Phishing über E-Mails ist die am weitesten verbreitete Form des Social Engineering. Dabei versenden Cyber-Kriminelle E-Mails mit betrügerischen Links an potenzielle Opfer und manipulieren diese dahingehend, dass sie den Link öffnen und ihre Nutzerdaten eingeben. So werden Empfänger in der Nachricht beispielsweise darauf hingewiesen, dass sie dringend innerhalb der nächsten Stunden ihre Kontodaten verifizieren müssen, da der Verdacht auf unbefugte Nutzung vorliegt. Sobald Nutzer darauf hereinfallen und auf der gefälschten Seite ihre Daten eingeben, landen jene direkt in den Händen der Cyber-Kriminellen. Identitätsdiebstahl, schwere finanzielle Verluste und Ransomware-Angriffe können die Folge sein.  

Wie erkenne ich Phishing E-Mails? 

Der Mensch wird häufig als schwächstes Glied der Sicherheitskette bezeichnet. Wenn es um den Schutz vor Phishing geht, muss er aber zugleich das stärkste Glied sein. Denn hier kommt es in erster Linie auf die eigene Achtsamkeit an. 

In Phishing Mails sind oftmals Warnhinweise versteckt: 

 • Fehler in Grammatik und Rechtschreibung  
Am einfachsten als solche zu Enttarnen sind Phishing E-Mails, die in fehlerhaftem Deutsch geschrieben sind. Wenn sich Rechtschreibfehler in der Nachricht häufen, der Satzbau merkwürdig scheint und auch die Zeichensetzung nicht stimmt, ist das ein deutlicher Hinweis auf kriminellen Hintergrund. Das gilt auch für Fehler in Absenderadresse oder Unternehmensnamen – ein Beispiel wäre „PayBal“ statt „PayPal“. 

Gerade bei Massen-Phishing-Angriffen wurde die ursprüngliche E-Mail meist nicht in der Landessprache verfasst, sondern lediglich mithilfe eines Online-Dienstes übersetzt. Je nach Sprache können daher ebenfalls fehlende Umlaute oder einzelne Buchstaben eines anderen Alphabets Zeichen von Phishing-Hintergrund sein.  

Bei einem allgemein schlechten Schreibstil sollten Nutzer misstrauisch werden und Sorgfalt mit der E-Mail walten lassen. 

• E-Mail in fremder Sprache 
E-Mails in einer anderen Sprache als der Landes- beziehungsweise Muttersprache sind genauso schnell enttarnt. Wenn der Empfänger nicht gerade Kunde von zum Beispiel einer Bank im Ausland ist, handelt es sich um einen Phishing-Versuch.  

• Unpersönliche Anrede 
Banken und andere Geschäftspartner sprechen ihre Kunden in der Regel mit dem Namen an. Steht in der E-Mail stattdessen die unpersönliche Anrede „Sehr geehrte Damen und Herren“ oder „Sehr geehrter Nutzer“ ist das ein Anzeichen für eine Massen-Phishing-Attacke.  

• Dringende Handlungsaufforderung  
Das typische Kennzeichen von Phishing ist die Handlungsaufforderung. Sie gehört in jede Phishing E-Mail. In ihr liegt ein großer Teil der Macht des Social Engineering – der Beeinflussung oder in dem Fall vielmehr Manipulation des Menschen.  

Meistens wird der Handlungsweisung eine Frist gesetzt. Kommt dann noch eine Drohung hinzu, sollte die E-Mail umgehend gelöscht werden. Ein klassisches Beispiel ist die Ankündigung einer Kontensperrung, wenn innerhalb von 48 Stunden keine Verifizierung über den beigefügten Link oder ein Formular erfolgt.  

Solche Drohungen schüren in vielen Menschen zunächst einmal Panik, weshalb sie eher dazu geneigt sind, auf den Link zu klicken und zumindest einmal nachzusehen, was es damit auf sich hat.  

 • Abfrage vertraulicher Daten  
Die Handlungsaufforderung bezieht sich immer auf das Eingeben vertraulicher Daten. Nutzer sollen ihre Konten verifizieren oder einen Sicherheitscheck durchführen, indem sie ihren Anmeldenamen sowie ihr Passwort eingeben. Oder aber vermeintliche Geldinstitute fragen PIN und TAN ab.  

Banken, Online-Dienstleister etc. fordern niemals sensible Daten per E-Mail an! Dies gehört zu den wesentlichen Sicherheitsregeln. Wichtige Informationen werden nur postalisch zugestellt.  

 • Aufforderung zur Öffnung von Dateien, Links oder angehängten Formularen  
Um an die gewünschten Daten zu gelangen, sollen Nutzer einen Link oder eine Datei öffnen. Letztere wird entweder über Links heruntergeladen oder ist per Anhang beigefügt. Echte E-Mails von Banken und dergleichen haben in der Regel keinen Anhang. Hier ist also Vorsicht geboten. Eine Datei zum Download enthält oftmals Schadsoftware wie einen Virus oder ein trojanisches Pferd. Ebenfalls verbreitet kommen angehängte Formulare zum Ausfüllen zum Einsatz. Auch das ist ein deutliches Zeichen für Betrugsabsichten.  

 • Ungewöhnliche Zahlen- oder Buchstabenkombination in Mailadresse und Link 
Weisen die Absenderadresse oder die Links in der E-Mail ungewöhnliche Zeichen-, Zahlen- oder Buchstabenkombinationen auf, kann das darauf hindeuten, dass der Absender nicht vertrauenswürdig ist und der Link mittels eines Phishing-Programms erstellt wurde.  

 • E-Mails von fremden Unternehmen etc.  
Ganz klar, wer E-Mails von fremden Banken oder Unternehmen erhält, bei der er nicht Kunde ist, sollte die Mails umgehend in den Papierkorb schieben.  

 • Passt der Link zur URL?  
Eine Möglichkeit zu prüfen, ob ein Link vertrauenswürdig ist, stellt das sogenannte Mouseover dar. Hierbei fährt man mit der Maus über den Link, ohne ihn anzuklicken. Dabei erscheint auf dem Bildschirm die genaue Webadresse und Nutzer sehen, wo der Link eigentlich hinführt. So sieht man oft auf einen Blick, dass die E-Mail nicht vom vermeintlichen Absender stammt und auf eine nicht vertrauenswürdige Seite führt.  

Weitere Schutzmaßnahmen

All diese Hinweise muss in erster Linie der Mensch identifizieren und einordnen. Er bekommt Unterstützung von Antiviren-Programmen und Spam-Filtern. Spam-Filter arbeiten mit einer sogenannten Blacklist. Auf ihr stehen alle Spam-Merkmale wie zum Beispiel bestimmte Schlagworte oder bekannte Spam-IP-Adressen. Werden diese in einer Mail entdeckt, wandert sie in den Spam-Ordner. Das ist allerdings nicht immer zu 100% sicher. Manchmal landen echte und wichtige E-Mails versehentlich im Spam und bleiben dort eine Weile unentdeckt. Andersrum schaffen es einige Phishing E-Mails in den Posteingang. 

Viele setzen auf eine Multi-Faktor-Authentifizierung (MFA). Eine MFA nutzt zwei oder mehr Berechtigungsnachweise, um den Zugang zu einem Account zu gewähren. Zwar erschwert die MFA das Phishing, doch unmöglich macht sie es nicht. Cyber-Kriminelle entwickeln immer neue Methoden, eine MFA zu umgehen oder auszutricksen. Häufig versuchen sie es mit einem MFA-Fatigue-Angriff. Dabei fordern sie die Authentifizierung wiederholt an, bis die Zielperson genervt nachgibt und bestätigt. Am meisten Erfolg hat der MFA-Fatigue-Angriff am Wochenende, abends oder nachts.  

Erst kürzlich veröffentlichte Heise einen Artikel über das erfolgreiche Experiment einer Phishing-Attacke trotz Zwei-Faktor-Authentifizierung.  

Phishing und KI  

Menschliche Sorgfalt beim Umgang mit E-Mails zusammen mit diversen Programmen schützt also vor Phishing. Dank des enormen Fortschritts von Künstlicher Intelligenz (KI) wird das aber nicht mehr lange reichen.  

In einer Security-Konferenz in Los Angeles 2021 stellte Singapurs Government Technology Agency in einer Studie mit 200 Teilnehmenden fest, dass KI bessere Phishing E-Mails verfasste als Menschen. Von KI geschriebene Nachrichten wurden häufiger angeklickt und waren sauberer formuliert.  

Nehmen wir als Beispiel ChatGPT. Der Chatbot ist in der Lage, sehr realistische Nachrichten zu verfassen und das in jeder Sprache. Zwar haben die Macher einige strenge Regeln eingebaut, um beispielsweise hasserfüllte Inhalte und den Missbrauch für illegale Machenschaften zu verhindern, doch bei einer unverfänglichen Anfrage wie „Schreibe eine E-Mail, die über Änderungen am Konto informiert“ wird der Chatbot nicht skeptisch. Die KI von ChatGPT kann außerdem ganze Websites oder Formulare programmieren, um potenzielle Opfer in die Falle zu locken.  

Somit ist es nicht nur zeitaufwendig, E-Mails genau auf Phishing zu untersuchen, es wird auch immer schwieriger. Manchmal hilft es, die Absenderadresse mit der E-Mail auf der offiziellen Website zu vergleichen. Im Zweifelsfall verschafft nur ein Telefonanruf beim vermeintlichen Absender Klarheit.  

Eine Lösung findet sich in InvisID, einem verhaltensbasierten Sicherheitsprogramm, das Nutzer anhand ihres Tippverhaltens und ihrer Mausbewegungen identifiziert und damit ihre vermeintlichen E-Mails verifiziert. Das System sorgt für kontinuierliche Authentifizierung im Hintergrund und garantiert damit höhere Cyber-Security – ganz ohne Mehraufwand.