Phishing-Mails erkennen – 7 Merkmale mit Beispielen

Wie Sie Phishing-Mails zuverlässig entlarven: typische Tricks, konkrete Beispiele, was im Ernstfall zu tun ist.

Phishing erkennen: E-Mail mit Angelhaken und Schutzschild

Phishing ist die erfolgreichste Angriffsmethode überhaupt. Nicht weil sie technisch raffiniert ist – sie ist es meistens nicht –, sondern weil sie Menschen im richtigen Moment trifft. Im Stress, kurz vor dem Meeting, direkt nach dem Kaffee. Dieser Artikel zeigt sieben Merkmale, an denen Sie Phishing-Mails zuverlässig entlarven, jeweils mit einem echten Beispiel aus meinem Posteingang.

Vorweg: KI-generierte Phishing-Mails sind 2026 grammatikalisch oft besser als menschliche Handarbeit. „Schlechtes Deutsch“ allein reicht als Erkennungsmerkmal nicht mehr. Schauen wir uns an, was heute trägt.

Merkmal 1: Druck und Dringlichkeit

Phishing-Mails haben fast immer eine künstliche Deadline. „Handeln Sie sofort“, „Ihr Konto wird in 24 Stunden gesperrt“, „Letzte Mahnung vor rechtlichen Schritten“. Warum? Menschen, die Zeitdruck spüren, prüfen weniger.

Beispiel:

> Betreff: „Dringend: Letzte Warnung vor Konto-Sperrung“ > „Sehr geehrter Kunde, wir haben verdächtige Aktivitäten auf > Ihrem Konto festgestellt. Bitte bestätigen Sie Ihre Identität > innerhalb von 12 Stunden, ansonsten wird Ihr Zugang dauerhaft > gesperrt.“

Kein seriöses Unternehmen gibt Ihnen 12 Stunden. Banken, Shops und Plattformen sperren Konten im Zweifelsfall vorläufig und nehmen mit Ihnen per Brief oder über den eingeloggten Account- Bereich Kontakt auf.

Merkmal 2: Der Absender stimmt nicht ganz

Schauen Sie sich die E-Mail-Adresse genau an. Der angezeigte Name kann „PayPal Service“ sagen – die eigentliche Adresse dahinter ist oft `service@paypall-security.com`, `info@paypal-de-login.net` oder `support@g48fak2.tld`.

Auf Handys ist das schwerer zu prüfen, weil nur der angezeigte Name sichtbar ist. Tippen oder halten Sie auf den Absender, um die vollständige Adresse zu sehen.

Zweite Falle: die Antwort-Adresse. Auch wenn der Absender plausibel aussieht, steht im „Reply-To“-Feld oft etwas ganz anderes. In Outlook sehen Sie das nur, wenn Sie auf „Antworten“ klicken und sich das Empfänger-Feld anschauen – noch bevor Sie etwas schreiben.

Merkmal 3: Der Link zeigt woanders hin als er behauptet

Fahren Sie mit der Maus (nicht klicken!) über einen Link. Unten links im Browser-Fenster oder in Outlook erscheint die tatsächliche Ziel-URL. Ein Klassiker:

> Angezeigter Text: `https://www.deutschebank.de/login` > Tatsächliches Ziel: `https://deutsche-bank.login-secure.com/verify?id=…`

Die zweite Domain gehört jemand ganz anderem.

Auch subtile Varianten mit Buchstaben-Verwechslungen kommen häufig vor: `deutsche-bahn.de` vs. `deutsche-bhan.de`, oder mit kyrillischen Buchstaben, die wie lateinische aussehen.

Auf dem Handy: lange auf den Link drücken, dann zeigt iOS/Android die URL vor dem Öffnen an.

Merkmal 4: Persönliche Ansprache fehlt oder ist falsch

Wenn Ihre Bank Ihnen schreibt, steht Ihr Name im Text. Beim Phishing häufig:

  • „Sehr geehrter Kunde“
  • „Hallo Nutzer“
  • „Dear Customer“ (wenn Sie bisher deutsche Post bekommen haben)

Aber auch hier: KI schreibt inzwischen personalisierter. Wenn Ihre E-Mail-Adresse bei einem Daten-Leak war, kennt der Angreifer oft auch Name und Geburtsdatum. Verlassen Sie sich nicht allein auf dieses Merkmal.

Merkmal 5: Anhänge, die nicht zu einer üblichen Kommunikation passen

Rechnungen oder Verträge als PDF: ok, wenn Sie den Absender kennen und etwas erwarten. Verdächtig:

  • Excel-Dateien oder Word-Dokumente mit Makro-Warnungen
  • ZIP- oder RAR-Anhänge
  • „.doc“ statt „.docx“ (alte Formate werden für Makros genutzt)
  • Ausführbare Dateien getarnt als PDF: „rechnung.pdf.exe“ (Windows blendet die „.exe“-Endung standardmäßig aus)

Regel: Wenn Sie den Anhang nicht erwarten, öffnen Sie ihn nicht. Auch nicht „nur zum Schauen“ – moderne Makro-Malware infiziert beim Öffnen, nicht erst bei „Bearbeiten zulassen“.

Merkmal 6: Der Kontext passt nicht

Kleine Alarmglocken:

  • Eine Logistik-Firma schickt eine „Sendung wartet auf Abholung“, obwohl Sie keine Bestellung erwarten.
  • Ihre Bank warnt vor einer Überweisung, die Sie gar nicht ausgelöst haben.
  • Ein Steuerbescheid kommt per E-Mail statt per Post (in Deutschland kommen offizielle Bescheide nach wie vor per Brief oder über ELSTER).
  • Ein Geschäftsführer bittet per E-Mail um eine dringende Überweisung mit fragwürdiger Begründung („CEO-Fraud“).

Der Kontext-Check ist Ihre beste Waffe. Keine Mail ist so dringend, dass sie nicht eine kurze Nachfrage übersteht – über einen zweiten Kanal, nicht per Antworten auf dieselbe E-Mail.

Merkmal 7: Design wirkt fast richtig, aber nicht ganz

Profis im Spear-Phishing kopieren Corporate-Designs gut. Trotzdem bleiben oft Kleinigkeiten:

  • Das Logo ist etwas gezerrt oder niedrig aufgelöst.
  • Fußzeilen mit veralteten Adressen, falschen Impressum-Angaben oder alten Markenbezeichnungen.
  • Mischung aus „Sie“ und „Du“ im selben Text.
  • Inkonsistente Schriftarten oder Zeilenabstände.

Öffnen Sie im Zweifel parallel eine echte Mail desselben Absenders aus Ihrem Archiv. Der Vergleich entlarvt vieles.

Wenn es trotzdem passiert ist – was tun?

Schritt 1: Keine Panik, aber schnell handeln.

  • Hat der Nutzer einen Link geklickt und Zugangsdaten eingegeben? Sofort das Passwort ändern – erst auf der richtigen Seite, die Sie manuell im Browser aufrufen. Danach bei allen Diensten, bei denen das gleiche Passwort genutzt wurde (bitte nicht mehr machen – Passwort-Manager).
  • Wurde etwas heruntergeladen oder ein Makro aktiviert? Gerät vom Netz trennen, IT oder Dienstleister informieren, Virenprüfung im abgesicherten Modus starten. Im Unternehmenskontext ggf. auch das Backup für den Notfall bereitstellen.
  • War das ein Firmenkonto? IT-Administrator informieren. MFA-Token zurücksetzen. Mailbox auf eingerichtete Weiterleitungen prüfen – Angreifer richten oft heimlich Regeln ein, die Antworten an sie umleiten.

Schritt 2: Dokumentieren. E-Mail als EML speichern (nicht weiterleiten, dann gehen Metadaten verloren). Zeiten, Schritte, betroffene Daten aufschreiben. Bei personenbezogenen Daten gilt: Meldefrist 72 Stunden an die Datenschutzbehörde.

Proaktiver Schutz im Alltag

  • Multi-Faktor-Authentifizierung überall, wo es geht.
  • Passwort-Manager mit Auto-Fill: der befüllt nur die echte Domain. Wenn die Phishing-Seite nicht geöffnet wird, merken Sie es.
  • Aktuelle Browser und Betriebssysteme (automatische Updates).
  • Phishing-Training im Team einmal pro Halbjahr. 30 Minuten mit echten Beispielen, Diskussion, offene Fragen.
  • Technisch: DMARC/DKIM/SPF für Ihre eigene Domain richtig setzen (verhindert, dass jemand in Ihrem Namen verschickt).

Fazit

Phishing lebt davon, dass Sie in 15 Sekunden entscheiden. Mit einer Handvoll Prüfmuster – Dringlichkeit, Absender, Link, Kontext – können Sie die meisten Versuche zuverlässig entlarven. Und die wenigen, die wirklich gut gemacht sind, scheitern am zweiten Kanal: ein kurzer Anruf bei dem vermeintlichen Absender, eine Rückfrage im Teamchat, und die Sache löst sich auf.

Die einzige schlechte Entscheidung ist, im Zweifel trotzdem zu klicken. Wenn Sie unsicher sind, fragen Sie jemanden. Lieber einmal zu oft als einmal zu selten.

Awareness-Training für Ihr Team?

Ich biete kompakte Phishing-Trainings (30–60 Min., vor Ort oder remote) mit echten Beispielen aus dem Alltag.

IT-Beratung
Termin buchen
© 2026 FS IT-Consulting · Fabio Schmitz · Alte Poststraße 50, 54344 Kenn