vishing), um Ihren 2FA-Code zu erbeuten — lesen Sie niemandem jemals einen Code laut vor.
War es ein Arbeitskonto, informieren Sie sofort die IT. Frühes Melden begrenzt eine Sicherheitsverletzung weit mehr als das Verbergen des Fehlers.
Haben Sie Kartendaten eingegeben, kontaktieren Sie Ihre Bank, um die Karte zu sperren oder neu auszustellen, und beobachten Sie die Kontoauszüge.

Je schneller Sie das Passwort rotieren und Sitzungen widerrufen, desto kleiner das Zeitfenster, das ein Angreifer hat — sehen Sie was zu tun ist, wenn ein Konto gehackt wurde für die vollständige Checkliste.

Warum Passkeys und Manager phishing-resistent sind

Beide binden an die echte Domain. Ein Passwort-Manager füllt nur auf der exakten seriösen Seite automatisch aus, sodass eine nachgeahmte Seite nichts bekommt. Passkeys und Hardware-Schlüssel (FIDO2/WebAuthn) gehen weiter: Das Login ist kryptografisch an den Origin der echten Seite gebunden, sodass es sich selbst dann nicht authentifiziert, wenn Sie auf einer gefälschten Seite landen. Diese Origin-Bindung ist die eigentliche Verteidigung — sehen Sie unseren Leitfaden zur besten Authenticator-App, und wenn Sie glauben, bereits erwischt worden zu sein, was zu tun ist, wenn ein Konto gehackt wurde.

Das Fazit

Phishing bringt Sie über gefälschte Nachrichten und Login-Seiten dazu, Zugangsdaten herauszugeben — es schlägt starke Passwörter, weil es auf Sie zielt, nicht auf Ihre Verschlüsselung. Erkennen Sie es an seiner Dringlichkeit, dem falschen Absender und den nicht passenden Links; stoppen Sie es, indem Sie nie auf unerwartete Links klicken, phishing-resistente 2FA aktivieren und einen Passwort-Manager das Ausfüllen auf Fälschungen verweigern lassen. Die Gewohnheit, vor dem Handeln zu prüfen, ist die gesamte Verteidigung.

Redaktioneller Leitfaden basierend auf dokumentierten Phishing-Techniken (E-Mail/Spear/Smishing/Vishing) und Standardverteidigungen (2FA, Passkeys, Domain-Bindung des Passwort-Managers). Kommerzielle Links tragen das Attribut rel="sponsored nofollow"; eine Affiliate-Provision kann anfallen, ohne dass Ihnen zusätzliche Kosten entstehen.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Sichere deine Konten ab → NordPassStarke, einzigartige Passwörter · Leck-Scanner · Gratis-Tarif→