Du bist von digitaler Gewalt betroffen? 

Wir sind für dich da!

Schreibe eine E-Mail an:

beratung@hateaid.org 

Rufe uns in den Sprechzeiten an:

030 / 252 088 38

Mo 10 – 13 Uhr | Di 15 – 18 Uhr | Do 16 – 19 Uhr

Chatte mit uns:* Mi 15 – 18 Uhr | Fr 11 – 14 Uhr

Melde Hass über unser Formular:

Zum Meldeformular 

Dickpic erhalten?

Erstatte direkt eine Anzeige! 

 



Helft mir!
Person sitzt am Laptop mit Grafik davor von Dokumenten an Angelhaken

Phishing: Ein Klick – Daten geklaut

Du erhältst eine E-Mail von deiner Bank. Betreff: „Ihre Daten sind veraltet”, die Nachricht: „Bitte geben Sie Ihre Kontodaten erneut ein, da Ihr Zugang sonst unverzüglich gesperrt wird.” Neben dem Banklogo findest du in der E-Mail auch den Link zur Website deiner Bank. Gewissenhaft trägst du deine Kontodaten in das Formular auf der Seite ein. Wenig später checkst du dein Bankkonto – mehrere tausend Euro sind verschwunden. Auf deine Kosten war irgendjemand online auf Einkaufstour …   

In Deutschland wurden 2023 134.407 Straftaten im Bereich der Cyberkriminalität erfasst. „Phishing” ist eine der häufigsten Methoden von Cyberangriffen.

Was sind Phishing-Attacken und wie gefährlich sind sie? 

Der Begriff „Phishing” (von engl. „password” und „fishing”) beschreibt den Identitätsdiebstahl über Kommunikationswege wie E-Mails, Websites oder SMS. Cyberkriminelle zielen mit gefälschten E-Mails, Chatnachrichten und Websites auf persönliche Informationen wie Kontodaten, Kreditkartennummern, Steuer- und Krankenakten sowie sensible Geschäftsdaten wie Kundennamen und Kontaktinformationen ab.

Phishing-Mails sehen denen von realen Unternehmen zum Verwechseln ähnlich. Sie verwenden ähnliche Redewendungen und verweisen auf Links, die täuschend echt aussehen. Über diese gelangen die Empfänger*innen auf gefälschte Websites, wo sie ihre persönlichen Daten in betrügerische Dateneingabeformulare eingeben.

Zudem haben Phishing-Mails häufig gefährliche Dateien im Anhang, die bereits beim Öffnen unbemerkt eine Schadsoftware installieren. Mit solchen Schadprogrammen spähen Betrüger*innen Passwörter und andere Daten unbemerkt aus. Eine einzige Mail reicht aus, um User*innen zu täuschen und so an ihre persönlichen Daten und ihr Geld zu kommen.

Mit Phishing-Angriffen werden sowohl Privatpersonen als auch Unternehmen und die breite Öffentlichkeit auf unterschiedlichste Weise in die Irre geführt, manipuliert und bestohlen.  

Die gefälschten oder manipulierten Mails können sich auf Banken, Online-Shops, Online-Accounts, Gewinnspiele oder aktuelle Ereignisse beziehen – Betrüger*innen finden immer wieder neue, kreative Wege, um Betroffene zu täuschen.  

Achtung: Phishing-Attacke!

Für ihre Attacken nutzen Täter*innen vor allem die Ängste und Unsicherheiten von Menschen aus. Phishing-Straftaten nehmen häufig in Ausnahmezuständen, wie z. B. der Corona-Pandemie oder dem Angriffskrieg auf die Ukraine, zu. Kriminelle locken dann mit vermeintlich neuen Informationen zu Sicherheitsmaßnahmen und schaffen es, dass Betroffene schnell auf gefälschte Links und Anhänge klicken. 

Auch finanzielle Krisenzeiten nutzen Täter*innen schamlos aus. Beispielsweise die Energiepauschale, welche die Bevölkerung bei den stark angestiegenen Strom- und Energiepreisen unterstützen sollte, wurde in mehreren Phishing-Kampagnen als Vorwand genutzt, um sensible Daten zu stehlen. Gefälschte E-Mails von Banken werben mit dem Service „Jetzt Energiepauschale sichern!” und leiten auf gefälschte Websites weiter. Die Betroffenen sollen ihre Kontodaten verifizieren – und schon landen sie in den Händen der Täter*innen.  

Informationen zu aktuellen Phishing-Angriffen findest du hier. Dort kannst du auch einen Angriff melden, wenn du selbst betroffen bist.

Weil Täter*innen zunehmend professioneller werden, sind Attacken immer schwerer zu identifizieren.

Auf dem Foto tippt eine Person am Laptop und hält eine Bankkarte in der Hand.
Immer mehr Menschen fallen auf Phishing-Attacken rein. Foto: Scopio/Rodrigo Estebas

Phishing auf Berufsplattformen 

Berufsplattformen wie LinkedIn oder XING sind gängige Ziele von Phishing-Attacken. Vielen Menschen ist nicht bewusst, dass auch auf diesen Portalen digitale Gewalt ausgeübt wird. Deswegen gehen sie dort oft leichtfertiger mit ihren privaten Informationen um.  

Anders als bei Instagram oder TikTok beinhaltet ein Profil bei Jobportalen mehr echte Informationen. User*innen geben hier Wohnort, politisches Engagement oder ihre*n Arbeitgeber*in an. Ein gefundenes Fressen für Cyberkriminelle. Auch auf Unternehmensaccounts werden Phishing-Angriffe ausgeübt. Denn dort finden Täter*innen zum Beispiel Daten über die Angestellten oder über Kund*innen.  

Meistens erstellen Cyberkriminelle auf Berufsplattformen ein Fake-Profil, was nach einem seriösen Unternehmen oder einer glaubwürdigen Person aussieht. Ihr Ziel können sowohl das Geld als auch die Daten von Betroffenen sein.  

Die Maschen:  

  • Erfundene Stellenangebote, bei denen die Betroffenen auf eine gefälschte Website geleitet werden, wo ihnen zum Beispiel aufgetragen wird, sich bei einer Bank neu einzuloggen. Dieser Account wird von den Betrüger*innen dann zur Geldwäsche genutzt.  
  • Auch der Technische-Support-Betrug ist eine Strategie der Täter*innen: Ein gefälschter Link bringt die Betroffenen auf eine Seite, wo sie ihre Zugangsdaten preisgeben. Erpressung und andere Gewaltformen folgen auf diesen Angriff.  

Es gilt also auch auf Berufsplattformen wachsam zu sein und zu prüfen, wie seriös Accounts oder Direktnachrichten sind. Phishing-Angriffe kannst und solltest du immer direkt bei der Plattform melden.  

Die Datengroßzügigkeit auf Plattformen wie LinkedIn kann zudem dazu führen, dass Betrüger*innen nicht auf dem Portal selbst, sondern per E-Mail oder SMS versuchen, die Betroffenen zu täuschen. Zum Beispiel schreiben sie dir im Namen deiner Chefin eine Nachricht, in der sie nach bestimmten Daten fragen und überlisten dich so, auf ihren Betrug einzugehen. 

Wie du dein LinkedIn-Profil sicher gestaltest, erklären wir dir hier

Wie erkennst du Phishing-Mails und URL-Phishing?

Phishing-Mails und -Websites können sehr unterschiedlich aussehen, es gibt aber einige klare Anzeichen für einen Angriff.  

Rechtschreibfehler, falsch übersetzte Texte oder ungewöhnliche Formulierungen sind Indizien für eine Phishing-E-Mail oder -Website. Bevor du eine E-Mail öffnest, achte immer auf die Absende-Adresse und den Betreff oder das Anliegen. Überlege auch, ob du schon einmal eine E-Mail in dieser Form von deiner Bank oder dem Unternehmen, das dich kontaktiert, erhalten hast. Das direkte Erfragen von sensiblen Daten, Kontozugängen und Passwörter ist ein klares Warnsignal. Auch Links oder eine URL in der E-Mail sind ein Anzeichen für eine Attacke, da reale Unternehmen kaum noch Links per E-Mail verschicken, um ihre Kund*innen vor genau solchen Angriffen zu schützen.  

Auch wenn Phishing-Attacken immer professioneller werden, kannst du dich an diesen Phishing-Merkmalen orientieren:

Phishing-Mail

  • Die Anrede ist häufig allgemein gefasst (Aufgepasst: Mittlerweile ist die Anrede vermehrt personalisiert!)  
  • Die Gründe sind häufig vermeintliche Gesetzesänderungen, Unstimmigkeiten im Kund*innenkonto oder neue Sicherheitsmaßnahmen  
  • Betonung der Dringlichkeit und Notwenigkeit der Datennennung  
  • Großer Zeitdruck  
  • Kommunikation von schwerwiegenden Konsequenzen und Drohungen  
  • Mails enthalten Links oder Anhänge zum Download  

Phishing-URL

  • Abkürzung http://, anstelle von https://, mit SSL-Zertifikat (Aufgepasst: Mittlerweile haben auch Phishing-Websites häufig das SSL-Zertifikat)  
  • Name der Firma wird häufig mit ungewöhnlichen Zahlen oder Zeichen kombiniert  
  • Tippfehler oder Buchstabendreher im Namen in der URL  
  • Schnelle und direkte Abfrage eigentlich bekannter Daten wie Name, IBAN oder Adresse  

Tipp: Wenn du dir unsicher bist, ob du eine betrügerische Mail erhalten hast, kannst du vermeintliche Absende-Unternehmen telefonisch kontaktieren und den Versand der E-Mail bestätigen lassen. Nimm dafür nicht die Telefonnummer aus der Mail, sondern suche sie selbst im Internet heraus. 

So kannst du dich vor Phishing schützen

Im Allgemeinen gilt: Schütze deine sensiblen Daten! Persönliche Daten oder Kontodetails solltest du niemals im Netz weitergeben, wenn du dir nicht hundertprozentig sicher bist, auf der offiziellen Seite zu sein. 

Achte auf gängige Merkmale von Phishing-Techniken: Allgemeine Anrede, Erfragen von sensiblen Daten inklusive Passwörtern, Kommunikation von Dringlichkeit und Zeitdruck, schwerwiegende Konsequenzen und Drohungen, Weblinks oder Anhänge.  

Wenn du eine ungewöhnliche Mail erhältst, solltest du …

  • niemals auf Links klicken!
  • niemals Anhänge öffnen!
  • niemals deine sensiblen Daten preisgeben!
  • niemals Geld zahlen
  • nicht auf unseriöse E-Mails antworten!

Indem du sichere Passwörter wählst und diese regelmäßig aktualisiert, kannst du dich vor Phishing-Angriffen und deren Folgen schützen. Hier erklären wir dir mehr über sichere Passwörter. Du solltest darauf achten, dass du zusätzlich zu sicheren Passwörtern auch eine 2-Faktor-Authentifizierung einstellst. Diese ist derzeit die sicherste Möglichkeit, um deine Konten zu schützen.  

Es gibt verschiedene Add-Ons, die dir dabei helfen, Angriffe zu erkennen. Zum Beispiel das Add-On „Nachricht melden” für Outlook. 

Auf Phishing reingefallen – Was tun?

Phishing-Angriffe sind nicht nur ärgerlich, sie können darüber hinaus auch strafbar sein. Und: Phishing-Täter*innen verwirklichen bei ihrer Attacke häufig gleich mehrere Strafbestände. So kann bereits das Verschicken einer Phishing-Mail oder das Erstellen einer Phishing-Website nach § 269 StGB (“Fälschung beweiserheblicher Daten”) strafbar sein.  

Wenn die Täter*innen durch eine Phishing-Attacke zusätzlich noch an deine Daten gelangen und diese verwenden, greifen darüber hinaus meist weitere Strafbestände. Dies ist vom jeweiligen Einzelfall abhängig.  

Portrait der HateAid-Anwältin Anna Wegscheider.
Anna Wegscheider, aus unserem Legal-Team. Foto: Andrea Heinsohn Photography

Das solltest du tun, wenn du auf eine Phishing-Attacke reingefallen bist:

1. Bankkonto sperren!

Falls du deine Kontodaten weitergegeben hast, sperre auf jeden Fall erstmal dein Konto. Überprüfe die Abbuchungen deines Kontos und setze dich mit der Bank in Verbindung.

2. Passwörter ändern und Zwei-Faktor-Authentifizierung einstellen!

Wenn du eine Phishing-Attacke vermutest oder erkennst, ändere schnellstmöglich das Passwort des betreffenden Kontos. Da einige Konten miteinander verknüpft sind, etwa Online-Shops und Bankkonten, solltest du darauf achten, dass alle betroffenen Konten neue und sichere Passwörter erhalten. 

Erstelle oder prüfe in diesem Fall auch deine 2-Faktor-Authentifizierung. 

3. Sichere Beweise!

Du solltest die Angriffe auf jeden Fall dokumentieren: Fertige hierzu rechtssichere Screenshots der Phishing-Attacke an.   

Auf dem Screenshot sollte dabei nicht nur unbedingt die Phishing-Mail selbst zu sehen sein, sondern auch Uhrzeit und Datum der Mail und die E-Mailadresse des*der Absender*in. Im Idealfall sicherst du auch die so genannten Headerdaten der mutmaßlichen Phishing-Mail.   

Ähnlich solltest du auch bei einer Phishing-Website vorgehen. Hier sollte der Screenshot neben dem Inhalt der gesamten Website und dem Datum und der Uhrzeit des Screenshots, auch die URL der Website enthalten. 

4. Prüfe auf Schadsoftware!

Wenn du von Phishing betroffen bist oder es vermutest, solltest du deine Geräte auf Schadsoftware prüfen. Manchmal werden gefährliche Programme durch den Klick auf einen Anhang oder Link auf dein Gerät geladen ohne, dass du es mitbekommst. 

5. Kontakt aufnehmen!

Melde die Angriffe bei den betreffenden Anbieter*innen und Plattformen. Kontaktiere beispielsweise den Kund*innenservice der betreffenden Bank oder des Online-Shops. Falls du niemanden erreichst, verfolge trotzdem die weiteren Schritte.

6. Anzeige erstatten!

Phishing-Angriffe können strafbar sein und du kannst dich dagegen wehren. Wichtig dafür ist, dass du die Attacken auch zur Anzeige bringst. Denn: Nur wenn Phishing angezeigt wird, kann auch ermittelt, angeklagt und im Idealfall verurteilt werden.  

Und wenn du die Sorge hast, dass deine Anzeige wahrscheinlich ins Leere laufen wird: Selbst, wenn keine Täter*innen identifiziert werden können, ist es wichtig, dass du die Tat anzeigst. Nur so fließen Anzeigen z.B. in die Kriminalstatistik mit ein. Außerdem werden Strafverfolgungsbehörden durch aktuelle Hinweise für neue Phishing-Formen sensibilisiert und können so besser auf Gefahren von „typischen“ Phishing-Maschen hinweisen. 

7. Melde die Phishing-Attacke  und verdächtige E-Mails bei der Verbraucherzentrale!

Die Verbraucherzentrale Nordrhein-Westfalen (phishing@verbraucherzentrale.nrw) wertet eingehende Anzeigen von Attacken aus und veröffentlicht bundesweite Warnungen für andere Verbraucher*innen. Du bleibst bei diesem Prozess anonym.


Achte auf gängige Anzeichen von Phishing und höre bei ungewöhnlichen Nachrichten auf dein Bauchgefühl. Schütze dich und deine Daten im Netz.  

Du bist von Phishing betroffen? Jemand kann unbefugt auf dein Konto zugreifen, veröffentlicht sensible Daten von dir und bedroht oder erpresst dich damit? Wende dich in solchen Fällen direkt an unsere Beratung, wir unterstützen dich

BMJ Förder-Logo

Titelbild: Shutterstock/Prathankarnpap

Bleib engagiert und auf dem Laufenden mit dem HateAid Newsletter!

Du erhältst alle zwei bis vier Wochen Neuigkeiten rund um unsere Arbeit und erfährst, wie du die Online-Welt ein kleines Stückchen besser machen kannst.



    Bitte fülle noch das Captcha aus*

    Captcha
    5 + 5 = ?
    Reload

    Mehr Infos in unserer Datenschutzerklärung. *