Verbraucherzentrale Finanzen und Versicherungen

Aktuelle Warnung: Neue Betrugsmasche bei Online-Trading-Plattformen. Jetzt informieren.

WarnungAktualisiert: 9. Mai 202610 Min. Lesezeit

Phishing-Mails erkennen: So schützen Sie sich vor Datendiebstahl

Von Redaktion Verbraucherzentrale Finanzen und Versicherungen

Stand: 09.05.2026Redaktion: Verbraucherzentrale Finanzen und VersicherungenPrüfung: Vier-Augen-Prinzip
Quellen geprüftKeine Affiliate-Links

Was ist Phishing?

Phishing ist eine Form des Internetbetrugs, bei der Kriminelle versuchen, über gefälschte E-Mails, Webseiten oder Nachrichten an persönliche Daten wie Passwörter, Kreditkartennummern oder Online-Banking-Zugangsdaten zu gelangen. Der Begriff leitet sich vom englischen „fishing" (Angeln) ab — die Betrüger „angeln" nach Ihren Daten.

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Phishing die häufigste Angriffsmethode gegen Privatpersonen in Deutschland. Im Jahr 2024 registrierte das Anti-Phishing Working Group weltweit über 4,7 Millionen Phishing-Angriffe — ein historischer Höchststand. In Deutschland entstehen durch Phishing jährlich Schäden in Milliardenhöhe.

Arten von Phishing-Angriffen

E-Mail-Phishing

Die klassische Form: Sie erhalten eine E-Mail, die aussieht, als käme sie von Ihrer Bank, einem Online-Shop oder einem Zahlungsdienst. Die E-Mail fordert Sie auf, auf einen Link zu klicken und Ihre Zugangsdaten einzugeben. Die verlinkte Webseite ist eine Fälschung.

Smishing (SMS-Phishing)

Betrüger versenden SMS-Nachrichten mit Links, die auf gefälschte Webseiten führen. Häufige Vorwände: angebliche Paketlieferungen, Probleme mit dem Bankkonto oder Sicherheitswarnungen. Smishing hat sich seit 2021 vervierfacht und ist besonders gefährlich, da viele Menschen SMS-Nachrichten mehr vertrauen als E-Mails.

Vishing (Voice-Phishing)

Betrüger rufen an und geben sich als Bankmitarbeiter, Polizisten oder Behördenmitarbeiter aus. Sie erzeugen Druck — etwa durch die Behauptung, das Bankkonto sei kompromittiert — und fordern die Herausgabe von TANs, Passwörtern oder die Durchführung von Überweisungen.

Spear-Phishing

Eine gezielte Form des Phishing, bei der die Angreifer individuelle Informationen über das Opfer nutzen (z. B. Name, Arbeitgeber, kürzliche Käufe). Diese personalisierten Angriffe sind besonders schwer zu erkennen und haben eine deutlich höhere Erfolgsquote.

Aktuelle Phishing-Maschen in Deutschland

Die Verbraucherzentrale dokumentiert fortlaufend die aktuellsten Phishing-Varianten. Besonders verbreitet sind derzeit:

  • Banken-Phishing: Gefälschte E-Mails von Sparkasse, Volksbank, ING oder Deutsche Bank mit der Aufforderung, das „pushTAN-Verfahren zu aktualisieren" oder die „Identität zu bestätigen".
  • Finanzamt-Phishing: E-Mails, die eine Steuererstattung versprechen und zur Eingabe von Bankdaten auffordern. Das Finanzamt kontaktiert Steuerpflichtige nie per E-Mail mit der Bitte um Bankdaten.
  • Paket-Phishing: SMS im Namen von DHL, Hermes oder DPD mit angeblichen Zustellungsproblemen und der Aufforderung, eine geringe Gebühr zu zahlen.
  • Energieversorger-Phishing: Angebliche Rückerstattungen wegen „zu hoher Abschläge" mit der Bitte um Kontodaten.
  • Microsoft/Apple-Phishing: Gefälschte Sicherheitswarnungen, die zur Eingabe von Kontodaten auffordern.
  • PayPal/Amazon-Phishing: Benachrichtigungen über angeblich verdächtige Kontobewegungen oder gesperrte Konten.

Technische Erkennungsmerkmale von Phishing

Die folgenden Merkmale helfen Ihnen, Phishing-Nachrichten zu identifizieren:

  • Absenderadresse prüfen: Der angezeigte Absendername kann frei gewählt werden. Prüfen Sie die tatsächliche E-Mail-Adresse — sie weicht bei Phishing meist deutlich ab (z. B. „sparkasse-sicherheit@mail-ru.com").
  • Links vor dem Klicken prüfen: Fahren Sie mit der Maus über den Link (ohne zu klicken) und prüfen Sie die tatsächliche Zieladresse. Achten Sie auf abweichende Domains, Schreibfehler oder unbekannte Adressen.
  • Dringlichkeit und Drohungen: „Ihr Konto wird in 24 Stunden gesperrt" — seriöse Unternehmen setzen Kunden nicht mit derartigen Fristen unter Druck.
  • Unpersönliche Anrede: „Sehr geehrter Kunde" statt Ihres Namens — Banken und seriöse Unternehmen sprechen Sie in der Regel namentlich an.
  • Rechtschreibfehler und ungewöhnliche Formulierungen: Obwohl KI-generierte Phishing-Mails immer besser werden, enthalten viele noch sprachliche Fehler.
  • Anhänge mit verdächtigen Dateitypen: Insbesondere .exe, .zip, .js oder .doc-Dateien mit Makros können Schadsoftware enthalten.

Wichtig: Durch den Einsatz von KI-Sprachmodellen werden Phishing-Mails sprachlich immer besser. Verlassen Sie sich daher nicht allein auf Rechtschreibfehler als Erkennungsmerkmal.

Was tun, wenn Sie auf einen Phishing-Link geklickt haben

Wenn Sie bereits auf einen Phishing-Link geklickt oder Daten eingegeben haben, handeln Sie sofort:

  • Passwörter sofort ändern — zuerst beim betroffenen Dienst, dann bei allen anderen Konten, bei denen Sie das gleiche Passwort nutzen.
  • Bank kontaktieren: Wenn Sie Bankdaten eingegeben haben, lassen Sie Ihre Karten und den Online-Banking-Zugang sofort sperren. Die bundesweite Sperr-Hotline ist erreichbar unter 116 116.
  • Antivirenscan durchführen: Wenn Sie einen Anhang geöffnet haben, scannen Sie Ihr Gerät umgehend mit einer aktuellen Antivirensoftware.
  • Beweise sichern: Leiten Sie die Phishing-Mail an phishing@verbraucherzentrale.nrw weiter, bevor Sie sie löschen.
  • Anzeige erstatten bei der Polizei — Phishing ist Betrug und strafbar.

Schutz und Vorbeugung

Schützen Sie sich langfristig mit diesen Maßnahmen:

  • Zwei-Faktor-Authentifizierung (2FA) aktivieren für alle wichtigen Konten — auch wenn Betrüger Ihr Passwort kennen, fehlt ihnen der zweite Faktor.
  • Passwort-Manager nutzen: Dieser erkennt gefälschte Webseiten, da er nur auf der echten Domain automatisch ausfüllt.
  • Software aktuell halten: Betriebssystem, Browser und Antivirensoftware regelmäßig aktualisieren.
  • Bankseiten nur über Lesezeichen aufrufen — nie über Links in E-Mails oder Suchergebnissen.
  • Gesundes Misstrauen: Geben Sie niemals Passwörter oder TANs heraus, wenn Sie dazu aufgefordert werden. Ihre Bank wird Sie nie per E-Mail oder Telefon danach fragen.

Phishing melden und andere warnen

Helfen Sie, andere Verbraucher zu schützen:

  • Verbraucherzentrale: Leiten Sie Phishing-Mails an phishing@verbraucherzentrale.nrw weiter. Die Verbraucherzentrale NRW betreibt ein Phishing-Radar, das aktuelle Bedrohungen veröffentlicht.
  • BSI: Melden Sie Phishing-Seiten dem Bundesamt für Sicherheit in der Informationstechnik.
  • Betroffenes Unternehmen: Informieren Sie das Unternehmen, das gefälscht wird (z. B. Ihre Bank), damit es seine Kunden warnen kann.

Häufig gestellte Fragen

Wie erkenne ich eine Phishing-Mail?
Prüfen Sie die tatsächliche Absender-E-Mail-Adresse (nicht nur den angezeigten Namen), fahren Sie mit der Maus über Links, um die echte Zieladresse zu sehen, und achten Sie auf Dringlichkeit oder Drohungen ('Konto wird gesperrt'). Seriöse Unternehmen fordern nie per E-Mail zur Eingabe von Passwörtern auf. Vorsicht: KI-generierte Phishing-Mails werden sprachlich immer besser, sodass Rechtschreibfehler allein kein zuverlässiges Erkennungsmerkmal mehr sind.
Was ist der Unterschied zwischen Phishing, Smishing und Vishing?
Phishing erfolgt per E-Mail, Smishing per SMS und Vishing per Telefonanruf. Die Methode ist jeweils gleich: Betrüger geben sich als vertrauenswürdige Institution aus und versuchen, persönliche Daten zu stehlen. Smishing hat seit 2021 besonders stark zugenommen, da Menschen SMS-Nachrichten tendenziell mehr Vertrauen schenken als E-Mails.
Was soll ich tun, wenn ich meine Bankdaten auf einer Phishing-Seite eingegeben habe?
Handeln Sie sofort: Rufen Sie die Sperr-Hotline 116 116 an, um Ihre Karten und den Online-Banking-Zugang zu sperren. Ändern Sie das Passwort für Ihr Online-Banking und alle Konten, bei denen Sie das gleiche Passwort verwenden. Kontaktieren Sie Ihre Bank direkt und erstatten Sie Anzeige bei der Polizei. Sichern Sie die Phishing-Mail als Beweis.
Kann ich Phishing-Mails melden?
Ja. Leiten Sie verdächtige E-Mails an phishing@verbraucherzentrale.nrw weiter. Die Verbraucherzentrale NRW betreibt ein Phishing-Radar und veröffentlicht regelmäßig aktuelle Warnungen. Zusätzlich können Sie Phishing beim BSI (Bundesamt für Sicherheit in der Informationstechnik) und bei dem Unternehmen melden, das in der Phishing-Mail gefälscht wird.
Schützt ein Antivirenprogramm vor Phishing?
Ein Antivirenprogramm bietet einen gewissen Schutz, indem es bekannte Phishing-Seiten blockiert und Schadsoftware in Anhängen erkennt. Es ist jedoch kein vollständiger Schutz, da neue Phishing-Seiten oft erst Stunden nach dem Start erkannt werden. Die wichtigsten Schutzmaßnahmen sind: Zwei-Faktor-Authentifizierung, ein Passwort-Manager, der gefälschte Seiten erkennt, und gesundes Misstrauen bei unerwarteten Nachrichten.

Weiterführende Artikel

Warnung

Identitätsdiebstahl: So schützen Sie Ihre persönlichen Daten

12 Min. Lesezeit

Warnung

Fake-Shops im Internet erkennen: Der ultimative Leitfaden

11 Min. Lesezeit

Digitale Welt

Passwort-Sicherheit: So erstellen Sie unknackbare Passwörter

9 Min. Lesezeit

Digitale Welt

Datenschutz im Alltag: 15 Tipps zum Schutz Ihrer Daten

13 Min. Lesezeit

Dieser Artikel wurde zuletzt am 9.5.2026 aktualisiert und redaktionell geprüft.

Redaktionelle Verantwortung: Redaktion Verbraucherzentrale Finanzen und Versicherungen, Verbraucherzentrale Finanzen und Versicherungen · Prüfung nach dem Vier-Augen-Prinzip

Quellen: Öffentlich zugängliche Geschäftsberichte, regulatorische Filings, anerkannte Finanzdatenbanken · Keine Anlageberatung i.S.d. § 2 Abs. 8 Nr. 10 WpHG

Hinweis: Diese Seite enthält keine Werbung, keine Affiliate-Links und keine gesponserten Inhalte.