Phishing & Social Engineering – wenn der Mensch das Einfallstor ist

TL;DR – DIE KURZFASSUNG

Phishing ist der Versuch, dich per gefälschter E-Mail, SMS oder Anruf dazu zu bringen, Zugangsdaten preiszugeben oder auf einen schädlichen Link zu klicken.
Die meisten erfolgreichen Hackerangriffe beginnen nicht mit Technik – sondern mit einer einzigen unachtsamen Reaktion eines Menschen.
Gefälschte E-Mails sehen heute erschreckend echt aus – auch eine DHL-Benachrichtigung oder eine Nachricht vermeintlich von deiner Bank.
Mit ein paar einfachen Gewohnheiten lässt sich das Risiko drastisch senken.

Die einfache Erklärung

Stell dir vor, jemand ruft in deiner Werkstatt an, gibt sich als dein Lieferant aus und bittet dich, kurz eine neue Bankverbindung zu bestätigen. Die Stimme klingt vertraut, die Geschichte klingt plausibel. Erst später merkst du: Da war gar kein Lieferant.

Genau das passiert beim Phishing – nur meistens per E-Mail. Angreifer geben sich als Postdienstleister, Bank, Microsoft oder sogar als dein Chef aus. Ziel ist immer dasselbe: Du sollst auf einen Link klicken, ein Dokument öffnen oder deine Zugangsdaten eingeben.

Wie man gefälschte Nachrichten erkennt

Absenderadresse genau prüfen. Nicht nur den angezeigten Namen – die echte E-Mail-Adresse dahinter. „DHL Paketservice" kann als Absendername stehen, aber die Adresse lautet noreply@dhl-support-eu.info. Das ist keine DHL-Adresse.

Dringlichkeit ist ein Warnsignal. „Ihr Konto wird in 24 Stunden gesperrt", „Sofortige Aktion erforderlich" – Angreifer setzen bewusst unter Druck, damit du nicht nachdenkst. Echter Druck ist fast nie so dringend, wie er dargestellt wird.

Links vor dem Klick prüfen. Mit der Maus über den Link fahren (nicht klicken!) zeigt die echte Zieladresse. Wenn da sparkasse-sicherheit.ru steht, ist das keine Sparkasse.

Im Zweifel: separat nachfragen. Wenn du eine E-Mail von deinem Steuerberater bekommst, in der er um eine dringende Überweisung bittet: Ruf ihn an. Auf einer anderen Leitung, nicht per Antwort auf die E-Mail.

DER 3-SEKUNDEN-CHECK VOR JEDEM KLICK

Wer hat das geschickt? (echte Absenderadresse prüfen, nicht nur den Namen)
Wird Druck gemacht? (Dringlichkeit = Vorsicht)
Wohin führt der Link? (mit der Maus drüberfahren, nicht klicken)

Warum Technik allein nicht hilft

Spam-Filter und Antivirenprogramme fangen viel ab. Aber kein technisches System erkennt jede gefälschte E-Mail zuverlässig – vor allem nicht die gut gemachten. Der wichtigste Schutz ist ein aufmerksamer Mensch, der zwei Sekunden nachdenkt, bevor er klickt.

Das klingt einfach – ist aber im stressigen Alltag schwerer als gedacht. Deshalb lohnt es sich, das Team einmal gezielt dafür zu sensibilisieren. Ein kurzes internes Briefing kann viel bewirken.

Häufige Fragen

Ich bin doch nicht dumm – sowas fällt mir doch auf.

Die meisten Menschen, die auf Phishing hereinfallen, sind nicht dumm – sie waren kurz abgelenkt, unter Zeitdruck oder die E-Mail war außergewöhnlich gut gemacht. Es gibt Phishing-Mails, die selbst IT-Profis einen Moment lang täuschen. Der Schutz liegt nicht im IQ, sondern in der Gewohnheit.

Was passiert, wenn ich doch auf einen Link geklickt habe?

Nicht in Panik verfallen. Sofort: Passwort des betroffenen Kontos ändern, 2FA aktivieren falls noch nicht geschehen, IT-Verantwortlichen informieren. Je schneller reagiert wird, desto weniger Schaden entsteht.

Kann Phishing auch per Telefon passieren?

Ja – das nennt sich „Vishing" (Voice Phishing). Klassiker: Jemand gibt sich als Microsoft-Support aus und behauptet, dein Computer sei infiziert. Microsoft ruft dich niemals unaufgefordert an. Leg einfach auf.