Phishing-Mails gehören seit Jahren zum digitalen Alltag. Doch was sich verändert hat, ist die Qualität: Wo früher holprige Grammatik und offensichtliche Fälschungen die Regel waren, sind Betrugs-E-Mails heute oft sprachlich einwandfrei, visuell professionell und inhaltlich plausibel. Der Grund ist naheliegend — KI-Werkzeuge machen es Betrügern leichter denn je, überzeugende Fälschungen zu produzieren.

Die Bundesnetzagentur warnt aktuell vor gleich mehreren Wellen: CEO-Fraud über WhatsApp (Betrüger geben sich als Vorgesetzte aus), gefälschte E-Mails im Namen von Finanzplattformen und SMS mit angeblichen Kontoeinschränkungen.

Woran Sie Phishing erkennen

Unerwartete Dringlichkeit. „Ihr Konto wird in 24 Stunden gesperrt", „Sofortige Verifizierung erforderlich", „Letzte Mahnung" — echte Unternehmen setzen Sie nicht unter künstlichen Zeitdruck. Wenn eine E-Mail Sie zu sofortigem Handeln drängt, ist das das stärkste Warnsignal.

Absenderadresse prüfen. Der angezeigte Name kann beliebig gefälscht werden. Schauen Sie auf die tatsächliche E-Mail-Adresse: Steht dort „service@sparkasse-sicherheit.com" statt einer offiziellen Domain? Kleine Abweichungen wie zusätzliche Buchstaben oder ungewöhnliche Domain-Endungen verraten Fälschungen.

Links vor dem Klicken prüfen. Fahren Sie mit der Maus über einen Link (ohne zu klicken) und schauen Sie in der Statusleiste Ihres Browsers oder E-Mail-Programms, wohin der Link tatsächlich führt. Stimmt die URL nicht mit dem angeblichen Absender überein, klicken Sie nicht.

Anhänge von Unbekannten. Öffnen Sie niemals Anhänge von unbekannten Absendern — auch keine PDF-Dateien oder Office-Dokumente. Sie können Schadsoftware enthalten, die sich beim Öffnen installiert.

Allgemeine Anrede. „Sehr geehrter Kunde" statt Ihres Namens kann ein Hinweis sein — allerdings kein zuverlässiger mehr. Durch Datenlecks verfügen Betrüger zunehmend über personalisierte Informationen.

Neue Bedrohungen seit 2025

KI-generierte Texte. Phishing-Mails sind sprachlich kaum noch von echten Geschäfts-E-Mails zu unterscheiden. Grammatikfehler als Erkennungsmerkmal funktionieren nicht mehr zuverlässig.

CEO-Fraud über Messenger. Betrüger kontaktieren Mitarbeiter:innen über WhatsApp und geben sich als Geschäftsführung aus — mit glaubwürdigem Profilbild und korrektem Namen. Die Nachricht enthält eine dringende Zahlungsanweisung. Das Bundeskriminalamt erfasste 2024 erstmals über 500.000 Betrugsfälle mit Auslandsbezug.

Voice Cloning. KI kann inzwischen Stimmen täuschend echt nachahmen. Ein kurzer Mitschnitt reicht aus, um eine synthetische Stimme zu erzeugen, die am Telefon wie eine bekannte Person klingt. Die Empfehlung von Sicherheitsexperten: Vereinbaren Sie mit Familie und engen Kolleg:innen ein Codewort für ungewöhnliche Anfragen.

Mehrstufige Angriffe. Erst eine E-Mail, dann ein Anruf zur „Bestätigung", schließlich eine SMS mit einem Link. Die Kombination verschiedener Kanäle soll die Glaubwürdigkeit erhöhen.

So schützen Sie sich

Grundregeln, die immer gelten:

  • Klicken Sie nicht auf Links in verdächtigen E-Mails. Rufen Sie die Website des Absenders stattdessen direkt im Browser auf.
  • Geben Sie Passwörter, PINs oder TANs niemals per E-Mail, Telefon oder Messenger weiter. Kein seriöses Unternehmen fragt danach.
  • Aktivieren Sie Zwei-Faktor-Authentifizierung (2FA) für alle wichtigen Konten — E-Mail, Banking, Social Media, Hosting.
  • Halten Sie Betriebssystem, Browser und E-Mail-Programm aktuell. Sicherheitsupdates schließen bekannte Schwachstellen.
  • Verwenden Sie einen Passwort-Manager und für jeden Dienst ein eigenes, starkes Passwort.

Für Ihr Unternehmen:

  • Schulen Sie Ihre Mitarbeiter:innen regelmäßig. Phishing-Erkennung ist keine einmalige Sache, sondern ein laufender Prozess.
  • Etablieren Sie klare Regeln für Zahlungsanweisungen: Keine Überweisungen auf Basis einer einzelnen E-Mail oder Messenger-Nachricht. Immer telefonisch rückbestätigen — und zwar über eine Ihnen bekannte Nummer, nicht über die Nummer in der verdächtigen Nachricht.
  • Richten Sie SPF, DKIM und DMARC für Ihre eigene Domain ein. Das erschwert es Betrügern, E-Mails in Ihrem Namen zu versenden.

Was tun, wenn Sie auf Phishing hereingefallen sind?

  • Ändern Sie sofort alle betroffenen Passwörter
  • Informieren Sie Ihre Bank, falls Zahlungsdaten betroffen sind
  • Erstatten Sie Anzeige bei der Polizei (auch online möglich)
  • Melden Sie die Phishing-Mail an die Bundesnetzagentur und an phishing@verbraucherzentrale.nrw