"Die werden ja immer besser." Das hören wir bei Schulungen oft. Stimmt zum Teil – KI hat dafür gesorgt, dass Phishing-Mails heute kaum noch Rechtschreibfehler haben. Aber 90% dessen, was wir täglich in Postfächern sehen, hat immer noch dieselben verräterischen Spuren. Hier sind die fünf, die in fast jeder Phishing-Mail stecken.

1. Die Absenderadresse passt nicht zum Anzeigenamen

Das ist die wichtigste Prüfung. Der Anzeigename ist beliebig fälschbar, die echte Adresse nicht. Schauen Sie immer auf das, was nach dem < kommt:

Von: DHL Paketservice &lt;noreply@dhl-package-tracking.shop&gt;

DHL versendet von dhl.com oder dhl.de. Niemals von .shop-Domains, niemals von langen kryptischen Hostnamen.

Auf dem Smartphone müssen Sie meist auf den Absender tippen, um die echte Adresse zu sehen. Tun Sie das. Immer.

2. Die Anrede ist generisch

Echte Geschäftspartner kennen Ihren Namen. Phishing-Mails dagegen:

  • "Sehr geehrter Kunde"
  • "Sehr geehrte Damen und Herren"
  • "Lieber Nutzer"
  • "Hallo!"

Banken, Energieversorger, Online-Shops – die haben alle Ihren Namen in der Datenbank und nutzen ihn. Wenn die Anrede generisch ist, ist es entweder Werbung oder Phishing.

3. Die Mail erzeugt Druck

Phishing lebt davon, dass Sie nicht nachdenken. Deshalb steht in fast jeder Mail einer dieser Sätze:

  • "Sofort handeln, sonst wird Ihr Konto gesperrt"
  • "Innerhalb von 24 Stunden bestätigen"
  • "Letzte Mahnung – heute überweisen"
  • "Verdächtige Aktivität auf Ihrem Konto"

Banken, Behörden, seriöse Unternehmen drohen nicht in dieser Form. Wenn etwas wirklich dringend ist, gibt es einen Brief, einen Anruf, oder zumindest eine Frist von mehreren Tagen.

4. Der Link verspricht etwas anderes als er tut

Bei jedem Link in einer Mail: erst hovern, nicht klicken. Auf dem Desktop sehen Sie unten in der Statusleiste, wohin er wirklich führt. Auf dem Smartphone: lange auf den Link drücken, dann erscheint die Vorschau.

Klassische Tricks:

  • Sichtbarer Text: https://www.sparkasse.de – dahinterliegender Link: http://sparkasse.tk-secure-login.com
  • IDN-Homographs: paypaI.com mit großem I statt kleinem l
  • Subdomain-Tricks: sparkasse.de.malicious-site.ru

Faustregel: Loggen Sie sich nie über einen Link aus einer Mail ein. Tippen Sie die Adresse von Hand in den Browser oder nutzen Sie ein Lesezeichen.

5. Anhänge, die nicht passen

Eine Rechnung als ZIP-Datei? Eine Versandbestätigung als PDF mit eingebettetem Makro? Ein "wichtiges Dokument" als HTML-Anhang?

Das öffnet niemand seriöses.

Übliche Formate:

  • Rechnungen kommen als PDF, nicht als ZIP, EXE oder ISO
  • Behörden schicken keine Office-Dokumente mit Makros
  • Versandbestätigungen sind HTML-Mails ohne Anhang

Ein Anhang, der sich öffnen "muss" oder ein Passwort braucht, ist mit hoher Wahrscheinlichkeit Schadsoftware.

Bonus: Die Mail kommt zu unpassender Zeit

Eine Lieferung von DHL, obwohl Sie nichts bestellt haben? Eine Mahnung von einem Anbieter, bei dem Sie kein Konto haben? Eine "Steuerrückzahlung", obwohl Sie keine Steuererklärung gemacht haben?

Klingt banal, aber im Stress wird das oft übersehen. Wenn die Mail zu nichts passt, was Sie aktuell tun, ist sie verdächtig.

Was tun, wenn Sie unsicher sind?

Fragen Sie. Bei Kollegen, beim Vorgesetzten, bei der IT, bei uns. Eine kurze Rückmeldung kostet nichts und entlarvt Phishing in Sekunden.

Und: Seien Sie nicht peinlich berührt, wenn Sie auf eine gefallen sind. Es passiert den besten Leuten – meist nicht aus Dummheit, sondern weil sie gerade abgelenkt waren. Wichtig ist, schnell die richtigen Schritte zu gehen:

1. Passwort sofort ändern, falls eingegeben 2. MFA aktivieren, falls noch nicht aktiv 3. IT/uns informieren, damit nach Spuren gesucht wird 4. Bank/Anbieter anrufen, falls finanzielle Daten betroffen sind

Schulung als Prävention

Die meisten unserer Schulungs-Kunden buchen einen halben Tag Awareness-Training mit Phishing-Simulation. Wir verschicken über mehrere Wochen ein paar harmlose Test-Phishing-Mails und werten aus, wer reagiert hat. Das Ergebnis ist meist erschreckend – aber nach der Schulung sehen wir Verbesserungen von 60–80%.

Wenn Sie sowas auch mal in Ihrem Unternehmen ausprobieren wollen: einfach melden.