Willkommen in der Welt von Phishing 2.0. Die Zeiten, in denen Sie Betrugs-Mails an holprigem Deutsch und merkwürdigen Absenderadressen erkennen konnten, sind endgültig vorbei.
Angreifer setzen heute künstliche Intelligenz (KI) ein, um täuschend echte Nachrichten zu erzeugen. Und das betrifft längst nicht nur Ihr privates Postfach.
Auch Ihr berufliches E-Mail-Konto steht im Visier. In dieser Ausgabe zeigen wir Ihnen, welche neuen Tricks die Angreifer verwenden. Und vor allem, wie Sie sich und unser Unternehmen davor schützen können.
Warum die alten Faustregeln nicht mehr funktionieren: Was hat sich verändert?
Noch vor zwei Jahren konnte man viele Phishing-Mails auf den ersten Blick erkennen. Grammatikfehler. Seltsame Formulierungen. Unpersönliche Anreden wie „Sehr geehrter Kunde“. Daran konnte man sich orientieren.
Doch diese Merkmale verschwinden gerade. Kriminelle nutzen heute KI-Modelle, um Nachrichten in fehlerfreiem Deutsch zu verfassen. Die Texte klingen wie echte Unternehmenskommunikation. Sie verwenden das korrekte Corporate Design, die richtigen Logos und sogar aktuelle Geschäftsvorgänge als Aufhänger.
Seit Anfang Februar 2026 beobachten Sicherheitsbehörden eine massive Welle solcher Angriffe auf deutsche Unternehmen und Privatpersonen.
Das Bundesamt für Sicherheit in der Informationstechnik und der Verfassungsschutz haben Anfang Februar gemeinsam vor einer neuen Angriffsform gewarnt: Phishing über Messenger-Dienste wie Signal.
Die Angreifer haben es dabei nicht nur auf Passwörter abgesehen. Sie greifen gezielt die Zwei-Faktor-Authentifizierung an. Und sie tun das so geschickt, dass selbst erfahrene Nutzer Schwierigkeiten haben, den Betrug zu erkennen.
Mein Tipp:
Verlassen Sie sich nicht mehr auf Rechtschreibfehler als Erkennungsmerkmal. Achten Sie stattdessen auf den Kontext. Werden Sie zu einer ungewöhnlichen Handlung aufgefordert? Wird Zeitdruck aufgebaut? Dann ist höchste Vorsicht geboten.
Quishing, Smishing & Co.: Welche neuen Angriffsformen gibt es?
Phishing kommt längst nicht mehr nur per E-Mail. Die Angreifer nutzen heute jeden Kanal, der ihnen zur Verfügung steht. Und sie kombinieren verschiedene Kanäle geschickt miteinander.
Quishing nennt man Phishing über QR-Codes. Sie finden einen gefälschten QR-Code auf einem Aushang, in einer E-Mail oder sogar auf einem Parkscheinautomaten. Beim Scannen landen Sie auf einer manipulierten Webseite, die Ihre Zugangsdaten abgreift.
Das Tückische daran ist, dass Sie die Zieladresse eines QR-Codes vor dem Scannen nicht sehen können, wenn Sie diese Funktion nicht aktiviert haben. Sie kaufen also die Katze im Sack. Smishing ist Phishing per SMS.
Sie erhalten eine Kurznachricht, angeblich von Ihrer Bank, einem Paketdienst oder einer Behörde. Der enthaltene Link führt auf eine gefälschte Seite. Besonders gefährlich ist das auf dem Smartphone, weil dort die vollständige URL oft nicht sichtbar ist.
Ein Tipp auf den Link reicht aus. Vishing bezeichnet den telefonischen Betrug. Ein Anrufer gibt sich als IT-Mitarbeiter, Bankberater oder Behördenvertreter aus.
Dank KI können die Täter heute sogar Stimmen täuschend echt nachahmen. Der vermeintliche Anruf vom Geschäftsführer, der dringend eine Überweisung braucht, kann vollständig gefälscht sein.
Mein Tipp:
Scannen Sie keine QR-Codes aus unbekannten Quellen. Klicken Sie keine Links in SMS an. Und wenn Sie ein ungewöhnlicher Anruf erreicht, legen Sie auf und rufen Sie über die Ihnen bekannte offizielle Nummer zurück. Das ist kein Misstrauen. Das ist gesunder Menschenverstand.
Phishing im Büroalltag: Wie erkenne ich einen Angriff?
Die wichtigste Erkenntnis lautet. Es geht nicht mehr darum, wie eine Nachricht aussieht. Es geht darum,
was sie von Ihnen will. Phishing-Nachrichten erzeugen fast immer Druck.
Ihr Konto wird gesperrt. Eine Frist läuft ab. Ein Vorgesetzter braucht sofort eine Überweisung. Eine Systemmigration steht an und Sie müssen jetzt handeln. Genau dieser Zeitdruck soll Sie daran hindern nachzudenken. Denn wer in Eile ist, klickt schneller.
Achten Sie auf diese Warnsignale: Die Nachricht fordert Sie auf, einen Link anzuklicken oder einen Anhang zu öffnen. Sie sollen Zugangsdaten eingeben oder bestätigen. Die Nachricht kommt unerwartet, auch wenn der Absender bekannt erscheint.
Es wird Dringlichkeit suggeriert. Oder die Nachricht enthält eine ungewöhnliche Bitte, etwa eine Zahlung auf ein neues Konto. Besonders hinterhältig sind interne Phishing-Mails.
Der Absender scheint ein Kollege oder Vorgesetzter zu sein. Die Mail bezieht sich auf ein laufendes Projekt. Alles wirkt vertraut. Trotzdem kann der Absender gefälscht sein. Auch intern heißt nicht automatisch sicher.
Mein Tipp:
Wenn eine Nachricht Sie unter Druck setzt, halten Sie inne. Genau dieser Moment des Innehaltens ist Ihr bester Schutz. Prüfen Sie die Absenderadresse genau. Rufen Sie im Zweifel den vermeintlichen Absender an. Und leiten Sie verdächtige Mails nicht weiter, sondern melden Sie diese direkt an die IT.
Was tun, wenn ich doch geklickt habe? Wie verhalte ich mich richtig?
Vielleicht ist es Ihnen schon passiert. Sie haben auf einen Link geklickt und merken erst danach, dass etwas nicht stimmt. Das kann jedem passieren. Wichtig ist jetzt, wie Sie reagieren. Trennen Sie Ihr Gerät sofort vom Netzwerk.
Informieren Sie umgehend die IT-Abteilung. Ändern Sie Ihre Passwörter, falls Sie Zugangsdaten eingegeben haben. Und dokumentieren Sie, was passiert ist. Welche Mail war es? Wann haben Sie geklickt? Was haben Sie eingegeben?
Wichtig ist vor allem, dass Sie den Vorfall melden. Auch wenn es Ihnen unangenehm ist. Niemand wird Ihnen einen Vorwurf machen. Im Gegenteil.
Frühes Melden kann verhindern, dass aus einem kleinen Fehler ein großes Problem wird. Jede verschleppte Meldung dagegen gibt den Angreifern mehr Zeit, Schaden anzurichten.
Mein Tipp:
Melden ist kein Zeichen von Schwäche. Es ist verantwortungsvolles Handeln. Je schneller wir von einem Vorfall erfahren, desto besser können wir reagieren und Schäden begrenzen. Denken Sie daran. Sie schützen damit nicht nur sich selbst, sondern auch Ihre Kolleginnen und Kollegen.
Ihre Checkliste gegen Phishing 2.0
- Klicken Sie niemals auf Links in unerwarteten Nachrichten.
Rufen Sie Webseiten immer manuell im Browser auf. - Öffnen Sie keine Anhänge von unbekannten oder unerwarteten Absendern.
- Achten Sie auf Zeitdruck und Dringlichkeit als Warnsignal.
- Prüfen Sie die Absenderadresse genau. Auch wenn der Name vertraut klingt.
- Scannen Sie keine QR-Codes aus unbekannten oder ungeprüften Quellen.
- Geben Sie niemals Zugangsdaten über Links in EMails oder SMS ein.
- Melden Sie verdächtige Nachrichten sofort an die IT-Abteilung.
Fazit: Aufmerksamkeit ist Ihr bester Schutz
Phishing wird immer raffinierter. Aber die wirksamste Gegenmaßnahme bleibt die gleiche: Ihr gesundes Misstrauen.
Nehmen Sie sich die zwei Sekunden, um innezuhalten, bevor Sie klicken. Diese kurze Pause kann den Unterschied zwischen einem normalen Arbeitstag und einer ernsthaften Datenpanne machen.
Und vergessen Sie nicht: Wenn Sie unsicher sind oder einen Verdacht haben, sprechen Sie mich an. Dafür bin ich da. Gemeinsam sorgen wir dafür, dass die Angreifer bei uns keine Chance haben.
Auftraggeber sollten deshalb einen verbindlichen Prozess etablieren, der sicherstellt, dass am Ende eines Auftrags die Löschung oder Rückgabe der Daten dokumentiert bestätigt wird.
Auch die Zuständigkeiten sollten klar definiert sein, damit dieser Schritt nicht „zwischen Einkauf, Fachabteilung und IT“ verloren geht.
