Wie erkenne ich Phishing-Mails? So schützt du dich und dein Unternehmen

von Indra Zahner

Inhaltsverzeichnis

📅 Veröffentlicht: Juli 2026

Letzte Woche hat mir eine Kundin eine Mail weitergeleitet: Absender „support@meta-hilfe.de“, Betreff „Deine Seite wurde gesperrt – Handlung erforderlich“. Sah auf den ersten Blick erschreckend echt aus. War es nicht. Das war eine klassische Phishing-Mail – und sie ist damit nicht allein.

Gerade wer aktiv auf Social Media ist, bekommt solche Mails regelmäßig. Fake-Mails von angeblich Meta, Google, PayPal, DHL – alle wollen dasselbe: deine Zugangsdaten, deine Kreditkarte, deinen Klick. In diesem Artikel zeige ich dir, wie du Phishing-Mails erkennst und was du tun kannst, um dich langfristig zu schützen.

 

Was ist Phishing überhaupt?

Phishing ist digitaler Betrug: Kriminelle tun so, als wären sie ein bekanntes Unternehmen, um dich dazu zu bringen, auf einen Link zu klicken oder persönliche Daten einzugeben. Der Begriff kommt vom englischen „fishing“ – angeln. Phishing gehört zu den häufigsten Formen von Spam – und ist weitaus gefährlicher als nervige Werbemails.

Für Selbständige und kleine Unternehmen ist das besonders heikel: Wer eine Facebook-Seite, ein Instagram-Profil oder ein Google-Konto betreibt, wird gezielt angeschrieben. Denn die Täter wissen: Wer abhängig von diesen Kanälen ist, klickt schneller – aus Panik.

 

So erkennst du eine Phishing-Mail

1. Schau dir die Absenderadresse genau an

Das ist der schnellste Check. Nicht den Anzeigenamen anschauen – den kann jeder fälschen – sondern die echte E-Mail-Adresse dahinter. Die siehst du, indem du auf den Absendernamen klickst oder daru¨ber höverst.

  • Echtes Meta: Mails kommen von @meta.com oder @facebookmail.com – nicht von @meta-hilfe.de oder @facebook-team.net
  • Echtes Google: @google.com oder @accounts.google.com – nicht @google-support.biz
  • Echtes PayPal: ausschließlich @paypal.com oder @paypal.de – nicht @paypal-sicherheit.de

Alles mit einer anderen Domain ist ein Warnsignal. Im Zweifel: direkt in die App einloggen (ohne den Link in der Mail) und dort nachschauen, ob es wirklich eine Nachricht gibt.

2. Screenshot bei Google Lens hochladen

Ein Tipp, den viele noch nicht kennen: Mach einen Screenshot von der verdächtigen Mail – oder nur vom Logo und Design – und lad ihn bei Google Lens hoch. Google Lens erkennt oft, dass ein Logo gefälscht ist, oder findet das Design in bekannten Betrugs-Berichten wieder.

Einfach auf lens.google.com gehen, Bild hochladen, Ergebnis ansehen. Funktioniert auch mit dem Handy direkt aus der Kamera-App. Alternativ: Den Betreff der Mail 1:1 bei Google eintippen – wenn andere schon gewarnt haben, findest du es dort sofort.

3. Die URL prüfen, bevor du klickst

Fähre mit der Maus über einen Link, ohne zu klicken. Unten im Browser siehst du die echte URL als Ziel. Wichtig: Lies die Domain ganz am Anfang – direkt vor dem ersten „/“.

  • Phishing-Trick 1: „faceb00k.com“ statt „facebook.com“ (Null statt o)
  • Phishing-Trick 2: „facebook.sicherheit.de“ – klingt offiziell, die eigentliche Domain ist „sicherheit.de“
  • Phishing-Trick 3: „www.meta.com.secure-verify.ru“ – die Domain ist „secure-verify.ru“, nicht Meta

4. Künstliche Dringlichkeit ignorieren

Phishing-Mails arbeiten fast immer mit Panik: „Dein Konto wird in 24 Stunden gelöscht“, „Sofortiges Handeln erforderlich“. Das Ziel ist, dass du aufhörst nachzudenken. Echte Plattformen geben dir Zeitspielraum und erklären genau, was passiert ist – und du findest dieselbe Information direkt in deinem Konto, wenn du dich einloggst.

 

Mimikama – die Anlaufstelle für Faktencheck und Betrugswarnung

Eine Empfehlung, die mir wirklich am Herzen liegt: Mimikama – eine österreichische Organisation, die seit über 15 Jahren unabhängig über aktuelle Betrugsmaschen aufklärt. Kein trockener IT-Jargon, sondern echte Beispiele aus dem Alltag – verständlich erklärt.

Auf Mimikama gibt es einen Warnradar mit aktuellen Phishing-Mails und Fake-Kampagnen. Wenn du eine verdächtige Mail bekommst und nicht sicher bist: dort nachschauen oder die Community fragen. Mimikama ist erreichbar über:

 

Schütz dich aktiv: 4 Maßnahmen, die wirklich helfen

Passwort-Tresor mit individuellen Passwörtern

Das häufigste Problem: Dasselbe Passwort für mehrere Dienste. Wenn eines davon geleakt wird, sind alle anderen Konten mit demselben Passwort sofort in Gefahr. Die Lösung ist ein Passwort-Tresor (auch Passwort-Manager genannt) – ein Tool, das für jeden Dienst ein eigenes, zufälliges Passwort mit mindestens 16 Zeichen erstellt und sicher speichert. Du merkst dir nur noch ein einziges Masterpasswort.

  • Bitwarden – Open Source, DSGVO-konform, kostenlos für Einzelpersonen, günstig für Teams (ca. 4 €/Monat pro Person)
  • 1Password – sehr benutzerfreundlich, besonders gut für Teams, Familien und kleine Unternehmen
  • G DATA KeySafe – deutsches Unternehmen aus Bochum, voll DSGVO-konform
  • Apple Schlüsselbund (iCloud Keychain) – auf iPhones, iPads und Macs bereits eingebaut, kostenlos, synchronisiert automatisch zwischen Apple-Geräten. Ideal als Einstieg, wenn du komplett im Apple-Ökosystem bist.

Faustregel: 16 Zeichen, kein ehctes Wort, kein Muster – und für jeden Anbieter ein anderes. Das klingt komplex, ist es mit einem Passwort-Tresor aber nicht.

Zwei-Faktor-Authentifizierung (2FA) überall einschalten

Selbst wenn jemand dein Passwort hat, kommt er ohne den zweiten Faktor nicht rein. Die Zwei-Faktor-Authentifizierung funktioniert wie ein zweites Schloss – und ist schnell eingerichtet. Aktiviere sie für alle wichtigen Konten: Meta, Google, Instagram, LinkedIn, dein E-Mail-Konto und deinen Passwort-Tresor. Die meisten Plattformen bieten 2FA über eine Authentifizierungs-App (z. B. Google Authenticator oder Authy) oder per SMS an – die App-Variante ist sicherer.

Virenscanner – auch auf dem Laptop

Phishing-Mails enthalten oft nicht nur Links, sondern auch Anhänge mit Schadsoftware. Ein guter Virenscanner erkennt viele davon, bevor du sie öffnest. Für kleine Unternehmen empfehlen sich:

Wichtig: Moderner Virenschutz sollte mehr können als nur Signaturen prüfen – Verhaltensanalyse, Ransomware-Schutz und Phishing-Erkennung im Browser gehören heute zum Standard.

Regeln für dein Team

Die größte Schwachstelle in jedem Unternehmen ist der Mensch – nicht die Technik. Ein Mitarbeiter, der auf einen Link klickt, öffnet die Tür, egal wie gut der Virenscanner ist. Deshalb: Schreibe kurze, klare Regeln auf – was tun bei verdächtigen Mails? Wer ist Ansprechpartner? Und lass Passwörter nie per WhatsApp oder E-Mail verschicken.

 

Prüf jetzt: Ist deine E-Mail-Adresse schon betroffen?

Datenlecks passieren ständig – bei großen Plattformen, Online-Shops, Foren. Dabei werden Millionen E-Mail-Adressen zusammen mit Passwörtern oder anderen Daten veröffentlicht. Das Perfide: Du merkst es meistens nicht. Die Daten landen im Darknet und werden von Kriminellen genutzt, um Konten zu übernehmen oder gezielte Phishing-Mails zu verschicken.

Die gute Nachricht: Du kannst kostenlos prüfen, ob deine E-Mail-Adresse bereits in einem Datenleck aufgetaucht ist.

  • HaveIBeenPwned.com (auf Englisch) – der bekannteste Dienst weltweit. E-Mail-Adresse eingeben, sofort sehen, bei welchen Leaks sie auftauchte und welche Daten betroffen sind. Über 17 Milliarden Einträge aus mehr als 1.000 Datenpannen.
  • HPI Identity Leak Checker des Hasso-Plattner-Instituts (Uni Potsdam) – der deutsche Weg. E-Mail eingeben, Ergebnis kommt per Mail direkt an diese Adresse. Zeigt auch, welche zusätzlichen Daten (Passwort, Name, Adresse) geleakt wurden.

Wenn deine Adresse betroffen ist: sofort das Passwort bei den genannten Diensten ändern, 2FA einschalten und prüfen, ob du dasselbe Passwort noch woanders nutzt. Und dann am besten für alle Dienste einen Passwort-Tresor einrichten – damit so etwas nicht zur Kette wird.

 

Wenn du es ernst meinst: professionelle Sicherheitsprüfung

Wer wissen will, wie anfällig sein Unternehmen wirklich ist, kann eine professionelle Prüfung in Auftrag geben. Das nennt sich Penetrationstest oder Social-Engineering-Test – dabei wird simuliert, wie ein echter Angreifer vorgeht, und die Mitarbeiterinnen und Mitarbeiter werden mit Fake-Phishing-Mails getestet. Wer klickt? Wer meldet es? Das Ergebnis zeigt, wo Schulungsbedarf besteht.

  • KOMON Analytics GmbH aus Gummersbach – bietet KI-gestützte Sicherheitsanalysen, Penetrationstests und Social-Engineering-Simulationen; Made in Germany, BSI-konform
  • Perseus Technologies – spezialisiert auf Cyber-Risikoschutz für KMU, mit Schulungen und Versicherungslösungen kombiniert
  • Cyberkom.ai – KI-gestützter Schutz vor Cyberangriffen und aktuellen KI-Bedrohungen

Für die meisten kleinen Unternehmen reicht ein ein- bis zweitägiger Check mit anschließender Schulung. Oft sind es wenige konkrete Punkte – ein schwaches Passwort hier, eine fehlende 2FA dort – die das größte Risiko darstellen.

 

Was tun, wenn du reingefallen bist?

Passiert. Wirklich. Selbst Menschen, die sich gut auskennen, werden manchmal erwischt. Das Wichtigste ist, schnell zu reagieren:

  • Passwort sofort ändern – auf der echten Seite, direkt im Browser eintippen, nicht über den Link in der Mail
  • 2FA einschalten – falls noch nicht geschehen, sofort nachholen
  • Verbundene Apps prüfen – in den Einstellungen deines Kontos schauen, ob unbekannte Apps Zugriff haben
  • Bank informieren – falls du Zahlungsdaten eingegeben hast, sofort die Bank anrufen
  • Anzeige erstatten – bei der Polizei (online möglich) und beim Verbraucherschutz – hilft auch anderen

 

Kurz zusammengefasst

  • Absenderadresse prüfen – nicht den Anzeigenamen, die echte E-Mail-Adresse dahinter
  • Screenshot bei Google Lens hochladen – bekannte Phishing-Designs tauchen dort auf
  • URL prüfen vor dem Klick – ganz am Anfang lesen, was wirklich die Domain ist
  • Künstliche Dringlichkeit ignorieren – echte Plattformen löschen nichts über Nacht
  • Mimikama folgen – aktuelle Maschen kennen, bevor sie bei dir landen
  • Passwort-Tresor einrichten –16 Zeichen, individuell pro Anbieter
  • 2FA überall einschalten – besonders für Meta, Google, E-Mail, Passwort-Tresor
  • Virenscanner aktivieren – auf allen Geräten, die du geschäftlich nutzt

Noch unsicher, ob deine Konten gut geschützt sind?

In einem persönlichen Gespräch schauen wir gemeinsam auf deine Social-Media-Konten, Zugangsdaten und Sicherheitseinstellungen – damit du weißt, wo du stehst und was noch fehlt.
Kostenloses Kennenlern-Gespräch buchen
Newsletter abonnieren – regelmäßige Tipps zu Social Media, Sicherheit und digitalen Tools

Passende Artikel

Glossar: Begriffe aus diesem Artikel

Hi! Ich bin Indra

Du willst wissen, wie du dein Unternehmen in den sozialen Medien voranbringst? Dann bist du hier genau richtig!

Top Artikel

Letze Beiträge

LinkedIn für Unternehmen – der komplette Leitfaden

Chatbots – digitale Helfer im Kundendialog

ChatGPT – der KI-Assistent før Texte, Ideen und Strukturen