Anrufen
Phishing-Mails erkennen — Koreva eG IT-Sicherheit Magdeburg
IT-Sicherheit Juni 2026 7 Min. Lesezeit Steffen Huntscha

Phishing-Mails erkennen: 12 Merkmale die KMU-Mitarbeiter kennen müssen

Phishing ist 2026 gefährlicher als je zuvor — KI generiert makellose Täuschungsmails in Sekunden. Wer die Muster kennt, schützt sich und sein Unternehmen trotzdem.

Inhaltsverzeichnis

Phishing 2026: Warum die Bedrohung eskaliert

Phishing ist kein neues Problem. Aber es hat sich 2026 fundamental verändert — und viele KMU haben diese Veränderung noch nicht vollständig eingepreist.

Früher war Phishing ein Massengeschäft: Kriminelle verschickten Millionen identischer Mails in schlechtem Deutsch, mit offensichtlich gefälschten Logos und generischen Betreffzeilen wie "Ihre Kontodaten wurden gesperrt". Die meisten davon landeten zuverlässig im Spam-Ordner. Die wenigen, die durchkamen, erkannte ein aufmerksamer Mitarbeiter oft auf den ersten Blick.

Das hat sich geändert. Heute stehen Angreifern KI-Sprachmodelle zur Verfügung, die in Sekunden makellose, stilistisch fehlerfreie E-Mails auf Muttersprachenniveau generieren — in jeder Sprache, in jedem Tonfall, angepasst an die Branche und den Kontext des Ziels. Gleichzeitig hat sich Spear Phishing als Methode etabliert: statt Massenmails gezielt maßgeschneiderte Angriffe auf einzelne Personen, die auf öffentlich verfügbaren Informationen aus LinkedIn, XING, Firmenwebseiten oder gehackten Datensätzen basieren.

Das Ergebnis: Phishing-Mails, die früher durch mangelnde Qualität auffielen, sehen 2026 aus wie interne Unternehmenskommunikation. Sie kennen Ihren Namen, Ihre Position, Ihren Vorgesetzten und manchmal sogar laufende Projekte. Der klassische Tipp "erkenne Phishing an Grammatikfehlern" greift nicht mehr.

Laut BSI-Lagebericht waren Phishing-E-Mails im Jahr 2025 für rund 70 Prozent aller erfolgreichen Cyberangriffe auf Unternehmen das initiale Einfallstor. Bei KMU ist der Anteil sogar noch höher — weil dort weniger technische Filter und weniger geschultes Personal die E-Mail-Flut abfangen. Was bleibt, ist das kritische Urteilsvermögen des einzelnen Mitarbeiters. Und das lässt sich trainieren.

Die 12 konkreten Warnsignale

Die folgenden Merkmale sind keine abschließende Checkliste — eine professionelle Phishing-Mail kann viele davon vermeiden. Aber je mehr dieser Signale in einer E-Mail auftauchen, desto höher ist die Wahrscheinlichkeit, dass es sich um einen Angriff handelt. Jedes einzelne Signal rechtfertigt erhöhte Vorsicht.

1. Absenderadresse vs. Anzeigename (Display Name Spoofing)

Das ist das wichtigste und am häufigsten übersehene Warnsignal. E-Mail-Clients zeigen standardmäßig den Anzeigenamen an — "Max Mustermann" oder "DHL Paketdienst". Die tatsächliche Absenderadresse dahinter ist oft eine völlig andere.

Beispiel: Der Anzeigename lautet "Steffen Huntscha" und wirkt wie eine interne Mail. Die tatsächliche Adresse ist [email protected]. Viele Nutzer sehen nur den Namen, nicht die Adresse.

Maßnahme: Immer auf die tatsächliche E-Mail-Adresse klicken oder tippen, nicht nur den Namen lesen. In Outlook klappt das Absenderfeld per Klick auf den Namen auf. In Gmail sehen Sie die Adresse direkt unterhalb des Anzeigenamens.

2. Dringende Aufforderungen und Drohungen

Phishing-Mails arbeiten mit psychologischem Druck. Typische Formulierungen: "Ihr Konto wird in 24 Stunden gesperrt", "Sofortiger Handlungsbedarf", "Sie müssen jetzt reagieren, sonst werden rechtliche Schritte eingeleitet", "Ihre Zahlung ist überfällig — letzter Mahnbescheid".

Das Ziel ist immer dasselbe: Den Empfänger dazu bringen, ohne nachzudenken zu handeln. Der Zeitdruck soll das kritische Urteilsvermögen ausschalten. Genau deshalb gilt: Je mehr Druck eine Mail aufbaut, desto länger sollten Sie innehalten und die Legitimität prüfen — nicht umgekehrt.

3. Generische Anrede statt persönlichem Namen

"Sehr geehrter Kunde", "Lieber Nutzer", "Hallo" ohne Namen — das ist ein klassisches Erkennungsmerkmal von Massen-Phishing. Seriöse Unternehmen, mit denen Sie eine Geschäftsbeziehung haben, sprechen Sie beim Namen an. Banken, Versicherungen, Paketdienste — sie alle kennen Ihren Namen aus dem Vertragsverhältnis.

Einschränkung: Bei Spear Phishing kennen Angreifer Ihren Namen bereits. Eine persönliche Anrede schließt einen Phishing-Versuch also nicht aus. Sie ist nur ein Indiz, kein Beweis.

4. Grammatikfehler und unnatürliche Sprache

Jahrelang war "schlechtes Deutsch" das verlässlichste Phishing-Merkmal. Falsche Umlaute, holprige Satzkonstruktionen, maschinelle Übersetzungsartefakte — diese Fehler verrieten Angriffe aus dem nicht-deutschen Sprachraum zuverlässig.

Das gilt 2026 nicht mehr als primäres Erkennungsmerkmal. Moderne KI-Sprachmodelle produzieren fehlerfreies, natürlich klingendes Deutsch — inklusive korrekter Höflichkeitsformen, branchenspezifischer Fachbegriffe und angemessener Tonalität. Eine sprachlich einwandfreie E-Mail ist kein Freifahrtschein. Dennoch: Falls eine Mail trotz allem sprachlich auffällt — seltsame Formulierungen, unübliche Zeichensetzung, fehlende Umlaute — ist das weiterhin ein Warnsignal.

Links in E-Mails können irreführend gestaltet sein. Der angezeigte Text lautet "www.sparkasse.de/login" — die tatsächliche URL dahinter ist "sparkasse-kundencenter.phishingsite.com". Diese Diskrepanz lässt sich mit dem Hover-Check aufdecken: Maus über den Link halten ohne zu klicken. Die tatsächliche URL erscheint in der Statusleiste des E-Mail-Clients oder Browsers.

Auf was Sie achten sollten:

  • Domain stimmt nicht mit dem vermeintlichen Absender überein
  • Lange, kryptische URL-Parameter hinter einem kurzen Anzeigetext
  • URL-Verkürzer (bit.ly, tinyurl.com) — verbergen das tatsächliche Ziel
  • Subdomains, die echte Domains imitieren: "sparkasse.phishing.com" — die Domain ist "phishing.com", nicht "sparkasse.de"
  • IP-Adressen statt Domains in der URL: "http://192.168.0.100/login"

Auf mobilen Geräten ist der Hover-Check nicht möglich. Dort gilt: im Zweifel nicht klicken, sondern die URL manuell im Browser eintippen oder die offizielle App des Unternehmens öffnen.

6. Unerwartete Anhänge

Anhänge sind ein klassischer Phishing-Vektor. Besonders gefährlich sind ausführbare Dateien (.exe, .bat, .cmd), aber auch scheinbar harmlose Formate: Word-Dokumente mit Makros (.docm), PDFs mit eingebetteten Skripten, ZIP-Archive mit ausführbarem Inhalt.

Faustregel: Wenn Sie keinen Anhang erwartet haben und der Absender nicht eindeutig verifiziert ist — öffnen Sie ihn nicht. Kontaktieren Sie den vermeintlichen Absender auf einem anderen Weg (Telefon, direktes Tippen der E-Mail-Adresse) und fragen Sie, ob er tatsächlich einen Anhang geschickt hat. Rufen Sie nicht auf der in der E-Mail angegebenen Nummer an — auch diese kann gefälscht sein.

7. Anfragen nach Zugangsdaten oder Zahlungen

Kein seriöses Unternehmen bittet Sie per E-Mail, Ihr Passwort einzugeben, Ihre Kreditkartendaten zu bestätigen oder eine Überweisung durchzuführen. Wenn eine E-Mail das verlangt — egal wie echt sie aussieht — ist das ein starkes Warnsignal.

Das gilt auch für interne Nachrichten: Wenn die "IT-Abteilung" per E-Mail nach Ihrem Netzwerkpasswort fragt oder die "Buchhaltung" eine sofortige Überweisung anweist — telefonisch rückfragen. Immer.

8. CEO-Fraud und Business E-Mail Compromise (BEC)

CEO-Fraud ist eine besonders gefährliche Variante. Angreifer täuschen vor, die Mail komme vom Geschäftsführer oder einem leitenden Mitarbeiter und fordern eine dringende, vertrauliche Überweisung — oft mit der Bitte, dies niemandem zu erzählen und den normalen Freigabeprozess zu umgehen.

Typisches Szenario: Der "CEO" schreibt dem Mitarbeiter in der Buchhaltung, dass er gerade in einem Meeting mit einem Kunden sitzt und nicht erreichbar ist. Er benötige sofort eine Überweisung von 45.000 Euro auf ein neues Lieferantenkonto — bitte diskret und bis Ende des Tages. Keine Rückfragen.

Diese Methode funktioniert, weil sie an hierarchische Strukturen und Loyalität appelliert. Gegenmaßnahme: Jede Zahlungsanweisung per E-Mail, die den normalen Prozess umgeht, muss telefonisch über eine bekannte Nummer verifiziert werden — egal von wem sie scheinbar kommt.

9. Gefälschte Logos und Markenidentitäten

Phishing-Mails imitieren oft täuschend echt das visuelle Design bekannter Unternehmen: DHL, Sparkasse, Microsoft, PayPal, Telekom. Logos, Schriftarten, Farben und Layout werden kopiert. Eine Mail, die optisch perfekt aussieht, ist deshalb nicht automatisch echt.

Achten Sie auf Details: Stimmt die Farbe exakt? Ist das Logo pixelig oder unscharf (was auf einen Screenshot hindeutet)? Sind die Links im Footer auf die echte Domain oder auf eine Phishing-Domain? Auch der Absender-Header und die Fußzeile mit Impressum und Abmeldelink geben Hinweise — echte Unternehmen haben vollständige, korrekte Angaben dort.

10. Ungültige oder selbst-signierte SSL-Zertifikate

Wenn ein Phishing-Link Sie auf eine Webseite führt: Prüfen Sie das Schloss-Symbol in der Browseradresszeile. Fehlt es oder zeigt der Browser eine Warnung ("Diese Verbindung ist nicht sicher"), verlassen Sie die Seite sofort.

Wichtige Einschränkung: Ein gültiges SSL-Zertifikat bedeutet nur, dass die Verbindung verschlüsselt ist — nicht, dass die Seite legitim ist. Phishing-Seiten können kostenlose SSL-Zertifikate (Let's Encrypt) verwenden und trotzdem Betrugsseiten sein. Das Schloss ist eine notwendige, aber keine hinreichende Bedingung für Sicherheit.

11. Zeitdruck und künstliche Knappheit

Countdown-Timer, ablaufende Fristen, "nur noch heute gültig" — Zeitdruck ist ein bewährtes Social-Engineering-Werkzeug. Er soll verhindern, dass Sie die Nachricht kritisch hinterfragen, mit Kollegen besprechen oder bei der echten Stelle anrufen.

Merksatz: Wenn eine E-Mail Sie unter Zeitdruck setzt, nehmen Sie sich genau die Zeit, die Sie brauchen, um sie zu verifizieren. Ein echtes Unternehmen kann warten. Ein Angreifer nicht — er braucht Ihre Impulsreaktion.

12. Ungewöhnliche Absender-Domain

Angreifer registrieren Domains, die echten Unternehmensdomains ähneln. Das Prinzip heißt Typosquatting. Beispiele:

  • paypa1.de statt paypal.de (Zahl statt Buchstabe)
  • sparkasse-online.de statt sparkasse.de
  • microsoftsupport.net statt microsoft.com
  • dhl-tracking.info statt dhl.de
  • Ländercodes wie .ru, .cn, .tk, die für eine deutsche Sparkasse oder einen deutschen Paketdienst keinen Sinn ergeben

Prüfen Sie immer die vollständige Domain — nicht nur den Teil vor dem @-Zeichen. Der relevante Teil ist die Domain direkt vor der Top-Level-Domain: Bei mail.sparkasse-kundencenter.ru ist die Domain sparkasse-kundencenter.ru, nicht sparkasse.

KI-generierte Phishing-Mails: Die Spielregeln ändern sich

Es lohnt sich, diesen Punkt nochmals gesondert zu betonen — weil er viele Awareness-Schulungen aus den vergangenen Jahren obsolet macht.

Der Standardtipp "erkenne Phishing an Rechtschreib- und Grammatikfehlern" stimmt nicht mehr. KI-Sprachmodelle wie GPT-4, Claude oder lokale Open-Source-Modelle produzieren innerhalb von Sekunden fehlerfreie, natürlich klingende E-Mails auf Mutterspracherniveau. Kriminelle nutzen diese Werkzeuge aktiv. Sie lassen sich nicht durch schlechtes Deutsch verraten — die KI ist besser als mancher menschliche Schreiber.

Darüber hinaus ermöglicht KI personalisiertes Spear Phishing in bisher nicht gesehener Skalierung. Früher war ein maßgeschneiderter Angriff auf eine Einzelperson zeitaufwendig und teuer. Heute kann ein Skript LinkedIn-Profile scrapen, öffentliche Informationen aggregieren und daraus individuell angepasste Phishing-Mails generieren — für hunderte oder tausende Zielpersonen gleichzeitig.

Was bleibt als verlässliches Unterscheidungsmerkmal?

  • Die Absender-Domain lässt sich nicht fälschen — wenn E-Mail-Authentifizierung (SPF, DKIM, DMARC) korrekt konfiguriert ist
  • Der Inhalt der Anfrage selbst: Passwörter, Zahlungen, Zugangsdaten werden per E-Mail nie legitim angefragt
  • Unerwartete Kontaktaufnahme außerhalb bekannter Prozesse
  • Das Bauchgefühl: "Würde mir dieser Mensch das wirklich so schreiben?" — und dann verifizieren

Das bedeutet: Security-Awareness-Training muss sich 2026 auf Verhaltensregeln und Verifizierungsprozesse konzentrieren — nicht auf Sprachqualität als Erkennungsmerkmal.

Was tun, wenn eine Phishing-Mail durchkommt?

Phishing-Mails werden nie zu 100 Prozent gefiltert. Selbst die besten technischen Systeme und gut geschulte Mitarbeiter machen gelegentlich Fehler. Entscheidend ist dann, wie schnell und richtig reagiert wird.

Wenn Sie eine Phishing-Mail erhalten haben und noch nicht geklickt haben:

  1. Mail nicht weiterleiten (Sicherheitsrisiko für Empfänger)
  2. IT-Abteilung oder IT-Dienstleister informieren — die Mail als Anhang weiterleiten oder Screenshot machen
  3. Mail in den Papierkorb oder als Phishing melden (in vielen E-Mail-Clients über "Phishing melden" oder "Junk" möglich)
  4. Kollegen warnen, falls es sich um eine gezielte Kampagne handeln könnte

Wenn Sie auf einen Link geklickt oder einen Anhang geöffnet haben:

  1. Gerät sofort vom Netzwerk trennen: WLAN deaktivieren, Netzwerkkabel ziehen. Das verhindert, dass Malware sich im Netzwerk ausbreitet oder Daten exfiltriert werden
  2. IT umgehend informieren — keine Zeit verlieren, jede Minute zählt
  3. Gerät nicht ausschalten: Forensische Daten im RAM können wichtig sein
  4. Falls Zugangsdaten eingegeben wurden: Alle betroffenen Passwörter sofort von einem sauberen Gerät aus ändern, beginnend mit dem E-Mail-Account
  5. Alle anderen Accounts mit demselben Passwort prüfen und sichern
  6. Vorfall dokumentieren: Was wurde geklickt? Welche Daten wurden eingegeben? Zu welcher Uhrzeit?
  7. Bei finanziellen Transaktionen: Bank sofort anrufen und Überweisung stoppen lassen
  8. DSGVO-Meldefrist beachten: Bei Datenverlust oder Datenpanne besteht eine 72-Stunden-Meldepflicht an die zuständige Datenschutzbehörde
Wichtig: Fehler passieren. Wichtig ist nicht, dass ein Mitarbeiter auf eine Phishing-Mail hereingefallen ist — wichtig ist, dass er es sofort meldet. Eine Unternehmenskultur, die Fehler bestraft, führt dazu, dass Vorfälle verschwiegen werden. Das macht den Schaden erheblich größer.

Technische Gegenmassnahmen: SPF, DKIM, DMARC und E-Mail-Filter

Technische Maßnahmen allein lösen das Phishing-Problem nicht — aber sie reduzieren die Angriffsfläche erheblich. Folgende Technologien sollten in jedem KMU aktiv und korrekt konfiguriert sein:

SPF (Sender Policy Framework)

Ein DNS-Eintrag, der festlegt, welche Server berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. Empfänger-Mailserver können anhand des SPF-Eintrags prüfen, ob eine eingehende Mail von einem autorisierten Server stammt. Falsch konfiguriert oder fehlend: Angreifer können beliebig E-Mails mit Ihrer Domain als Absender versenden.

DKIM (DomainKeys Identified Mail)

DKIM fügt jeder ausgehenden E-Mail eine kryptografische Signatur hinzu. Der empfangende Server kann diese Signatur anhand des öffentlichen Schlüssels in Ihrem DNS verifizieren. Damit wird sichergestellt, dass die Mail seit dem Versand nicht verändert wurde und tatsächlich von Ihrem Mailserver stammt.

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC baut auf SPF und DKIM auf und definiert, was mit Mails passieren soll, die diese Prüfungen nicht bestehen: Zustellen (none), in den Spam verschieben (quarantine) oder ablehnen (reject). Zusätzlich ermöglicht DMARC Berichte: Sie erhalten regelmäßig Informationen darüber, wer im Namen Ihrer Domain E-Mails versendet — legitim oder nicht.

Viele KMU haben SPF gesetzt, aber DMARC auf "none" — das bedeutet, selbst bei SPF-Fehler passiert nichts. Für wirksamen Schutz brauchen Sie alle drei Protokolle, korrekt konfiguriert und mit DMARC-Policy "quarantine" oder "reject".

E-Mail-Gateway und Content-Filter

Kommerzielle E-Mail-Security-Gateways (Microsoft Defender for Office 365, Proofpoint, Barracuda, Hornetsecurity) scannen eingehende Mails auf bekannte Phishing-Muster, schädliche Anhänge, verdächtige Links und Domain-Reputation. Sie sind kein Allheilmittel, aber eine wichtige erste Filterschicht, die den manuellen Aufwand der Mitarbeiter deutlich reduziert.

DNS-Sicherheit und Threat Intelligence

DNS-Filter-Dienste (wie Cisco Umbrella, Cloudflare Gateway oder Pi-hole mit Blocklisten) blockieren den Aufruf bekannter Phishing- und Malware-Domains auf DNS-Ebene — bevor der Browser überhaupt eine Verbindung aufbaut. Das schützt auch dann, wenn ein Mitarbeiter versehentlich einen Link anklickt, dessen Zieldomain bereits als bösartig bekannt ist.

DNS-Sicherheit lässt sich für KMU mit vertretbarem Aufwand einrichten und ist eine der kosteneffizientesten Schutzmaßnahmen überhaupt.

Steffen Huntscha

IT-Berater & Gründer · Koreva eG

Cisco-zertifizierter Netzwerk- & Security-Spezialist (CCNA/CCNP), BSI-zertifizierter Security-Risk-Check-Berater. Arbeitet seit Jahren produktiv mit KI — auch lokal auf eigener GPU-Infrastruktur.

LinkedIn-Profil

Häufige Fragen

Phishing ist ein Angriff, bei dem Kriminelle gefälschte E-Mails, SMS oder Webseiten einsetzen, um Empfänger zur Herausgabe von Zugangsdaten, Zahlungsinformationen oder zur Ausführung von Überweisungen zu verleiten. Der Begriff leitet sich von "fishing" (Angeln) ab — Angreifer werfen einen Köder aus und warten, ob jemand anbeißt.

Moderne Phishing-Angriffe sind oft täuschend echt gestaltet und nutzen Logos, Schriften und Sprache bekannter Marken oder interner Absender. Mit KI-Unterstützung entstehen 2026 makellose, personalisierte Mails in Sekunden — der klassische "schlechtes Deutsch"-Test greift nicht mehr.

Die zuverlässigsten Merkmale: Erstens die Absenderadresse prüfen — der angezeigte Name kann gefälscht sein, die echte E-Mail-Adresse verrät den Betrug. Zweitens auf unerwartete Dringlichkeit oder Drohungen achten. Drittens Links vor dem Klicken mit der Maus überfahren (Hover-Check) — die tatsächliche URL sieht oft völlig anders aus als der Anzeigetext.

Unerwartete Anhänge nie öffnen ohne Rückfrage beim Absender über einen bekannten, separaten Kanal. Und: Seriöse Unternehmen fordern Passwörter oder Zahlungen nie per E-Mail an. Dieser Grundsatz hat keine Ausnahmen.

Sofortmaßnahmen: Gerät sofort vom Netzwerk trennen (WLAN deaktivieren, Netzwerkkabel ziehen). IT-Abteilung oder IT-Dienstleister umgehend informieren. Alle betroffenen Passwörter von einem sauberen Gerät aus ändern — beginnend mit dem E-Mail-Account.

Falls Zugangsdaten eingegeben wurden: alle Konten sperren oder sichern, bei denen dasselbe Passwort verwendet wird. Vorfall dokumentieren (URL, Uhrzeit, welche Eingaben gemacht wurden). Bei finanziellen Transaktionen sofort die Bank kontaktieren. Und: Melden ist wichtig — eine Unternehmenskultur, die Fehler bestraft, führt dazu, dass Vorfälle verschwiegen werden. Das erhöht den Schaden massiv.

Ja — und zwar nicht als einmalige Pflichtveranstaltung, sondern als kontinuierliches Programm. Studien zeigen, dass Mitarbeiter ohne Schulung auf 20 bis 30 Prozent simulierter Phishing-Mails klicken. Nach gezieltem Training und regelmäßigen Simulationen sinkt diese Rate auf unter 5 Prozent.

Technische Filter (SPF, DKIM, DMARC, E-Mail-Gateway) blocken viele Phishing-Mails — aber nicht alle. Der Mensch ist die letzte Verteidigungslinie. Simulierte Phishing-Tests kombiniert mit sofortigem Lernfeedback sind nachweislich die wirkungsvollste Maßnahme zur Reduktion des menschlichen Risikofaktors im Bereich E-Mail-Sicherheit.

Mitarbeiter für Phishing sensibilisieren

Security-Awareness-Schulungen mit simulierten Phishing-Tests — damit Ihr Team Angriffe erkennt, bevor sie Schaden anrichten.

Schulung anfragen IT-Schulungen ansehen →