Phishing ist seit Jahren die häufigste Einstiegsmethode für Cyberangriffe: auf Privatpersonen genauso wie auf Unternehmen. Nicht weil Menschen dumm sind. Sondern weil Angreifer sehr gut geworden sind. Und weil wir täglich hunderte E-Mails verarbeiten, oft unterwegs, unter Zeitdruck, auf kleinem Smartphone-Display.
Der Begriff kommt vom englischen «fishing»: Angeln. Angreifer werfen einen Köder aus und warten, wer anbeisst. Das Ziel: Zugangsdaten stehlen, Schadsoftware installieren oder Geld überweisen lassen. Die Methode: Eine täuschend echte E-Mail, die vorgibt, von einer vertrauenswürdigen Stelle zu kommen.
Klassische Absender in Phishing-Mails: Post, SUVA, Steuerbehörde, Netflix, Postfinance, Microsoft, DHL. Alles Marken, bei denen eine unerwartete Nachricht nicht weiter auffällt.
«Ihr Konto wird in 24 Stunden gesperrt.» «Sofortige Zahlung erforderlich.» «Bestätigen Sie Ihre Daten bis heute Mittag.»: Zeitdruck schaltet das kritische Denken aus. Das ist Absicht. Echte Organisationen sperren keine Konten ohne vorherige schriftliche Mahnung.
Die Anzeige im «Von»-Feld kann beliebig gesetzt werden: das ist kein Beweis. Entscheidend ist die eigentliche E-Mail-Adresse dahinter. postfinance-alert@mail-secure.net ist nicht Postfinance. Auf Mobilgeräten diesen technischen Absender explizit einblenden.
«Sehr geehrter Kunde», «Lieber Nutzer», «Hallo»: Institutionen die deine Kundendaten haben, sprechen dich mit deinem Namen an. Ausnahmen gibt es, aber generische Anreden in Kombination mit anderen Signalen sind ein klares Warnsignal.
Fahre mit der Maus über den Link (ohne zu klicken) und lies die tatsächliche Zieladresse unten im Browser. Oder klicke auf dem Mobilgerät lange auf den Link um die URL anzuzeigen. postfinance-login.ch.account-verify.ru ist keine Schweizer Bank. Echte Sites haben kurze, klare URLs.
Geh nie über den Link in einer E-Mail auf deine Bank oder wichtige Konten. Tippe die Adresse direkt in den Browser: oder nutze dein gespeichertes Lesezeichen.
ZIP-Dateien, Word-Dokumente mit «aktiviere Makros», PDFs die ein Passwort verlangen: nichts davon öffnen wenn du die E-Mail nicht erwartet hast. Besonders gefährlich: «Ihre Rechnung» oder «Ihr Paket» als Datei.
Früher war schlechtes Deutsch ein sicheres Zeichen. Heute ist KI-generiertes perfektes Schweizerdeutsch möglich. Sprachfehler sind ein Warnsignal, aber keine Garantie in die andere Richtung.
«Sie haben gewonnen.» «Ein unbekannter Erbfall wartet.» «Rückerstattung von CHF 340.–»: wenn du nichts bestellt, erwartet oder gewonnen hast, ist die Nachricht wahrscheinlich gefälscht.
Ruhig bleiben: Schaden lässt sich oft noch begrenzen.
Wenn du auf einen Link geklickt aber nichts eingegeben hast, ist das Risiko meist gering. Das grosse Risiko entsteht beim Eingeben von Passwörtern oder Zahlungsdaten auf der gefälschten Seite.
Druckfertige Cybersecurity-Checklisten und Notfallpläne: gratis, sofort verwendbar.
Vorlagen herunterladen →