V-Hub by Vodafone Business Security SicherheitWas ist Phishing? So vermeiden Sie digitale Betrugsversuche

Mit Phishing-Mails wollen Kriminelle persönliche Informationen abgreifen

Security

Was ist Phishing?

So vermeiden Sie digitale Betrugsversuche

Jetzt vor Phishing schützen

Clemens Förster

11.03.2026

16 Min.

Unternehmen weltweit sehen Cyberangriffe laut dem Allianz Risk Barometer 2025 nach wie vor als das größte Geschäftsrisiko. Viele dieser Attacken beginnen mit dem sogenannten Phishing: Kriminelle „ködern“ ihre Opfer über gefälschte E-Mails, um an sensible Daten zu gelangen. Die Methoden sind dabei äußerst raffiniert – oft erkennen Betroffene den Betrug zu spät und der Schaden für das Unternehmen ist bereits entstanden. In diesem Beitrag erfahren Sie, wie Phishing funktioniert und wie Sie sich und Ihre Belegschaft effektiv davor schützen.

Inhaltsverzeichnis

Phishing: Das Wichtigste in Kürze Was ist Phishing?Folgen von Phishing-Attacken auf Unternehmen Wie funktioniert ein Phishing-Angriff?

Phishing: Das Wichtigste in Kürze

Phishing dient dazu, vertrauliche Daten zu stehlen oder Mitarbeitende zu schädigenden Handlungen zu verleiten.
Die Angriffe basieren häufig auf Social Engineering und nutzen gezielt Vertrauen und Zeitdruck aus.
Phishing erfolgt über verschiedene Kanäle – etwa per E-Mail, SMS, Messenger oder Telefon.
Verdächtige Betreffzeilen, ungewöhnliche Absenderadressen und Druck zur sofortigen Reaktion sind typische Warnsignale.
Erfolgreiche Angriffe können zu erheblichen finanziellen Schäden und Reputationsverlust führen.

Microsoft Defender for Business

Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.

Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

Schutz vor Ransomware, Phishing und anderen Bedrohungen
In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten

Jetzt wirksam schützen

Was ist Phishing?

Der Unterschied zwischen Phishing- und Spam-Mails

Spam-Nachrichten sind massenhaft versendete, unerwünschte Botschaften, meist per E-Mail oder Messenger. Ziel ist oft, Empfänger:innen auf dubiose Webseiten zu locken oder sie zu kostenpflichtigen Abos zu verleiten. Lange galt Spam als lästig, aber harmlos – im Gegensatz zu Phishing, das auf Datendiebstahl und finanzielle Schäden abzielt. Doch die Grenzen verschwimmen: Häufig sind Phishing-Mails Teil großer Spam-Kampagnen. Kriminelle versenden etwa gefälschte E-Mails im Namen von Banken an erbeutete Adressen, oft mit Links zu Fake-Webseiten oder Eingabemasken für vertrauliche Daten.

Der Begriff „Phishing“ ist ein sogenanntes Kofferwort, zusammengesetzt aus den Begriffen „Passwort“ und dem englischen Wort für Angeln („fishing“). Die meisten Phishing-Attacken zielen also auf die Preisgabe von Passwörtern ab. Sie nutzen meist entsprechend präparierte E-Mails und eventuell zugehörige Webseiten.

Die in der Regel massenhaft versendeten Phishing-E-Mails fordern Sie häufig dazu auf, Passwörter oder andere vertrauliche Daten in eine Maske einzugeben. Diese Daten landen dann bei Kriminellen, die sie etwa im Darknet verkaufen oder direkt für eigene Zwecke nutzen (beispielsweise für Identitätsdiebstahl). Phishing kann jedoch auch über andere Kanäle erfolgen, dazu lesen Sie im weiteren Verlauf dieses Artikels mehr.

Andere Arten von Phishing-Angriffen erfolgen über E-Mail-Anhänge, die Schadsoftware auf Ihren Rechner einschleusen können, wenn Sie diese anklicken. Manchmal enthalten Phishing-Mails auch Links zu einer Website, auf der Sie vermeintlich seriöse Apps herunterladen können. Kriminelle haben diese Apps jedoch mit Schadsoftware versehen.

Phishing ist aufgrund immer besserer Spamfilter mittlerweile oft Bestandteil einer sogenannten Social-Engineering-Strategie: Dabei werden bestimmte Personen gezielt angesprochen, anstatt massenhaft E-Mails zu versenden.Im Fachjargon heißt diese Methode Spear Phishing.

Folgen von Phishing-Attacken auf Unternehmen

Immer noch sind das Thema Cyberkriminalität und speziell dessen Teilbereich Phishing nicht in allen Führungsetagen angekommen. Dabei sollte die Sensibilisierung für diesen Themenkomplex in allen Unternehmen zur Chefsache werden – auch in Ihrem. Denn längst werden nicht mehr nur große Konzerne Ziele und Opfer von Phishing-Angriffen. Auch mittlere und kleine Unternehmen sind in den Fokus von Kriminellen gerückt. Die Folgen erfolgreicher Phishing-Angriffe für Unternehmen sind oftmals gravierend:

Datendiebstahl: Wenn ein Angriff erfolgreich ist, können Kriminelle erbeutete Daten missbrauchen – sei es für Identitätsdiebstahl, finanzielle Betrügereien oder andere kriminelle Aktivitäten. Derartige Datenpannen können auch rechtlich erhebliche Konsequenzen nach sich ziehen.
Rufschädigung: Ein erfolgreicher Phishing-Angriff kann den Ruf Ihres Unternehmens ernsthaft schädigen. Kriminelle könnten beispielsweise über gefälschte E-Mails oder Social-Media-Profile betrügerische Aktivitäten durchführen, für die Sie bzw. Ihr Unternehmen verantwortlich gemacht werden. Dies kann zu einem Vertrauensverlust bei Kund:innen, Geschäftspartner:innen oder Mitarbeiter:innen führen und langfristige Auswirkungen auf das Image haben.
Finanzieller Schaden: Durch Phishing-Mails können Kriminelle Zugriff auf Bankkonten, Investitionen oder andere finanzielle Ressourcen erlangen. Dies kann zu erheblichen finanziellen Verlusten führen, da die Betrüger:innen Ihr Geld stehlen oder Ihre Finanzinformationen für betrügerische Zwecke nutzen.

Da viele Phishing-Angriffe heute über mobile Geräte wie Smartphones und Tablets erfolgen, spielt der Schutz mobiler Endgeräte eine zentrale Rolle in Ihrer Sicherheitsstrategie.

Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout for Small Business

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Integrieren Sie Lookout in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-out in Ihrer mobilen Flotte.

Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

Lookout: Wirksamer Geräteschutz

Wie funktioniert ein Phishing-Angriff?

Ein typischer Phishing-Angriff auf Personen in Ihrem Unternehmen könnte beispielsweise folgendermaßen ablaufen:

1. Anruf

Ein:e Anrufer:in gibt sich als Mitarbeiter:in einer Bank oder eines Telekommunikationsunternehmens aus und fordert Sie zur Preisgabe von Anmelde- oder Kontoinformationen auf. Häufig nennen die Kriminellen bestimmte Internetseiten, die Sie oder Ihre Mitarbeiter:innen umgehend besuchen sollen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet etwa von einem angeblichen Systemadministrator, der Mitarbeitende eines Unternehmens anruft. Damit die Angerufenen ein angebliches Problem mit der EDV-Technik beheben können, sollen sie auf einen bestimmten Link klicken.

2. E-Mail

Nach diesem Anruf erhalten die Opfer eine E-Mail mit dem angekündigten Link. Klicken sie darauf, nimmt das Unheil seinen Lauf: In vielen Fällen lauern hinter diesen Links in Phishing-Mails korrumpierte Webseiten. Diese installieren beim Aufrufen eine Schadsoftware auf dem Computer des Opfers.

3. Schadsoftware

Diese Schadsoftware kann Ihr Unternehmen auf vielfältige Art schädigen: Sogenannte Erpresser-Trojaner (Ransomware) verschlüsseln beispielsweise Ihre Unternehmensdaten. Die Kriminellen fordern ein Lösegeld und behaupten, nach Erhalt der Geldsumme die Daten wieder zu entschlüsseln.

Um solche Angriffe zu verhindern, können technische Schutzlösungen helfen: Moderne Endpoint-Sicherheitslösungen wie Microsoft Defender for Business erkennen verdächtige Aktivitäten auf Unternehmensgeräten frühzeitig. Sie können Schadsoftware blockieren, kompromittierte Geräte isolieren und so verhindern, dass sich ein Angriff weiter im Netzwerk ausbreitet.

4. Datenverlust

Durch den zeitweisen oder endgültigen Verlust wichtiger Unternehmensdaten wird Ihr operatives Geschäft geschädigt. Das Wiederherstellen beschädigter Daten dauert und kostet viel Geld. Kommt es darüber hinaus zu einem Datendiebstahl, kann Ihr Unternehmen das Vertrauen der Kund:innen verlieren.

Grafische Darstellung einer typischen Phishing-Angriffskette, inklusive Ansatzpunkt von Microsoft Defender for Business.

Security-Tools wie Microsoft Defender for Business können die Phishing-Angriffskette wirkungsvoll durchbrechen.

Obwohl die meisten Unternehmen sich der Gefahr bewusst sind, die von Phishing-Angriffen ausgeht, kommt es immer wieder zu erfolgreichen Attacken. Der Grund: Die Opfer handeln in dem Glauben, das Richtige zu tun.

Schließlich sehen die Phishing-E-Mails häufig täuschend echt aus und verwenden die Original-Firmenlogos seriöser Unternehmen. Kriminelle Anrufer:innen agieren häufig sehr sprachgewandt und täuschen ihr Opfer in einer realen Gesprächssituation, bei der sie meist subtil Druck ausüben. Auch soziale Netzwerke bieten Kriminellen gute Möglichkeiten, mit potenziellen Opfern in Kontakt zu treten. Dort können sie außerdem im Voraus viele Informationen über Namen und Strukturen in einem Unternehmen sammeln.

Welche Arten von Phishing gibt es?

In den vergangenen Jahren haben Cyberkriminelle ihr Vorgehen immer weiter professionalisiert. Viele Hackergruppen bieten ihre Dienste als sogenannte Ransomware-as-a-Service beispielsweise im Darknet an.

Neben dem Phishing per E-Mail haben sich Kriminelle immer neue Kanäle gesucht, über die sie potenzielle Opfer erreichen können. Die wichtigsten sind:

Smishing

Das sogenannte Smishing ist Phishing mithilfe von SMS. Kriminelle versenden eine SMS an zuvor erbeutete Mobilfunknummern. Die Empfänger:innen sollen auf einen Link klicken oder eine bestimmte App herunterladen. Wenn Sie oder Ihre Mitarbeitenden dieser Aufforderung folgen, laden Sie unter Umständen eine Schadsoftware auf das Handy. Viele dieser Programme leiten dann beispielsweise unbemerkt persönliche Daten aus dem Adressbuch an die Kriminellen weiter.

Social-Media-Phishing

Kriminelle kommen an Zugangsdaten zu Social-Media-Konten und verschaffen sich Zugang zu den Freundeslisten der Kontobesitzer:innen. Dann senden sie Links zu einer von ihnen erstellten Phishing-Webseite an sämtliche Personen in der Kontaktliste, oft getarnt als persönliche Nachricht des ursprünglichen Opfers.

Vishing

„Vishing“ ist die Abkürzung für „Voice Phishing“. Kriminelle rufen Sie an und geben sich beispielsweise als Mitarbeiter:innen eines Telekommunikationsunternehmens aus. Sie versprechen am Telefon etwa bessere Bedingungen bei einem Mobilfunkvertrag. Willigen Sie ein, fordern die Anrufer:innen Sie zur Herausgabe persönlicher Daten auf und missbrauchen diese.

Website-Phishing

Phishing-Websites sind häufig gefälschte Kopien von seriösen und weithin bekannten Webseiten wie Amazon, eBay oder PayPal. Oft sind sie den Originalen sehr ähnlich. Doch die Websites stammen von Cyberkriminellen, die darauf warten, dass arglose Nutzer:innen ihre Zugangsdaten in die Anmeldemaske eingeben. Die Angreifenden lesen diese Daten aus und missbrauchen sie anschließend – beispielsweise zum Einkauf teurer Waren bei Online-Shoppingportalen auf Kosten der eigentlichen Kontoinhaber:innen. Man bezeichnet dieses Vorgehen auch als „Pharming“, ein Begriff, der sich aus den Wörtern „Phishing“ und „Farming“ (deutsch: Ackerbau) zusammensetzt.

Schäden durch Cyberangriffe auf deutsche Unternehmen in den Jahren 2024 und 2025

Der Anteil von Schäden durch Phishing-Angriffe ist nach einer Befragung von Bitkom unter deutschen Unternehmen zwar im Jahr 2025 leicht zurückgegangen, dennoch ist diese Angriffsart bei 22 % aller befragten Firmen erfolgreich gewesen.

Die Phishing-Strategien von Kriminellen

Über die oben genannten Phishing-Kanäle erreichen Cyberkriminelle Sie oder Mitarbeitende Ihres Unternehmens. Dort verleiten sie Sie mit einer Vielzahl unterschiedlicher Methoden zu geschäftsschädigenden Handlungen. Im Folgenden stellen wir Ihnen exemplarisch sieben Phishing-Strategien vor.

CEO-Phishing

Kriminelle gaukeln Ihnen in E-Mails oder Kurzmitteilungen vor, sie seien das Vorstandsmitglied eines Unternehmens. Häufig haben die Angreifenden zuvor mithilfe eines Whaling-Angriffs (siehe unten) Zugangsdaten von hochrangigen Angestellten Ihres Unternehmens erbeutet.

Cloud-Phishing

Auch beliebte Cloud-Dienste sind häufig Phishing-Ziele. Kriminelle erstellen gefälschte Versionen des Anmeldebildschirms und stehlen dann Ihre Anmeldedaten. Mit diesen Informationen loggen sich die Cyberkriminellen beispielsweise in die Cloud-Konten Ihres Unternehmens ein und stehlen weitere Daten.

Deceptive Phishing

Bei dieser Art der Irreführung (englisch: Deception) geben sich Kriminelle als bestimmte Unternehmen oder Personen aus, um Ihr Vertrauen zu gewinnen. Häufig wollen die Angreifer:innen Sie überreden, eine kompromittierte Website zu besuchen, um dort vertrauliche Daten einzugeben.

Klon-Phishing

Angreifende klonen eine echte E-Mail und leiten sie an alle früheren Empfänger:innen weiter. Doch vorher haben die Angreifenden die E-Mail manipuliert und Links ausgetauscht – gegen Links, die auf gefälschte Phishing-Webseiten führen.

Spear Phishing

Das Spear Phishing hat es gezielt auf einzelne Personen abgesehen. Cyberkriminelle suchen mittlerweile beispielsweise verstärkt in Online-Karrierenetzwerken nach neuen Opfern. Denn hier sind alle nötigen Informationen über den Status einer Person innerhalb eines Unternehmens zu finden.

Whaling

Beim Whaling (deutsch: Walfang) suchen sich Angreifende die sprichwörtlichen „dicken Fische“ innerhalb Ihrer Unternehmensstruktur aus. Die Kriminellen sprechen Führungskräfte und Vorstandsmitglieder dann direkt mit Phishing-E-Mails oder SMS an.

So erkennen Sie eine Phishing-E-Mail

Das Aussehen von Phishing-E-Mails variiert stark. Dennoch können Sie anhand einiger Besonderheiten erkennen, ob eventuell Kriminelle eine E-Mail erstellt oder manipuliert haben.

Adressierung: Viele Phishing-Angriffe sind breit gefächert und daher nicht mit den Namen einzelner Personen versehen. Häufig findet sich darin nur eine vage Begrüßung wie etwa Ihre E-Mail-Adresse anstelle einer direkten Anrede mit Namen (Beispiel: „Sehr geehrte musterperson@musterfirma.de“).

Druck: Phishing-Betrüger:innen wollen Sie häufig unter Druck setzen. Lassen Sie sich keine Angst machen und ignorieren Sie etwaige „einmalige Angebote“. Seriöse Unternehmen und Institutionen bieten Ihnen immer zeitlichen Spielraum oder Möglichkeiten zur Nachfrage.

Links: Seien Sie bei abgekürzten Links besonders vorsichtig. Kriminelle verschleiern die URL einer Phishing-Webseite häufig mithilfe von Kurzlinks, die nicht den Namen des Unternehmens beinhalten.

Rechtschreibfehler: Banken und Unternehmen versenden gewöhnlich in tadelloser Sprache verfasste E-Mails an ihre Kund:innen. Gibt es dagegen zahlreiche Grammatik- und Rechtschreibfehler sowie inhaltliche Auffälligkeiten, ist die E-Mail ziemlich sicher gefälscht. Aber Vorsicht: Durch den Einsatz von künstlicher Intelligenz taucht dieses Merkmal immer seltener auf.

Anhänge: Nicht angeforderte Anhänge in E-Mails sollten Sie niemals einfach anklicken. Teilweise verbirgt sich Malware hinter scheinbaren Text- oder Bilddateien. Am besten löschen Sie diese Mails umgehend.

Aufruf zur Datenpreisgabe: Wenn eine E-Mail Sie zur Herausgabe von persönlichen Daten oder Passwörtern auffordert, sollten Sie misstrauisch werden. Gleiches gilt bei betrügerischen Anrufen.

Unbekanntes Unternehmen: Phishing-Betrüger:innen senden ihre E-Mails wahllos an möglichst viele Empfänger:innen. Wenn Sie eine E-Mail von einer Firma erhalten, die Sie nicht kennen und deren Dienste Sie nicht nutzen, handelt es sich fast immer um Phishing.

Vorsicht bei verdächtigen Betreffzeilen

Häufig versehen Kriminelle die Betreffzeilen ihrer Phishing-Mails mit alarmierenden und erschreckenden Botschaften, die Sie zu einer sofortigen (und unbedachten) Handlung verführen sollen. Darunter gibt es einige wiederkehrende Themen:

Falsche Rechnung: Die Betreffzeile fordert Sie auf, auf einen Link zu klicken. Angeblich führt dieser Link zur Seite eines Online-Versandhandels. Dort habe es ein Problem mit der Abrechnung gegeben, das Sie klären sollen.
Das Geldgeschenk: Eine Bank, eine Privatperson oder eine Lotteriegesellschaft möchte Ihnen einen Geldbetrag schenken. Um ihn zu erhalten, müssen Sie auf einer Webseite vertrauliche Daten eingeben oder auf einen Link klicken. Die Webseite stammt von den Angreifenden, und Links führen häufig zu Malware-Downloads.
Der Gewinn: In einer E-Mail heißt es, dass Sie per Zufallsgenerator etwas gewonnen haben. Ein Klick auf den dort angegebenen Link führt dann zu einer gefälschten Webseite oder gleich zum Download von Schadsoftware.
Die Drohung: Die Phishing-Mail suggeriert, die Regierung eines bestimmten Staates oder eine bestimmte Behörde wolle Sie strafrechtlich belangen. Über eine Eingabemaske sollen Sie vertrauliche Daten eingeben. Ansonsten drohe Ihnen eine Gefängnis- oder empfindliche Geldstrafe.

Einzelne Warnhinweise zu kennen, ist ein wichtiger erster Schritt. Entscheidend ist jedoch, Phishing systematisch vorzubeugen – organisatorisch, technisch und durch regelmäßige Sensibilisierung Ihrer Belegschaft.

Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

Jetzt kostenlos downloaden

Beispiel für eine Phishing-Mail

Hier finden Sie ein typisches Beispiel für eine Phishing-E-Mail, wie sie jederzeit in Ihrem Postfach und den E-Mail-Accounts Ihrer Mitarbeitenden landen kann. Moderne und gut konfigurierte Spamfilter sorgen aber heutzutage dafür, dass nur noch ein Bruchteil der Spam- und Phishing-Mails im normalen Posteingang landet. Doch verlassen Sie sich nicht darauf, sondern bewahren Sie sich stets den kritischen Blick auf die genannten Hinweise, die eine E-Mail als Phishing-Versuch entlarven.

Betreff: Dringende Aktualisierung Ihres Firmenkontos erforderlich

Von: IT-Support <support@unternehmen-secure.com>

An: erikamustermann@unternehmen.de

Sehr geehrte/r Mitarbeiter/in,

wir haben ungewöhnliche Aktivitäten in Ihrem Firmenkonto festgestellt. Um die Sicherheit Ihres Zugangs zu gewährleisten, müssen Sie Ihre Anmeldedaten sofort bestätigen.

Bitte klicken Sie auf den folgenden Link, um die Überprüfung abzuschließen:

Jetzt Konto verifizieren

Wenn Sie die Aktualisierung nicht innerhalb von 24 Stunden durchführen, wird Ihr Zugang aus Sicherheitsgründen vorübergehend gesperrt.

Vielen Dank für Ihre schnelle Reaktion.

Ihr IT-Support-Team

So erkennen Sie diesen Phishing-Versuch: Hier finden Sie bereits viele typische Merkmale einer professionell verfassten Phishing-Mail, die sich vor allem an Beschäftigte in Unternehmen richtet. Diese E-Mail weist im Unterschied zu vielen anderen Phishing-Versuchen eine tadellose Rechtschreibung und professionelle Ansprache auf, sodass ein zweiter Blick notwendig ist. Dennoch können Sie den Betrugsversuch recht leicht anhand der folgenden Merkmale erkennen:

Betreff: suggeriert Dringlichkeit, spielt mit Angst, da es vermeintlich um Ihr Firmenkonto geht; baut Druck auf, in geschäftlicher Hinsicht keinen Fehler zu machen oder ein Sicherheitsrisiko einzugehen
Absenderadresse: allgemein gehaltene Support-Adresse, die vertrauenswürdig wirken soll, aber nicht zur IT-Abteilung Ihres Unternehmens oder Ihrem externen Dienstleister passt
Anrede: allgemein anstatt persönlich gehalten
Inhalt: Dringlichkeit, Angsterzeugung („sofort bestätigen“, „Sicherheitsgründe“, „jetzt verifizieren“)
Link: führt in der Regel zu einer gefälschten Domain oder lädt direkt Schadsoftware herunter
Ansprechperson: wird nicht namentlich genannt, sondern generisch als „IT-Support-Team“ bezeichnet

Haben Sie oder jemand aus Ihrer Firma trotz aller Warnsignale versehentlich auf einen Phishing-Link geklickt? Im verlinkten Artikel finden Sie eine Anleitung, was Sie dann unbedingt tun sollten, um Schaden von Ihrem Unternehmen abzuwenden. Im Ernstfall kann externe Unterstützung helfen, Schäden schnell zu begrenzen.

Eine junge Frau betrachtet lächelnd ein Tablet.

Vodafone Business Security Services

Unsere Expert:innen überwachen Ihre Sicherheit. Und sie übernehmen das Management Ihrer Vodafone Security-Lösung: Von der Ersteinrichtung bis zum Betrieb und der Wartung unterstützen wir Sie.

Rund um die Uhr
Immer aktuell
Alles auf einen Blick via Cyber Hub

Jetzt hier informieren

So erkennen Sie gefälschte Webseiten

Immer wieder gelingt es Cyberkriminellen, ihre Opfer auf von ihnen gefälschte Internet-Seiten zu locken. Dort sollen die Betroffenen persönliche Daten eingeben. Darunter fallen etwa Bankdaten, Informationen zu Kreditkarten, Passwörter, Telefonnummern und Privatadressen.

Es gibt jedoch einige Punkte, an denen Sie häufig erkennen können, ob Angreifende Sie mit einer gefälschten Webseite aufs sprichwörtliche Glatteis führen wollen. Zwar muss nicht jeder Hinweis ein Zeichen für eine gefälschte Internet-Seite sein, aber es lohnt sich, aufmerksam zu bleiben. Folgende Punkte können Anzeichen sein, dass Angreifende Sie auf eine falsche Internet-Seite gelockt haben:

Fehler in der URL

Die Adressen kompromittierter bzw. gefälschter Webseiten enthalten häufig veränderte Schreibweisen des Originalnamens. Oft sind sie gut getarnt und erst auf den zweiten Blick sichtbar. Ein Beispiel wäre „paypall.com“ statt „paypal.com“. Häufig ersetzen die Kriminellen auch Buchstaben durch Zahlen, etwa „Amaz0n“ statt „Amazon“.

Qualität der Inhalte mangelhaft

Die Original-Webseite ist in den meisten Fällen frei von Grammatik-, Interpunktions- und Rechtschreibfehlern. Viele gefälschte Websites enthalten jedoch Fehler, Bilder in schlechter Auflösung oder in merkwürdiger Anordnung. Teilweise fehlen auf Phishing-Seiten das Impressum und andere Kontaktmöglichkeiten zu den Betreibern.

Abfrage persönlicher Daten

Manchmal erscheint nach dem Anklicken eines Links anstatt einer Webseite schlicht ein Pop-up-Fenster mit einer Aufforderung. Hier sollen Sie sofort Ihre persönlichen Daten wie Telefonnummer, E-Mail-Adresse, Kennwort, Wohnanschrift, Bankverbindung, Ausweisnummer und so weiter eingeben.

Vermeintliche Sicherheit

Fragt Sie eine potenziell verdächtige Webseite nach einem Passwort, geben Sie einfach ein falsches ein. Gewährt Ihnen die Webseite trotzdem Zutritt (bzw. bestätigt Ihr Log-in), handelt es sich höchstwahrscheinlich um eine gefälschte Internet-Seite.

Zahlungsmethoden

Wenn eine vorgeblich kommerzielle Webseite nur direkte Überweisungen als Zahlungsmethode akzeptiert, aber nicht Kreditkarten, Debitkarten oder etwa PayPal, sollten Sie vorsichtig sein. Dies bedeutet, dass keine Bank für diese Seite eine Kreditkartenzahlung oder Vergleichbares eingerichtet hat.

Doch selbst bei größter Aufmerksamkeit lassen sich professionell gestaltete Phishing-Webseiten nicht immer eindeutig erkennen. Deshalb sollte neben der Sensibilisierung Ihrer Mitarbeitenden auch der technische Schutz von Firmengeräten Teil Ihrer Sicherheitsstrategie sein.

Microsoft Defender for Business

Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

Schutz vor Ransomware, Phishing und anderen Bedrohungen
In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten

Jetzt wirksam schützen

Phishing-Verdacht: So verhalten Sie sich richtig

Wenn Sie oder Ihre Belegschaft Verdacht schöpfen, dass E-Mails oder Anrufe Teil einer Phishing-Attacke sein könnten, sollten Sie unter keinen Umständen verdächtige E-Mails oder andere Nachrichten öffnen. Halten Sie sich an folgende Regeln:

Keine Links anklicken: Haben Sie eine E-Mail bereits geöffnet, sollten Sie unter keinen Umständen Links darin anklicken. Stattdessen: Versuchen Sie, die im E-Mail-Text genannte Seite über die Startseite der betreffenden Organisation zu erreichen. Auf keinen Fall sollten Sie den angegebenen Link in die Adresszeile des Browsers kopieren.
Telefonisch Rücksprache halten: Verlangt eine E-Mail vertrauliche Daten, fragen Sie am besten telefonisch beim genannten Absender nach.
Keine Anhänge öffnen: E-Mail-Anhänge aus unbekannten Quellen sollten Sie nicht öffnen.
Virenscanner aktuell halten: Achten Sie stets darauf, dass die Antivirus-Software Ihres Unternehmens aktuell ist und dass die Firewall aktiv ist.
Verantwortliche benennen: In den IT-Sicherheitsrichtlinien Ihres Unternehmens sollte aufgeführt sein, an wen sich Ihre Mitarbeitenden umgehend wenden sollen, wenn sie beispielsweise verdächtige E-Mails erhalten.

Vodafone Business Security Services

Unsere Expert:innen überwachen Ihre Sicherheit. Und sie übernehmen das Management Ihrer Vodafone Security-Lösung: Von der Ersteinrichtung bis zum Betrieb und der Wartung unterstützen wir Sie.

Rund um die Uhr
Immer aktuell
Alles auf einen Blick via Cyber Hub

Jetzt hier informieren

Unser Fazit: Phishing ganzheitlich begegnen

Phishing-Angriffe werden immer professioneller und treffen längst nicht mehr nur große Konzerne. Sensibilisierte Mitarbeitende sind eine wichtige Verteidigungslinie – doch sie allein reichen nicht aus. Entscheidend ist eine Kombination aus klaren Prozessen, regelmäßiger Schulung und technischem Schutz der Unternehmensendgeräte. Moderne Sicherheitslösungen wie Microsoft Defender for Business erkennen verdächtige Aktivitäten frühzeitig und verhindern, dass aus einem einzelnen Klick ein unternehmensweiter Sicherheitsvorfall wird.

Jetzt vor Phishing schützen

Phishing: Häufig gestellte Fragen (FAQ)

Gelangen trotz Ihres Spamfilters Phishing-E-Mails in Ihren Posteingang, sollten Sie sie als Spam markieren, damit Ihr Filter dazulernt. Gleichzeitig sollten Sie alle E-Mails von dieser Absenderadresse als Spam kennzeichnen lassen, sofern Ihr E-Mail-Programm das ermöglicht. Klicken Sie in der E-Mail keinesfalls auf Links und öffnen Sie keine Anhänge. Löschen Sie die E-Mail im Idealfall nach der Kennzeichnung als Spam einfach ungelesen.

Ein wirksamer Schutz vor Phishing basiert auf mehreren Ebenen: Sensibilisieren Sie Ihre Mitarbeitenden regelmäßig für typische Betrugsmaschen und etablieren Sie klare Prozesse zum Melden verdächtiger Nachrichten. Ergänzend sollten Sie Ihre Unternehmensgeräte technisch absichern – etwa mit einer leistungsfähigen Endpoint-Sicherheitslösung wie Microsoft Defender for Business, die Schadsoftware erkennt und kompromittierte Geräte isoliert. Für eine ganzheitliche Absicherung und schnelle Reaktion im Ernstfall sorgen zudem professionelle Lösungen wie die Vodafone Security Services.

Clemens Förster

11.03.2026

# Tags:Sicherheit Business Basics Tipps Service Cybersecurity

Netzwerksicherheit für Unternehmen

Schützen Sie Ihr Firmennetz wirksam vor Eindringlingen, Datenspionage und folgenschweren Datenpannen durch Anwendungsfehler. Erfahren Sie, mit welchen technischen und organisatorischen Maßnahmen Sie Risiken frühzeitig erkennen, Angriffe abwehren und die Verfügbarkeit Ihrer Systeme dauerhaft sichern.

Vodafone Business

Zur Webseite