Im Auftrag von:

Oh nein, das war eine Phishingmail : (

Keine Sorge, es handelt sich natürlich nicht um eine echte Phishing-Mail. Wir wollen überprüfen ob Sie Phishing-Mails erkennen.

Wenn Sie wollen, können Sie weiter unten nachlesen woran Sie Phishing-Mails erkennen können.

Konkrete & Typische Merkmale von Phishingmails

Neue Nachricht: Postfachspeicher leeren

Dringlichkeit erzeugen

Die Mail behauptet, das Postfach sei voll und könne keine weiteren Nachrichten empfangen. Dies soll ein Gefühl von Zeitdruck erzeugen, damit der Empfänger möglichst schnell handelt. Solche Angstszenarien sind ein häufiges Mittel von Phishing-Versuchen, um Menschen zur Eingabe sensibler Daten zu verleiten.

Fehlende Personalisierung

Die Betreffzeile „Neue Nachricht“ sowie der Text „Sie haben eine neue Nachricht erhalten“ sind sehr generisch gehalten. Es fehlen personalisierte Elemente wie Name, Benutzername oder andere konkrete Angaben. Seriöse Anbieter sprechen Nutzer meist direkt an und benennen den Kontext der Nachricht genauer.

Verdächtiger Link

Der Button „Freien Festplattenspeicher schaffen“ ist auffällig gestaltet und hebt sich grell vom restlichen Design ab. Gleichzeitig ist die tatsächliche Zieladresse des Links nicht sichtbar – das ist ein klassisches Warnsignal. Seriöse Mails zeigen die Adresse oft direkt oder führen auf bekannte, vertrauenswürdige Domains. Ein Mouse-Over über den Button (ohne zu klicken) kann Aufschluss geben, wohin der Link tatsächlich führt.

Unprofessionelle Signatur

Am Ende der Nachricht findet sich lediglich die Signatur „E-Mail-Administrator“. Hier fehlen vollständiger Name, Kontaktdaten oder andere Identifikationsmerkmale. In echten E-Mails von IT-Abteilungen oder Mailprovidern ist eine professionelle Signatur üblich, oft inklusive Abteilung und Rückrufmöglichkeit.

Beachte: Die aufgeführten Hinweise sind kein zwingender Beweis für einen Phishingbetrug, aber sie geben Anlass, die E-Mail genauer zu prüfen.

Phishingmails erregen Aufmerksamkeit: „Ihr Bankkonto ist gefährdet“ oder „Sie haben gewonnen!“ Angst ist ein machtvolles Instrument: Angebliche Kontosperrungen oder Zahlungsaufforderungen setzen die adressierte Person unter Druck, um unüberlegt zu handeln. Auch Neugierde, z. B. die Aussicht auf einen Gewinn kann dazu verleiten, unvorsichtig einer Aufforderung zu folgen.

Manche Phishingmails funktionieren mehrstufig und fordern dazu auf, einem Link zu folgen. Der Link könnte z. B. zu einer gefälschten Website führen, auf der Logindaten abgefragt werden oder einen (unbemerkten) Dateidownload auslösen, der den Computer mit Malware infiziert. Tipp: Die Link-URL lässt sich einfach überprüfen, indem der Mauszeiger über den Button oder den Linktext gehalten wird.

„Die Rechnung befindet sich im Anhang“ — Dateianhänge in E-Mails, z. B. für Käufe, die gar nicht getätigt wurden, sind mit Vorsicht zu genießen. Eine vermeintliche PDF könnte in Wirklichkeit eine Containerdatei für Trojaner sein. Beim Öffnen wird die Malware aktiv und infiziert Geräte und Netzwerke wie ein Lauffeuer. Tipp: Bei Unsicherheiten können erfahrene ITlerInnen die Datei in einer sicheren Umgebung auf Malware testen.

Eine Phishingmail gibt vor, im Namen von Onlineshops, Banken oder anderen Onlineservices zu schreiben, ohne die adressierte Personen wirklich zu kennen. Es ist unwahrscheinlich, dass Ihre Hausbank Sie mit „Sehr geehrte/r Kunde/Kundin“ anspricht, um Ihnen mitzuteilen, dass Ihr Bankkonto gefährdet ist. Eine unpersönliche Ansprache ist kein zwingender Beweis für einen Phishingbetrug, aber sie geben Anlass, die E-Mail genauer zu prüfen.

Phishingmails werden massenhaft versandt und dafür mithilfe von Software erstellt und übersetzt. Dabei schleichen sich Rechtschreib- und Grammatikfehler ein: „Ihren Benutzerkonto ist gefahrdet und gespert“. Im Deutschen sind häufig Umlaute wie ä, ö und ü betroffen. Orthografische Fehler sind kein zwingender Beweis für einen Phishingbetrug, aber sie geben Anlass, die E-Mail genauer zu prüfen.

Absendende von Phishingmails spekulieren und versenden im Namen großer Onlineshops, Banken oder Anbieter (z. B. Streaming). Denn die Wahrscheinlichkeit steigt, dass die adressierte Person ein Benutzerkonto besitzt und sich angesprochen fühlt. Die Rechnung geht nicht immer auf und eine Phishingmail erreicht jemanden ohne Benutzerkonto. Besondere Vorsicht gilt, wenn die E-Mail-Adresse kryptisch ist und minimal vom Original-Anbieter (z. B. amazn.de) abweicht.

Der Faktor Mensch in der IT-Sicherheit

Welche Rolle spielen Phishingmails für mich?

Nicht jede Phishingmail wird vom Spamfilter oder der Firewall als solche erkannt. Deshalb sind alle IT-AnwenderInnen gefragt, eine eventuelle Sicherheitslücke zu schließen. Sie leisten einen wertvollen Beitrag, indem Sie Phishingmails als solche erkennen und nicht in die Falle tappen sowie Ihre KollegInnen unterstützen. Gut zu wissen: Auch privat fahren Sie gut damit, vor Phishing gefeit zu sein. Phishingmails finden Ihren Weg auch in private Postfächer und können Privatpersonen genauso schädigen. Ihre privaten Geräte, Fotos, Nachrichten oder (Benutzer-)Konten sollen schließlich auch nur für Sie einsichtig sein.

Was tue ich, wenn in meinem Postfach eine Phishingmail landet?

Phishingmail löschen
Interne IT-Verantwortliche/n informieren
Kollegen und Kolleginnen vorsichtshalber warnen
Sie sind sich unsicher? Fragen Sie die internen IT-verantwortlichen Personen um Rat.

Auf keinen Fall Daten auf einer verlinkten Website eingeben
Keine Links in der Phishingmail öffnen
Dateianhänge niemals auf dem Computer speichern oder öffnen
Nicht auf die Phishingmail antworten

Haben Sie noch Fragen zur Phishing-Simulation?

Warum erhalte ich diese Phishingmail?

Ihr Arbeitgeber möchte Sie und Ihre Kolleg*innen für die Risiken von Phishingmails sensibilisieren. Deshalb hat das CSX-Team Ihre E-Mail-Adresse erhalten, damit wir Ihnen Phishingmails zukommen lassen können.

Sieht das Unternehmen, dass ich die Phishingmail und den Link geöffnet habe?

Was vorweg gesagt werden muss: Es ist nicht schlimm, wenn Sie den Link öffnen. Immerhin sollen Sie auf dieser Website ja etwas über Phishing erfahren.

Die Phishing-Simulation registriert, ob eine E-Mail bzw. der Link geöffnet wird. Aber die Daten werden anonymisiert erhoben und können keiner Person zugeordnet werden. Die Daten werden erhoben, um zu prüfen, ob die Simulation auch alle Teilnehmenden erreicht hat.

Ihr Unternehmen erfährt also nicht, dass genau Sie die Phishingmail geöffnet haben.

Was genau bringt mir diese Phishing-Simulation?

Phishingmails sind ein immer häufiger auftretendes Phänomen und Problem – das gilt sowohl für den betrieblichen als auch den privaten Bereich. Da technische Sicherheitsvorkehrungen alleine keine Abhilfe bieten können, müssen IT-Anwender*innen auf die Gefahren hingewiesen und sensibilisiert werden.rnrnAuch für Sie privat bietet die Sensibilisierung einen großen Mehrwert, wenn Sie Phishingmails erkennen. IT-Sicherheit und Datenschutz sind schließlich dafür, dass Sie sich vor Betrüger*innen und Datenmissbrauch schützen können.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-necessary	1 year	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.