14. März 202619. März 2026Digitaler Alltag, Datensicherheit

E-Mail-Phishing-Angriffe werden immer raffinierter: heute ist es nicht mehr nur die schlecht formatierte E-Mail mit Rechtschreibfehlern und pixeligem Logo sondern man bekommt täuschend echte Nachrichten, die immer öfter mithilfe Künstlicher Intelligenz (KI) generiert werden.

Worum geht es?

Fast täglich begegnen wir ihnen: E-Mail-Phishing im Posteingang. In geschäftlichen wie auch in privaten Bereichen sind Phishing E-Mails nach wie vor die größte digitale Gefahr (Quelle: BSI). Die Cybersecurity & Infrastructure Security Agency (CISA) in den USA geht sogar davon aus, dass 90 Prozent aller erfolgreichen Cyberangriffe mit einer E-Mail-Phishing-Attacke beginnen. Hinzu kommen Zeitdruck und Unaufmerksamkeit, wenn man „nur mal schnell“ seinen Posteingang checken möchte. Das ist der sogenannte „sweet spot“ für die Betrüger hinter der Phishing-Mail: wenn man abgelenkt ist, klickt man schnell auf etwas, das man eigentlich nicht klicken sollte.

Abb. 1: Gefälschte Easybank E-Mail vom 11. März 2026

Unsere Tipps, um E-Mail-Phishing besser zu erkennen:

Vergewissern Sie sich, dass der Absender echt ist

Cyberkriminelle geben vor jemand zu sein, der sie in Wahrheit gar nicht sind. Deshalb ist es wichtig sich die Absender E-Mail-Adresse ganz genau anzuschauen und diese mit dem Absendernamen zu vergleichen. In unserem Beispiel der „easybank“ trägt der Absender den Namen „easybank Kundenservice“. Absendernamen lassen sich in der Regel unabhängig von der jeweiligen Domain oder dem tatsächlichen Namen freiwählbar einstellen.

Abb. 2: Absendernamen sind nicht sicher

Gewissheit bekommt man über den Quellcode der verdächtigen E-Mail. In der klassischen Outlook-Version klickt man dazu mit der rechten Maustaste in ein leeres (weißes) Feld der Nachricht und wählt „Quelltext anzeigen“ aus dem Kontextmenü. Auf einem Macintosh wählt man in der Menüleiste Darstellung —> E-Mail —> „Reine Datei“ anzeigen und erhält den Quellcode mit offengelegter E-Mail-Adresse.

				
					Return-Path: <easybank@hipalanet.com>
X-Original-To: info@webseite.de Delivered-To: info@webseite.de

Abb. 3: Tatsächlicher E-Mail-Absender

Bei E-Mail-Phishing verbirgt sich hinter dem angezeigten Namen (Abb. 2) oft eine andere E-Mail-Adresse (Abb. 3). In unserem Beispiel steht „easybank“ vor dem @-Zeichen. Die Domain dahinter lautet „hipalanet.com“ und ist nicht die offizielle Easybank-Webseite. Cyberkriminelle verwenden auch oft Variationen von E-Mail-Domains, um legitime Unternehmen zu imitieren: z.B. „paypall.com“ statt der echten „paypal.com“ oder „accountprotectionmicrosoft.com“ statt „microsoft.com“.

Zwischenfazit: Eine abwegige, unpassende Domain wie „hipalanet.com“ ist ein klarer Hinweis auf E-Mail-Phishing!

Server-Informationen: Host und IP-Adresse

Wenn der Quellcode einmal geöffnet ist, kann man sich noch den Absender-Host anschauen und über dessen IP-Adresse den dazugehörigen Standort ermitteln. Das geht nicht postanschriftsgenau, aber man kann schon mal den Serverstandort Deutschland vom Ausland unterscheiden. Wir schauen also wieder in den Quelltext und erkennen, dass die gefälschte Easybank E-Mail von einem Google-Server mit Standort USA stammt.

				
					Received: from mail-xxx-xxx3.google.com [209.85.128.103]

Kostenlose IP-Adressen-Scanner im Internet:

NordVPN, Link: https://nordvpn.com/de/ip-lookup/,
Dein IP-Check, Link: https://www.dein-ip-check.de/suche oder
IP-Adresse ermitteln: Link: https://www.ip-adresse-ermitteln.de/

Links überprüfen

Wenn der Quellcode einmal geöffnet ist, kann man sich noch alle Links, z.B. hinter Buttons oder dem „Abmelden“ – Hinweis anzeigen lassen. Dazu öffnet man die Suche im Quelltext über „STRG+F“ und sucht nach „Button“ oder „href“ – als Abkürzung für „Hypertext Reference“ (Hypertext-Verweis).

				
					href=3D"https://trac=
kingservice.monday.com/tracker/link?token... (Link gekürzt)

In unserem Beispiel verbirgt sich hinter dem Button mit der Aufschrift „Daten jetzt bestätigen“ der Link „https://trackingservice.monday.com/tracker…“ Hier kann man ganz klar von einem Phishing-Versuch ausgehen!

URL-Shortener und gekürzte URL’s

Ein URL-Shortener verkürzt lange Webadressen in kurze, handlichere Links, die leichter zu teilen, merken und in sozialen Medien oder E-Mails einzusetzen sind. Die ursprüngliche URL wird intern gespeichert und beim Klicken auf den Kurzlink erfolgt eine automatische Weiterleitung (meist über eine 301-Weiterleitung) zur Zielseite.

Abb. 4: Gekürzte URL in einer Phishing E-Mail

Den gekürzten Link kopieren wir und lassen ihn durch einen Viren-Scanner laufen.

Viren-Scanner für Links, Webseiten und Dateien

Wir empfehlen folgende Cybersecurity-Webseite: https://www.virustotal.com/gui/home/upload

Hier kann man problemlos Links, Webseiten, verkürzte URL’s und Dateien aller Art auf Spam überprüfen lassen und zwar bevor man diese im Browser selbst geöffnet hat.

Abb. 5: Ergebnis Cybersecurity-Tool von virustotal.com

In unserem Beispiel konnte die verkürzte URL ganz klar als bekannte Phishing-Webseite enttarnt werden.

Sprachliche und formelle Besonderheiten

In der Kommunikation seriöser Unternehmen kommen Zwangsmaßnahmen nur selten zum Einsatz. Wenn in einer E-Mail beispielsweise steht: „Zahlungsaufforderung, dringende Maßnahmen erforderlich“ oder „Ihr Konto wurde kompromittiert – aktualisieren Sie jetzt Ihre Daten“, handelt es sich sehr wahrscheinlich um E-Mail-Phishing. Es gibt jedoch auch noch andere Indikatoren, die auf E-Mail-Phishing hinweisen können:

Unpersönliche Anrede: „Sehr geehrter Kunde“, keine Anrede mit Namen
Kein Ansprechpartner
Unklare Ausdrucksweisen: es wird nicht deutlich erläutert, was bestätigt werden soll und unter welchen Bedingungen
Bereits oft gesehen: der Haupttext ist in deutscher Sprache, der Disclaimer hingegen in englischer Sprache („Unsubscribe“) oder Disclaimer mit Kontaktinformationen und einer Möglichkeit zum Abmelden fehlen gänzlich
Inkonsequenzen in der Form: „Emailadresse“ statt „E-Mail-Adresse“
Pixeliges Logo
Keine offiziellen Absenderangaben
Psychologische Manipulation: Vorgabe von Dringlichkeit und Zeitdruck

Hinweis für Smartphone-Nutzer

Leider ist es aktuell nicht möglich den E-Mail-Quellcode auf einem Android- oder iOS-Gerät in der jeweiligen Standard-Mail-App anzeigen zu lassen. Würde man die E-Mail im Webbrowser öffnen, hat man je nach Anbieter mehr Funktionen zur Auswahl. Wenn Sie unsicher sind, ob eine E-Mail echt ist oder nicht, schauen Sie sich diese in Ruhe auf Ihrem Computer an und führen die beschriebenen Schritte aus.

Schlußfolgerung / Fazit

In unserem Beispiel wird man mit einem unpersönlichen „Sehr geehrte Damen und Herren“ angesprochen. Einen üblichen Footer mit Absenderangaben (Impressum/Anschrift/Kontaktdaten) gibt es gar nicht (Abb. 1). Echte, offizielle E-Mails beinhalten diese Angaben immer. Weitere Ergebnisse:

Absender „Easybank“ ist gefälscht
Absender-Domain (hipalanet.com) ist keine Bank, sondern missbräuchlich registriert
Unpersönliche Anrede
Google-Mailserver: gehacktes Konto oder missbrauchter API-Zugang
Typischer Trick: Empfänger soll auf einen Link klicken: „Daten jetzt bestätigen“
Link in der E-Mail konnte klar als Phishings-/Betrugs-Webseite identifiziert werden

Es wird immer schwerer E-Mail-Phishing zu erkennen. Mit der zunehmenden Raffinesse der Betrüger müssen wir uns darauf einstellen, dass sie in Zukunft generative KI und Stimmklonung nutzen werden. Das heißt, eine überzeugende Sprachnachricht kann glaubwürdiges E-Mail-Phishing verstärken und so den Weg für einen erfolgreichen Betrug ebnen.

Wenn Sie Hilfe oder Unterstützung zum Schutz Ihres Unternehmens vor E-Mail-Phishing Angriffen benötigen, kontaktieren Sie uns telefonisch unter 0341 – 248 667 27 oder per Mail an info@agentur-fuer-digitale-medien.de. Wir freuen uns auf Ihre Anfrage!

Kontakt

Weiterführende Artikel: Das Phishing-Radar der Verbraucherzentrale Deutschland