Phishing: 7 typische Fallen – und wie du sie erkennst

Phishing ist keine „Hacker-machen-Magie“-Sache. Es sind meistens ganz normale Mails, SMS oder Anrufe, die dich zu einem Klick, Login oder einer Zahlung bringen sollen. Oft so gut gemacht, dass man kurz schluckt – und genau dann passiert’s.

Hier sind 7 typische Phishing-Fallen, die du im KMU-Alltag immer wieder siehst – und woran du sie schnell erkennst.

1) „Dein Passwort läuft ab – jetzt sofort handeln“

So klingt’s: „Dein Microsoft-/Mail-Konto wird gesperrt. Bestätige dein Passwort.“
Woran du’s erkennst:

• Druck („sofort“, „letzte Chance“)
• Link führt auf eine Login-Seite, die fast echt aussieht
• Absender passt nicht 100% zur Firma (kleine Abweichungen)

So reagierst du:

• Nicht auf den Link klicken
• Stattdessen direkt über deine bekannte Adresse (z.B. office.com) einloggen oder IT anrufen

2) „Rechnung / Offerte / Mahnung im Anhang“

So klingt’s: „Bitte Rechnung prüfen. Anbei PDF.“
Woran du’s erkennst:

• Du erwartest keine Rechnung von diesem Absender
• Dateiname ist generisch („Invoice_2026.pdf“, „Scan.pdf“)
• Oft ist es gar kein PDF, sondern z.B. „.html“, „.zip“ oder „.exe“

So reagierst du:

• Anhang nicht öffnen
• Absender über bekannte Nummer/Adresse verifizieren (nicht über die Mail antworten)

3) „Chef-Mail“: Überweisung oder Gutscheine

So klingt’s: „Ich bin im Termin. Bitte überweise sofort 9’800 CHF“ oder „Kauf schnell 10 Apple-Gutscheine“.
Woran du’s erkennst:

• Ungewöhnlicher Auftrag, ungewöhnliche Eile
• Bitte um Geheimhaltung („sag niemandem was“)
• Absenderadresse ist ähnlich, aber falsch

So reagierst du:

• Immer Rückruf oder 4-Augen-Prinzip bei Zahlungen
• Interne Regel: Geld/ Gutscheine nie nur per Mail freigeben

4) „Paket / Post / Zoll: Zustellung fehlgeschlagen“

So klingt’s: „Paket kann nicht zugestellt werden. Bitte 2.90 CHF zahlen.“
Woran du’s erkennst:

• Du hast nichts bestellt oder die Mail kommt „random“
• Link führt auf eine Zahlungsseite
• Sprache/Design wirkt „fast“ richtig, aber nicht ganz

So reagierst du:

• Sendungen nur über die offizielle Website/ App prüfen
• Keine Kartendaten über Mail-Links eingeben

5) Gefälschte Login-Seiten (Microsoft 365, SharePoint, Dropbox)

So klingt’s: „Du hast ein Dokument erhalten – melde dich an.“
Woran du’s erkennst:

• Link sieht komisch aus (lange URL, fremde Domain)
• Login-Seite fragt „ungewöhnlich viel“ oder wirkt leicht unscharf
• Du wirst nach dem Login nochmal nach Passwort gefragt

So reagierst du:

• Linkadresse prüfen (Mouse-over am PC)
• Wenn unsicher: Mail weiterleiten an IT / Security-Kontakt

MFA schützt, aber ersetzt nicht das Denken (Phisher nutzen auch „MFA-Fatigue“, siehe Punkt 7)

6) „Wir haben dein Konto gehackt“ (Erpressungs-Mail)

So klingt’s: „Wir haben dich aufgenommen. Zahle in Bitcoin.“
Woran du’s erkennst:

• Viel Drama, wenig konkrete Details
• Oft ist es eine Massenmail mit alten, geleakten Passwörtern

So reagierst du:

• Nicht zahlen
• Passwort ändern (falls es wirklich mal irgendwo gleich war)
• IT prüfen lassen, ob es echte Hinweise gibt

7) MFA-Phishing & „MFA-Müdigkeit“ (Push-Spam)

So läuft’s: Du bekommst plötzlich viele Login-Bestätigungen aufs Handy („Genehmigen?“).
Woran du’s erkennst:

• Du hast dich gar nicht eingeloggt
• Es kommen mehrere Push-Anfragen hintereinander

So reagierst du:

• Immer „Ablehnen“
• Sofort Passwort ändern und IT informieren
• Optional: „Nummern-Matching“ oder strengere MFA-Regeln aktivieren

Der 30-Sekunden-Check: bevor du klickst

Wenn du nur eine Routine mitnimmst, dann diese:

• Erwarte ich das wirklich?
• Passt der Absender zu 100%? (nicht nur der Name)
• Wohin führt der Link? (Domain prüfen)
• Wird Druck gemacht? („sofort“, „dringend“, „geheim“)
• Im Zweifel: verifizieren. Rückruf über bekannte Nummer.
• Wenn du reingefallen bist: sofort richtig handeln

Passiert den Besten. Wichtig ist, schnell zu reagieren:

• Internet/WLAN nicht zwingend trennen – aber IT sofort informieren
• Passwort ändern (von einem sauberen Gerät)
• MFA-Pushs ablehnen
• Wenn Zahlung: Bank sofort kontaktieren
• Mail in Quarantäne / bei allen löschen lassen

Fazit

Phishing wird immer besser – aber du musst nicht jede Masche kennen. Wenn du Druck, ungewöhnliche Anfrage und komische Links ernst nimmst und bei Zahlungen ein 4-Augen-Prinzip hast, bist du schon sehr gut geschützt.