Security Basics

Was ist Phishing
und wie schütze ich mich?

Phishing ist der Versuch, dich mit gefälschten Nachrichten (Mail, Chat, SMS, Anruf) zu Handlungen zu bringen — z. B. auf einen Link klicken, Daten eingeben oder Geld überweisen. Ziel ist fast immer: Zugangsdaten, Geld oder Zugriff auf Systeme.

Woran erkenne ich Phishing?

  • Unerwartete Dringlichkeit: „sofort“, „Account wird gesperrt“
  • Ungewöhnlicher Absender oder leicht veränderte Domain
  • Link-Ziel passt nicht zum Text (Hover/Long-Press prüfen)
  • Bitte um Passwörter, MFA-Codes oder „kurz testen“
  • Ungewohnte Anhänge oder „Dokumente“ mit Login
Red Flag: Druck Red Flag: Link/Attachment Red Flag: Codes/Passwort

So schützt du dich (praktisch)

  • Nie über Mail-Links einloggen — lieber selbst die URL eintippen
  • MFA aktivieren (App/Hardware-Token bevorzugt)
  • Absender & Domain genau lesen (auch Reply-To)
  • Bei Zweifel: kurz über zweiten Kanal verifizieren (Anruf/Chat)
  • Passwort-Manager nutzen (er warnt bei Fake-Domains)
Tipp: URL selbst tippen Tipp: 2. Kanal Tipp: Passwort-Manager

Typische Fake-Beispiele

  • Domain-Trick: rnicrosoft.com statt microsoft.com (rn ≈ m)
  • Zusätzliche Wörter: login-microsoft.support statt microsoft.com
  • Falsche Subdomain: microsoft.com.login-secure.io
    echte Domain ist login-secure.io
  • Zahl statt Buchstabe: paypa1.com statt paypal.com
  • Kurzlink: https://bit.ly/3XyZ…
    Ziel ist vor dem Klick nicht sichtbar
Technik: Typosquatting Technik: Subdomain-Falle Technik: Lookalikes

Wenn du doch geklickt hast

  • Keine Daten eingeben — Tab schließen
  • Passwort sofort ändern (und überall, wo es wiederverwendet wurde)
  • MFA prüfen/aktivieren, Sessions abmelden
  • IT/Security informieren und Mail/URL weiterleiten (internes Verfahren)
  • Gerät checken lassen, wenn eine Datei ausgeführt wurde
!
Merksatz:

„Wenn’s dich hetzt, ist es verdächtig.“ Nimm dir 10 Sekunden für Absender, Link-Ziel und Kontext.