Phishing erkennen: die fünf häufigsten Maschen 2026

„Achten Sie auf Rechtschreibfehler" – dieser Ratschlag ist überholt. Moderne Phishing-Mails sind fehlerfrei, persönlich adressiert und imitieren echte Absender überzeugend. Statt nach Tippfehlern zu suchen, lohnt es sich, die Maschen dahinter zu kennen.

1. Künstlicher Zeitdruck

„Ihr Konto wird in 24 Stunden gesperrt." Druck schaltet das kritische Denken aus. Seriöse Absender setzen selten so enge, bedrohliche Fristen.

2. Der Chef, der diskret um etwas bittet

CEO-Fraud spielt mit Hierarchie und Geheimhaltung. Eine angebliche Bitte der Geschäftsführung um eine „vertrauliche, kurzfristige" Überweisung sollte immer über einen zweiten Kanal geprüft werden.

Die wirksamste Verteidigung ist nicht ein Filter, sondern ein Team, das verdächtige E-Mails meldet, statt sie anzuklicken.

3. Die fast richtige Adresse

Die echte Domain steht oft nicht am Ende der Absenderadresse. „microsoft.com.security-alert.io" ist nicht Microsoft. Ein Blick auf den tatsächlichen Domain-Teil entlarvt viele Fälschungen.

4. Der Anhang, der drängt

Unerwartete Rechnungen, Paketbenachrichtigungen oder „Sprachnachrichten" als Anhang gehören zu den häufigsten Einfallstoren. Im Zweifel: nicht öffnen, sondern melden.

5. Der QR-Code

Quishing verlagert den Angriff aufs Smartphone, wo die URL schwerer zu prüfen ist. Ein QR-Code in einer E-Mail verdient dieselbe Skepsis wie ein Link.

Das Ziel von Awareness ist nicht, niemanden mehr klicken zu lassen – das ist unrealistisch. Das Ziel ist eine Kultur, in der Melden selbstverständlich ist und ein Fehlklick zur Lerneinheit wird, nicht zur Sanktion.