
Mit gefälschten Mails und Websites fischen Angreifer online nach Login-Daten. Wir erklären, wie Sie sich schützen und wann Bank oder Versicherung Schäden begleichen.
Phishing: Datendiebstahl mit System
Beim Phishing versuchen Betrüger, ihren Opfern unter falscher Identität und falschem Vorwand Anmelde-Daten zu entlocken – also Passwörter, E-Mail-Adressen und Account-Namen. Gelingt ihnen das, können sie die Online-Konten kapern und im Namen der Betroffenen Bestellungen tätigen, Zahlungen auslösen oder Nachrichten versenden.
Ein typisches Beispiel: Eine E-Mail fordert Bankkunden auf, neuen Sicherheitsmaßnahmen zuzustimmen. Die Absender drohen an, das Konto zu sperren oder Mahngebühren zu erheben, falls eine Antwort ausbleibt. Ein Link in der Mail führt auf die vermeintliche Website der Bank. Geben die Empfänger dort ihre Onlinebanking-Zugangsdaten ein, landen Nutzername und Passwort direkt in den Händen der Betrüger. Im schlimmsten Fall räumen sie damit das Konto leer. In anderen Szenarien nehmen die Angreifer per SMS, Messenger-Nachricht oder über Social-Media-Plattformen Kontakt auf. Mal geben sie sich als Kind des Empfängers aus, mal als Chef oder als Kundenservice-Mitarbeiter. Wir erklären ihre Maschen, wie Sie Phishing-Mails erkennen und sich vor Angriffen schützen. Aktuelle Warnungen vor neuen Phishing-Fallen finden Sie im Phishingradar der Verbraucherzentrale.
Tipp: Falls Ihre Daten bereits entwendet wurden, lassen Sie betroffene Konten sperren und ändern Sie Ihre Passwörter. Wir erklären, wann Ihre Bank oder Ihre Hausratsversicherung einspringt.
So erkennen Sie Phishing: 12 Regeln für mehr Sicherheit

„Ihre Apple-ID wurde aus Sicherheitsgründen gesperrt.“ Solche Mails erhielt Stiftung-Warentest-Redakteur Martin Gobbin. Die Nachrichten hatten keine Rechtschreibfehler, enthielten ein Apple-Logo und wirkten auch sonst authentisch. Dennoch ließen sie sich mit etwas Know-how als versuchter Datenklau entlarven. Wie das geht, was Phishing ist und wie Sie sich davor schützen, erklärt Ihnen unser Redakteur anhand von zwölf Regeln.
1. Verdächtige Mails am Rechner prüfen
Wie viele andere Menschen lese ich meine E-Mails inzwischen meist per Smartphone statt am Computer. Für Angreifer ist das hilfreich, denn am Handy ist es schwerer, die typischen Anzeichen von Phishing – seltsame Link- und Absender-Adressen – zu entdecken. In meiner Mail-App war es etwa nicht ohne Weiteres möglich, mir die tatsächliche E-Mail-Adresse des Absenders anzeigen zu lassen. Falls Ihnen eine E-Mail verdächtig erscheint, untersuchen Sie die Nachricht daher lieber am Computer statt am Handy. Manche Hinweise auf Phishing sind aber auch auf dem Smartphone sofort zu erkennen: Fake-Mails lassen sich mitunter an Schreibfehlern, ungelenker Sprache, kyrillischen Buchstaben oder am Erzeugen von Zeitdruck erkennen („Handeln Sie sofort! Sonst ist Ihr Konto in Gefahr.“).
2. Auf die Absender-Endung achten


In meinem Fall stammten die vermeintlichen Apple-Mails von Absendern wie ftmybawmontvlzuhulcu-jg9wltdl3qw1wljvca2l68k0ll@savagex.com. Schon die ewiglange, kryptische Zeichenkombination am Anfang wirkt nicht ganz koscher. Vor allem aber ist die Endung „savagex.com“ ein klares Indiz, dass es sich um eine Fälschung handelt.
Tatsächliche Apple-Mails haben üblicherweise Absender, die auf „apple.com“ enden. Auch wenn die Endung nur leicht abweicht – etwa „aplle.com“ oder „apple-company.cn“ – ist das oft ein Hinweis auf einen Betrugsversuch.
Dass der angezeigte Absender-Name „Apple“ lautet, hat übrigens nichts zu sagen: Der lässt sich leicht manipulieren. Die Wahrheit steht in der Endung der E-Mail-Adresse.
3. Tatsächliches Ziel von Links checken


In den E-Mails waren Links, die mich angeblich zur Apple-Website leiten sollten, damit ich dort meine Anmelde-Daten eingebe. Doch Links täuschen mitunter: Ich kann Ihnen hier zum Beispiel die Adresse test.de anzeigen, den Link aber so basteln, dass er Sie tatsächlich ganz woanders hinführt (probieren Sie‘s mal aus!). Wenn Sie mit der Maus über einen Link fahren – ohne ihn dabei anzuklicken –, sehen Sie unten links in der Statuszeile des Browsers die tatsächliche Zieladresse. In meinem Fall führte der vermeintliche Apple-Link zu Adressen wie dieser: https://me2.do/FMRiIln6. Für die Recherche habe ich dann getan, was Sie nicht tun sollten: Ich habe den Link geöffnet. Er brachte mich durch automatische Weiterleitungen schließlich zu URLs wie https://1wannaplay5.xyz/EtA9dRq.
Egal ob „me2.do“ oder „wannaplay“: Nach Apple sieht das alles nicht aus – sonst würde ja irgendwo mal „apple.com“ vorkommen. Doch so einfach ist es nicht immer: Ähnlich wie bei E-Mail-Endungen arbeiten Betrüger auch bei Website-Adressen oft mit subtileren Abweichungen, etwa qoogle.com statt google.com – oder amazoon.ru statt amazon.de.


Übrigens: Falls Sie den Link doch mal versehentlich öffnen, ist das kein Anlass zur Panik. Das bloße Aufrufen einer Phishing-Seite hat normalerweise keine negativen Folgen, solange Sie ein aktuelles Antiviren-Programm haben und Browser-Funktionen wie „Safe Browsing“ verwenden. Gefahr droht erst, wenn Sie Ihre Login-Daten auf der Seite eingeben.
4. Websites im Zweifel nicht via E-Mail aufrufen
Da Links in E-Mails nicht immer vertrauenswürdig sind, sollten Sie Websites im Zweifelsfall über andere Wege aufrufen. Tippen Sie einfach die URL direkt in die Adresszeile – oder suchen Sie die jeweilige Seite mit einer Suchmaschine heraus. Sie können wichtige Adressen auch in der Lesezeichen- oder Favoritenliste Ihres Browsers speichern.
So stellen Sie sicher, dass Sie wirklich dort landen, wo Sie hinwollen. Wenn dann tatsächlich ein Problem besteht – in meinem Fall die temporäre Sperrung meines Apple-Accounts –, wird die Seite Ihnen das nach dem Login mitteilen. Sie können natürlich auch beim Kundenservice des jeweiligen Anbieters nachfragen, ob die erhaltene Mail wirklich von der Firma stammt. Verwenden Sie dazu aber keinesfalls die in der verdächtigen Mail angegebenen Kontaktoptionen, sondern die Kontaktdaten auf der Anbieter-Website.
5. Login-Daten nie im Klartext verschicken
Manche Phishing-Angriffe funktionieren nicht über täuschend echt wirkende Websites, auf denen Sie Ihre Login-Daten eingeben sollen. Stattdessen fordern die Angreifer Sie auf, Ihren Nutzernamen, Ihr Passwort oder eine Tan-Nummer fürs Online-Banking per E-Mail (oder SMS oder Messenger-Nachricht) mitzuteilen. Das sollten Sie keinesfalls tun, denn seriöse Anbieter würden Sie niemals bitten, Anmeldedaten im Klartext zu verschicken.
6. Auch bei Nachrichten von Bekannten vorsichtig sein
Mitunter gelingt es Angreifern, E-Mail-Konten oder Social-Media-Accounts zu übernehmen und im Namen des eigentlichen Besitzers Nachrichten zu verschicken. Eine solche Message erscheint dem Empfänger dann natürlich vertrauenswürdig. Wenn ein Freund, Verwandter oder Kollege Sie per Mail oder via Social Media um Anmelde- oder Zahlungsdaten bittet, sollten Sie sich die Zeit nehmen, denjenigen anzurufen oder IRL (in real life) zu fragen, ob diese Nachricht wirklich von ihm stammt.
7. Nie Anhänge aus verdächtigen Mails öffnen
Keine der Mails, die ich von den Phishern erhielt, hatte eine Datei im Anhang. Das ist kein Wunder, denn die Mails waren ja nicht dazu gedacht, mir ein Virus unterzuschieben, sondern sie sollten mich auf eine gefälschte Seite locken. In manchen Fällen befinden sich aber dennoch Dateien im Anhang von Phishing-Mails. Das reine Öffnen der E-Mail richtet üblicherweise keinen Schaden an. Angehängte Dateien aus fragwürdigen Mails sollten Sie aber nie öffnen oder herunterladen. Dahinter kann sich Schadsoftware verbergen – etwa sogenannte Keylogger, die alle Tastatureingaben aufzeichnen und so Ihre Passwörter auslesen.
8. Browser und Antiviren-Programme aktuell halten


Erfreulicherweise sind wir im Kampf gegen Phishing-Attacken nicht auf uns allein gestellt. Weder Chrome noch Firefox ließen mich ohne Warnungen und Umwege auf die Seiten, die in den angeblichen Apple-Mails verlinkt waren. Beide Browser warnten mich mit knallroten Hinweisen oder weigerten sich schlicht, die Seiten zu öffnen. Auch aktuelle Anti-Viren-Programme erkennen Phishing-Versuche häufig und blockieren sie oder warnen per Pop-up-Nachricht davor.
9. Passwortmanager verwenden
So wie mein kettenrauchender Biolehrer mir einst erklärte, warum Nichtrauchen eine gute Entscheidung ist, so schreibe ich bei Stiftung Warentest regelmäßig über die Vorteile von Passwortmanagern, nutze tatsächlich aber selbst keinen. Dass ich das endlich mal ändern sollte, haben mir die Phishing-Mails wieder mal verdeutlicht: Denn Passwortmanager sind eine besonders sichere Methode, Phishing-Angriffen auszuweichen. Sie kontrollieren vor jeder Passworteingabe automatisch, ob die aufgerufene URL mit der ursprünglich gespeicherten Adresse übereinstimmt. Werden Sie auf eine gefälschte Seite gelockt, spuckt das Programm die Anmeldedaten nicht aus.
10. Mehrere Login-Faktoren einsetzen
Wer – wie ich – zu faul ist, einen Passwortmanager einzurichten, sollte zumindest seine Passwörter gegen Missbrauch schützen. Am besten geht das mit der Mehrfaktor-Authentifizierung (ja, die nutze ich). Selbst wenn es einem Angreifer gelingt, Ihr Passwort zu stehlen, bräuchte er dann zum Einloggen noch die zusätzlichen Faktoren, mit denen Sie Ihr jeweiliges Konto schützen – er müsste also zum Beispiel Zugriff auf Ihr Handy haben oder eine ziemlich gute Kopie Ihres Fingerabdrucks besitzen.
Falls Sie auch auf Mehrfaktor-Schutz verzichten wollen, kann ich Ihnen wirklich nicht mehr helf... Naja gut, wenn‘s denn sein muss: Befolgen Sie bitte zumindest diese Tipps für starke Passwörter. Das Allerwichtigste dabei: Verwenden Sie nie ein Passwort für mehrere Konten! Ansonsten ist möglicherweise Ihr Paypal-Konto in Gefahr, nur weil Ihr Katzenforums-Passwort geknackt wurde.
11. Offene WLan-Netze nur mit VPN nutzen
Vereinzelt läuft Phishing nicht über gefälschte Websites, sondern über direktes Abfangen von Daten im offenen WLan. Der Angreifer liest dabei den Datenverkehr mit, während er sich im selben Netz befindet wie Sie. Das wird heute immer schwieriger, da sehr viele Websites und Apps Login-Daten stets verschlüsselt übertragen. Ein Restrisiko bleibt aber. Wenn Sie ein WLan-Netz nutzen, das nicht Sie kontrollieren – sei es in der Bahn, im Hotel oder im Café –, sollten Sie daher stets ein virtuelles privates Netz (VPN) verwenden. Das sorgt dafür, dass Ihre Daten garantiert verschlüsselt werden. Bei sensiblen Aktivitäten wie Online-Banking oder der Kommunikation mit dem Netzwerk Ihres Arbeitgebers ist das besonders wichtig.
12. HTTPS nicht blind vertrauen
Möglicherweise haben Sie gelernt, dass Sie nur Seiten vertrauen sollten, deren Adresse mit HTTPS beginnt – schließlich steht das „S“ für „sicher“ (secure). Das ist grundsätzlich richtig: Seiten, die lediglich mit HTTP beginnen, sind unsicher, da sie Daten unverschlüsselt übertragen. Hier sollten Sie nie Anmelde-Daten eingeben. Nur leider stimmt der Umkehrschluss nicht immer: Dass eine Website HTTPS verwendet, heißt noch lange nicht, dass sie vertrauenswürdig ist. Auch Kriminelle können ihre gefälschten Seiten schließlich mit HTTPS ausstatten.
Wenn es schon passiert ist - die wichtigsten Schritte im Notfall
Haben Sie den Verdacht, bereits auf eine Phishing-Mail hereingefallen zu sein oder einen schädlichen Link geöffnet zu haben, sollten Sie sofort Ihre Passwörter ändern. Haben Betrügerinnen etwa Zugriff auf den E-Mail-Account, können sie sich sonst über die Funktion „Passwort vergessen“ Zugang zu vielen anderen Konten verschaffen. Anschließend sollten Sie natürlich nur noch neue Passwörter und Pins verwenden oder direkt einen Passwort-Manager nutzen.
Tipp: Nicht nur Passwörter sind schützenswert – auch mit anderen persönlichen Daten sollten Sie im Netz sorgsam umgehen. Schon mit Name, E-Mail-Adresse und Anschrift können Betrüger unter Umständen Online-Bestellungen auslösen.
Besteht die Möglichkeit, dass Bankingdaten oder Zugangsdaten für Zahlungsdienstleister gestohlen wurden, sollten Sie außerdem so schnell wie möglich den Zugang zu allen bedrohten Bankkonten sperren lassen. Rufen Sie die kostenlose Sperr-Hotline mit der Nummer 116 116 an und halten Sie Ihre Iban bereit. Haben die Betrüger bereits Geld abgebucht, sollten Sie den Schaden unbedingt Ihrer Bank melden und gegebenenfalls prüfen, ob Ihre Hausratversicherung auch Phishing-Schäden abdeckt. Viele Tarife leisten bis zu einer bestimmten Schadensgrenze oder einem Anteil der Versicherungssumme. Erstatten Sie außerdem Anzeige bei Ihrer örtlichen Polizeidienststelle oder der Online-Wache Ihres Bundeslandes, damit die Straftat verfolgt werden kann.
Wurde durch einen Phishing-Angriff Geld gestohlen, bleiben Sie nicht unbedingt auf dem Schaden sitzen. Zunächst einmal haftet die Bank, wenn Kontoinhaberinnen oder Kontoinhaber eine Zahlung nicht autorisiert haben. Dazu gehören auch Überweisungen mit gestohlenen Onlinebanking-Zugangsdaten. Sie müssen lediglich dann dafür einstehen, wenn Sie vorsätzlich oder grob fahrlässig gehandelt haben. Ob das der Fall ist, hängt vor allem davon ab, wie Sie sich bei einem Angriff verhalten und wie professionell die Betrüger vorgehen. Wie Gerichte in verschiedenen Fällen entschieden haben, zeigen die folgenden Beispiele.
Grobe Fahrlässigkeit? So entschieden Gerichte
Landgericht Oldenburg, Urteil vom 15.01.2016
Aktenzeichen: 8 O 1454/15
Sachverhalt: Ein Bankkunde hatte nach eigener Aussage Probleme beim Online-Banking-Login und nutzte deshalb in Absprache mit der Bank einen anderen Internetbrowser als üblich. Als er sich nach zwei Wochen wieder einloggte, stellte er fest, dass 44 unautorisierte Überweisungen von seinen Giro- und Sparkonten getätigt wurden. Insgesamt wurden durch eine Phishing-Attacke 11 244,62 Euro vom Konto gestohlen. Er ließ umgehend den Kontozugang sperren, erstattete Anzeige bei der Polizei, ließ seinen Computer „reinigen“ und setzte sein Handy zurück. Den Schaden wollte er von der Bank ersetzt bekommen – die pochte aber auf grobe Fahrlässigkeit. Das Gericht gab dem Kunden Recht: Nach den Ergebnissen der Beweisaufnahme seien zunächst der Rechner und dann auch das Mobiltelefon des Mannes mit professionell gestalteter Schadsoftware befallen gewesen – das hätte ihm nicht ohne Weiteres auffallen müssen. Die Bank musste das Geld zurückerstatten.
Amtsgericht München, Urteil vom 05. Januar 2017
Aktenzeichen: 132 C 49/15
Sachverhalt: Eine Bankkundin hatte nach Erhalt einer Phishing-Mail zunächst persönliche und Kontodaten auf einer gefälschten Onlinebanking-Website eingegeben. Dann wurde sie von einer vermeintlichen Bankmitarbeiterin angerufen, an die sie zum Zwecke der Authentifizierung eine SMS-Tan weitergab. Mithilfe dieser Tan wurden 4 444,44 Euro vom Girokonto abgebucht. Die Frau bekam das Geld nicht zurück, denn mit der telefonischen Weitergabe ihrer Tan handelte sie nach Auffassung des Gerichts grob fahrlässig.
Landgericht München II, nicht rechtskräftig
Aktenzeichen: 9 O 2630/21
Sachverhalt: Anfang 2022 fiel eine Frau auf ein Fake-Schreiben herein und loggte sich mit ihren Onlinebanking-Zugangsdaten auf einer falschen Bank-Website ein. Daraufhin buchten Betrüger mehr als 20 000 Euro vom Konto ab. Das Münchener Landgericht hielt das Verhalten der Frau für grob fahrlässig: Der „Phishing-Brief“ enthielt mehrere Rechtschreibfehler, und die falsche Website wies kleine, aber erkennbare Unterschiede zum echten Online-Banking-Portal auf. Das Gericht schlug trotzdem eine Vergleichszahlung der Bank in Höhe von 6 500 Euro vor. Die Bank bot 2 000 Euro, die Familie lehnte jedoch ab und legte Berufung gegen das Urteil ein.
-
Online-Konten schützen mit 2FA So funktioniert Zwei-Faktor-Authentifizierung
- Passwörter sind für Angreifer oft recht leicht zu knacken. Wer seine Online-Konten besser schützen will, setzt auf die Zwei-Faktor-Authentifizierung, kurz: 2FA. Dann...
-
Datensicherheit 10 Tipps für sicheres Surfen
- Hacker, Viren, Sicherheitslücken – im Internet wimmelt es nur so vor Gefahren. Mit den folgenden 10 Tipps der Stiftung Warentest schützen Sie PC, Smartphone und andere...
-
Messenger-Apps im Vergleich Wo niemand mitliest
- WhatsApp, Signal, Telegram & Co sind aus dem Alltag nicht mehr wegzudenken. Unser Messenger-Vergleich zeigt, welche der 16 Chat-Dienste im Test besonders sicher sind.
0 Kommentare Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.