Phishing ist und bleibt anscheinend auch noch eine ganze Weile die häufigste Methode, mit der Cyberkriminelle an sensible Daten gelangen. Laut dem aktuellen BSI-Lagebericht sind über 80 % aller erfolgreichen Cyberangriffe auf einen Phishing-Versuch zurückzuführen. Die Methoden werden dabei immer raffinierter. Von KI-generierten E-Mails bis hin zu täuschend echten Deepfake-Anrufen.

3,4 Mrd.
Phishing-E-Mails täglich weltweit		 80 %
der Cyberangriffe starten mit Phishing		 4.760 €
durchschn. Schaden pro Vorfall (DE)

Was ist Phishing genau?

Der Begriff „Phishing“ leitet sich vom englischen „fishing“ (Angeln) ab. Angreifer werfen einen Köder aus – meist in Form einer gefälschten E-Mail, SMS oder Webseite – und hoffen, dass Opfer ihre Zugangsdaten, Kreditkartennummern oder andere vertrauliche Informationen preisgeben.

Im Gegensatz zu technischen Angriffen wie Brute-Force-Attacken setzt Phishing auf Social Engineering: Es wird die menschliche Psychologie ausgenutzt, nicht eine Sicherheitslücke im System.

Die häufigsten Phishing-Arten

1. E-Mail-Phishing (Klassisch)

Die nach wie vor verbreitetste Variante. Du erhältst eine E-Mail, die scheinbar von deiner Bank, einem Paketdienst oder einem Online-Shop stammt. Die Nachricht enthält einen Link zu einer gefälschten Webseite, auf der du deine Daten eingeben sollen.

2. Spear-Phishing

Anders als beim Massen-Phishing ist Spear-Phishing gezielt auf eine bestimmte Person zugeschnitten. Angreifer recherchieren vorab über soziale Netzwerke und passen die Nachricht individuell an – etwa mit dem Namen des Vorgesetzten oder Bezug auf ein reales Projekt.

3. Smishing (SMS-Phishing)

Phishing per SMS hat in den letzten Jahren stark zugenommen. Typische Beispiele: Gefälschte Paketbenachrichtigungen, angebliche Sicherheitswarnungen der Bank oder Nachrichten zu vermeintlichen Steuerrückerstattungen.

4. Vishing (Voice-Phishing)

Telefonanrufe, bei denen sich der Angreifer als Mitarbeiter einer Bank, Behörde oder des technischen Supports ausgibt. Besonders gefährlich: Durch KI-basierte Stimmsynthese können Angreifer inzwischen vertraute Stimmen imitieren.

5. KI-gestütztes Phishing

Seit 2024 setzen Angreifer verstärkt auf generative KI, um grammatikalisch perfekte, kontextbezogene Phishing-Nachrichten zu erstellen. Diese sind kaum noch von echten E-Mails zu unterscheiden und machen klassische Erkennungsmerkmale wie Rechtschreibfehler zunehmend obsolet.

Achtung: KI-generierte Phishing-E-Mails sind grammatikalisch fehlerfrei und stilistisch überzeugend. Verlassen Sie sich nicht mehr allein auf sprachliche Fehler als Erkennungsmerkmal!

Phishing erkennen: Die wichtigsten Warnsignale

  • Dringlichkeit und Druck: „Ihr Konto wird in 24 Stunden gesperrt!“ – seriöse Unternehmen setzen dich niemals unter extremen Zeitdruck.
  • Unbekannter oder leicht abgewandelter Absender: Prüfe die vollständige E-Mail-Adresse, nicht nur den angezeigten Namen. Achte auf Buchstabendreher (z. B. „arnazon.de“ statt „amazon.de“).
  • Verdächtige Links: Fahre mit der Maus über Links, ohne zu klicken. Die tatsächliche URL wird unten im Browser oder als Tooltip angezeigt.
  • Aufforderung zur Dateneingabe: Keine Bank und kein seriöser Dienstleister fragt per E-Mail nach deinem Passwort, deiner PIN oder TAN.
  • Unerwartete Anhänge: Öffne keine Dateien, die du nicht angefordert hast; besonders keine .exe-, .zip- oder .docm-Dateien.
  • Unpersönliche Anrede: „Sehr geehrter Kunde“ statt deines echten Namens kann ein Hinweis sein, aber KI-Phishing nutzt zunehmend persönliche Anreden.

So schützt du dich effektiv

Grundregel: Klicke niemals auf Links in verdächtigen E-Mails. Rufe Webseiten stattdessen direkt über die Adressleiste des Browsers auf.

  1. Zwei-Faktor-Authentifizierung (2FA) aktivieren: Selbst wenn Angreifer dein Passwort erbeuten, benötigen sie den zweiten Faktor. Nutze bevorzugt Authenticator-Apps statt SMS.
  2. Passwort-Manager verwenden: Ein Passwort-Manager erkennt gefälschte Webseiten automatisch. Er füllt deine Daten nur auf der echten Domain aus.
  3. E-Mail-Filter und Anti-Phishing-Software: Moderne E-Mail-Provider filtern einen Großteil der Phishing-Mails automatisch. Aktiviere diese Funktion und halte deine Software aktuell.
  4. Software-Updates nicht aufschieben: Sicherheitsupdates schließen bekannte Schwachstellen, die Phishing-Angreifer ausnutzen könnten.
  5. Gesundes Misstrauen pflegen: Wenn eine Nachricht zu gut klingt, um wahr zu sein (Gewinn, Erbschaft, Rückerstattung), ist sie es mit hoher Wahrscheinlichkeit nicht.
  6. Phishing melden: Leite verdächtige E-Mails an die Verbraucherzentrale weiter.

Was tun, wenn du auf Phishing hereingefallen bist?

  1. Passwörter sofort ändern – und zwar auf allen Konten, bei denen du dasselbe Passwort verwendest.
  2. Bank kontaktieren – falls Zahlungsdaten betroffen sind, lasse Karten und Konten sperren.
  3. Anzeige erstatten – bei der Polizei oder über die Online-Wache deines Bundeslandes.
  4. Gerät prüfen – führe einen vollständigen Virenscan durch, falls du einen Anhang geöffnet hast.
  5. Betroffene informieren – wenn dein E-Mail-Konto kompromittiert wurde, warne deine Kontakte.


Phishing-Angriffe werden durch den Einsatz künstlicher Intelligenz immer ausgefeilter. Die gute Nachricht: Mit dem richtigen Wissen, technischen Schutzmaßnahmen wie 2FA und Passwort-Managern sowie einer gesunden Portion Skepsis kannst du dich wirksam schützen. Bleib wachsam!