Direkt zum Seiteninhalt

Kontaktieren Sie uns!

Schaden melden Beratung finden 0800 4-757-757 Gebührenfrei aus dem deutschen Telefonnetz. Anrufe aus dem Ausland: +49 221 757-757
Montag bis Freitag 10:00 bis 18:00 Uhr (außer an Feiertagen)
Nachricht senden
Frau sitzt vor einem Laptop und hält eine Kreditkarte in der Hand

Phishing: Das sollten Sie wissen

Phishing zählt zu den größten digitalen Bedrohungen für Verbraucherinnen und Verbraucher. Sind Sie betroffen, ist schnelles Handeln gefragt. Wir erklären Ihnen, was zu tun ist, und erläutern, in welchen Fällen Ihre Bank für den entstandenen Schaden haftet.

Phishing: die wichtigsten Punkte

  • Beim Phishing versuchen Kriminelle durch Vertrauen, Zeitdruck und täuschend echte Darstellungen an sensible Daten zu gelangen.
  • Unternehmen erfragen grundsätzlich keine sensiblen Zugangsdaten per E-Mail, SMS oder Telefon.
  • Trennen Sie Ihr Gerät sofort vom Internet, wenn Sie den Verdacht haben, von einer Phishing-Attacke betroffen zu sein.

Inhaltsverzeichnis

Was genau ist Phishing?

Der Begriff „Phishing“ setzt sich aus den Worten „Password“ sowie „Fishing“ zusammen und beschreibt das Ziel, das Täter:innen erreichen wollen: Betroffene durch Vertrauen, Zeitdruck und täuschend echte Darstellungen zu vorschnellen Handlungen zu verleiten und so an sensible Daten wie Online-Banking-Zugangsdaten oder Kreditkarteninformationen zu gelangen. Dazu geben sie sich als vertrauenswürdige Absender aus und imitieren z. B. E-Mails, SMS oder Webseiten von Banken, Streaming-Diensten und Online-Shops. Auch Telefonanrufe oder gefälschte Profile in sozialen Netzwerken werden eingesetzt, um Verbraucher:innen zu täuschen.

Welche drei Arten von Phishing gibt es?

Die drei bekanntesten Phishing-Attacken lassen sich anhand des Kanals unterscheiden, mit dem sie ausgeführt werden.

E-Mail-Phishing

Mann sitzt konzentriert vor Laptop
Betrüger:innen verschicken gefälschte E-Mails, die scheinbar von bekannten Unternehmen, z. B. Banken oder Online-Shops stammen, um Sie dazu zu bringen, auf bösartige Links zu klicken oder sensible Daten preiszugeben. Oftmals wirken sie täuschend echt und sind schwer als Phishing erkennbar.

SMS-Phishing (Smishing)

Eine Frau sitzt an einem Laptop und schaut lächelnd auf ihr Handy.
Diese Form des Phishings erfolgt über Mobilgeräte. Per SMS, WhatsApp oder andere Messenger-Dienste wird hier, z. B. in Form einer Paketankündigung oder Warnung zur Sperrung Ihres Kontos, Eile vorgetäuscht, um Sie zu einer schnellen Handlung und der Weitergabe persönlicher Daten zu bewegen.

Voice-Phishing (Vishing)

Ein Mann telefoniert und lächelt.
Hierbei handelt es sich um Betrugsversuche, die über telefonische Anrufe oder Voicemails erfolgen. Täter:innen geben sich z. B. als Support-Mitarbeiter:innen oder Ihre:n Vorgesetzte:n aus, um Sie unter Druck zu setzen und auf diese Weise an Ihre Passwörter oder andere persönliche Daten zu gelangen.

Wie erkennt man eine Phishing-E-Mail?

Phishing-Attacken werden immer besser und sind nicht mehr ganz so leicht zu erkennen. Nachfolgend haben wir Ihnen daher einige Warnsignale zusammengestellt, die Sie misstrauisch werden lassen sollten.

Typische Phishing-Anzeichen sind:

  • unerwartete Anhänge oder Nachrichten
  • ungewöhnliche Absenderadresse
  • eine leicht veränderte Domain
  • allgemeine Anrede („Sehr geehrter Kunde“)
  • Erzeugung von Zeitdruck (z. B. angebliche Kontosperrung)
  • Aufforderung zur Eingabe von PIN, TAN oder Passwörtern
  • Links auf nicht eindeutig offizielle Webseiten

Kontaktieren Sie im Zweifelsfall immer Banken, Online-Shops und Co.

Banken und andere Dienstleister verlangen grundsätzlich keine Herausgabe von sensiblen Zugangsdaten per E-Mail, SMS oder Telefon. Solch eine Aufforderung spricht für einen Betrugsversuch. Im Zweifel sollten Sie keine Daten eingeben, sondern den Vorgang abbrechen und das Unternehmen über offizielle Kontaktwege informieren.

Phishing: Was tun? Eine Schritt-für-Schritt-Anleitung

1.
Sofortmaßnahmen
Kontaktieren Sie Ihre Bank und lassen Sie Ihr Konto bzw. Ihren Online-Banking-Zugang sperren. Außerhalb der Geschäftszeiten können Sie dafür die zentrale Hotline 116 116 nutzen. Veranlassen Sie wenn möglich eine Rückbuchung der unautorisierten Zahlung und ändern Sie Ihre Zugangsdaten. Prüfen Sie Ihr Konto auf weitere Transaktionen und dokumentieren Sie alle Vorgänge.
2.
Internetverbindung unterbrechen
Wenn Sie vermuten, dass Ihr Gerät betroffen ist, trennen Sie es sofort vom Internet. Schalten Sie das WLAN aus oder lösen Sie die Netzwerkverbindung. Gegebenenfalls ist es sinnvoll, auch die Netzwerkeinstellungen zurückzusetzen.
3.
Strafanzeige erstatten
Wichtig ist, den Sachverhalt möglichst detailliert zu schildern und vorhandene Beweise vorzulegen. Zudem verlangen Banken bei Betrugsfällen häufig die Vorlage einer Anzeige, um Ansprüche zu prüfen.
4.
Beweise sichern
Eine sorgfältige Beweissicherung hilft, den Ablauf des Angriffs nachvollziehbar darzustellen und Ihre eigene Sorgfalt zu belegen. Sichern Sie z. B. Screenshots, Kontoauszüge und Schriftverkehr mit der Bank.

Wann haftet die Bank bei Phishing?

Banken sind verpflichtet, Zahlungsvorgänge sicher abzuwickeln, unter anderem durch eine starke Authentifizierung ihrer Kund:innen. Erfolgt dennoch eine nicht autorisierte Zahlung – infolge eines Phishing-Zugriffs auf Ihr Konto – besteht gemäß § 675u Bürgerliches Gesetzbuch (BGB) grundsätzlich ein Anspruch auf Erstattung gegenüber der Bank. Allerdings gilt dieser Grundsatz nicht uneingeschränkt, erklärt Rechtsanwalt Jörg Feldmann aus Neustadt: „Die Bank kann sich von der Haftung befreien, wenn sie nachweisen kann, dass Sie grob fahrlässig gehandelt haben. Genau hier liegt in der Praxis der häufigste Streitpunkt. Grobe Fahrlässigkeit liegt etwa dann vor, wenn Sie grundlegende Sicherheitsregeln missachtet haben, zum Beispiel Ihre TANs oder Passwörter leichtfertig weitergegeben oder auf offensichtlich gefälschten Seiten eingegeben haben.“

Was zählt zu grober Fahrlässigkeit?

  • Weitergabe von PIN oder TAN per E-Mail, Telefon oder SMS
  • Eingabe sensibler Daten auf offensichtlich gefälschten Webseiten
  • Missachtung klarer Sicherheitshinweise der Bank ( z. B., dass sie niemals per E-Mail oder Anruf persönliche Zugangsdaten erfragt)
  • Nutzung unsicherer Geräte ohne grundlegenden Schutz (z. B. fehlender Virenschutz bei bekannten Risiken)

Phishing: Streitpunkte mit der Bank

Die rechtliche Bewertung von Phishing hängt stark von den Umständen ab. Gerichte berücksichtigen zunehmend, dass Phishing-Angriffe immer professioneller werden. Häufig lehnen Banken eine Erstattung zunächst ab und berufen sich auf ein angeblich grob fahrlässiges Verhalten des Kunden bzw. der Kundin. Dies sollten Sie jedoch nicht vorschnell akzeptieren und eine rechtliche Prüfung veranlassen.

Internet-Rechtsschutz für mehr Sicherheit im Web

Sie möchten bei einer Phishing-Attacke, einem Identitätsdiebstahl oder gegen Ärger beim Online-Kauf rechtlich abgesichert sein? Dann lassen Sie sich vom leistungsstarken Internet-Rechtsschutz der DEVK überzeugen. Mit unserem Online-Rechner können Sie Ihren Beitrag einfach berechnen und Ihre Versicherung direkt abschließen. Unsere DEVK-Berater:innen arbeiten gerne persönlich ein passendes Angebot für Sie aus.

Unsere Services im Internet-Rechtsschutz

  • Identitäts-Schutz im Internet und Darknet (IDPROTECT)
  • IDPROTECT mobileVPN (Sicherheitstunnel)
  • weltweiter Internet-Vertrags-Rechtsschutz
  • Beratungs-Rechtsschutz bei privaten Urheberrechtsverstößen im Internet
  • Online-Rechtsschutz: Online-Rechtsberatung durch unabhängige Anwält:innen sowie Online-Vertrags-Check im privaten und beruflich nichtselbstständigen Bereich
Online berechnen Produkt im Detail

Häufige Fragen zum Thema Phishing

Hier finden Sie Antworten auf häufig gestellte Fragen zum Thema Phishing.

Was bedeutet Phishing auf Englisch?

Beim Begriff „Phishing“ handelt sich um eine Zusammensetzung aus den beiden englischen Worten „password“ (Passwort) und „fishing“ (Angeln). Übersetzt bedeutet es so viel wie „nach Passwörtern angeln“ oder „Daten abfischen“.

Wie viele Cyberangriffe starten mit Phishing?

Phishing ist für Kriminelle im Internet eine einfache und effektive Methode, an persönliche Daten zu gelangen. Im Jahr 2025 wurden der Verbraucherschutzzentrale Nordrhein-Westfalen in Deutschland 382.470 Phishing-Mails gemeldet. Das Bundesamt für Sicherheit und Informationstechnik vermeldet, dass jede dritte unerwünschte E-Mail, z. B. Werbung oder eine gefälschte Gewinnbenachrichtigung, einen Phishing-Versuch beinhaltet.

Was ist eine Phishing-E-Mail?

Phishing-E-Mails sind gefälschte E-Mails, mit denen Kriminelle im Internet versuchen, an persönliche sensible Daten zu gelangen. Dabei geben sie sich z. B. als Bank, Paket- oder Online-Shop aus. Täter:innen nutzen dabei oft falsche Versprechungen oder auch Zeitdruck, um Nutzerinnen und Nutzer zu unüberlegten Handlungen zu bringen. Mittlerweile sind Phishing-E-Mails sehr gut gestaltet und dadurch nicht mehr allzu einfach von vertrauenswürdigen E-Mails zu unterscheiden. Es gibt jedoch Warnsignale, die Ihnen dabei helfen, eine Phishing-E-Mail zu erkennen:
  • Überprüfen Sie kritisch die Absenderadresse, oftmals weicht sie ein wenig von der offiziellen Adresse ab.
  • Eine unpersönliche Anrede ist ein starkes Indiz für Phishing.
  • Erzeugt der Inhalt der E-Mail Zeitdruck, um Sie schnell zu einer Handlung zu verleiten, ist Vorsicht geboten.
  • Prüfen Sie Links, in dem Sie mit der Maus darüberfahren. Klicken Sie grundsätzlich nicht leichtfertig auf Dateianhänge und Links in E-Mails.
Grundsätzlich gilt: Unternehmen erfragen keine sensiblen Daten per E-Mail, SMS oder Telefon. Sind Sie sich unsicher, ob die E-Mail, die Sie erhalten haben, eine Phishing-E-Mail ist? Dann kontaktieren Sie das Unternehmen persönlich, welches Ihnen vermeintlich die E-Mail geschickt hat und klären Sie ab, ob die E-Mail tatsächlich von dort stammt.

Warum bekomme ich plötzlich Phishing-E-Mails?

Dass Sie plötzlich Phishing-E-Mails erhalten, kann verschiedene Gründe haben:
  • Kriminelle haben Ihre E-Mail-Adresse aus einem Datenleck, das z. B. durch einen Hacker-Angriff entstanden ist.
  • Ihre E-Mail ist als Kontaktweg im Internet öffentlich sichtbar, z. B. in einem Profil in den sozialen Netzwerken.
  • Im Internet wird aktiver Datenhandel betrieben. Ihre E-Mail-Adresse kann gesammelt und verkauft worden sein.
  • Ist Ihre E-Mail-Adresse einfach aufgebaut, kann auch schon das simple Ausprobieren von Kombinationen zu Ihrer E-Mail-Adresse führen, an die dann Phishing-E-Mails geschickt werden.
Wichtig ist, dass Sie auf die Phishing-E-Mails niemals reagieren. Antworten Sie nicht, laden Sie keine Anhänge herunter und klicken Sie keine Links an. Markieren Sie die E-Mails außerdem als Spam, damit Ihr E-Mail-Programm lernt, E-Mails des Absenders als Phishing zu erkennen und direkt raus zu filtern.

Wie kann ich meinen Browser vor Phishing schützen?

Grundsätzlich sollten Sie bei verdächtigen E-Mails immer ein gesundes Misstrauen an den Tag legen. Prüfen Sie, ob es sich wirklich um die korrekte Adresse des Absenders handelt, schon kleine Abweichungen deuten auf eine Fälschung hin. Klicken Sie zudem in Mails, die Ihnen verdächtig vorkommen, keine Links an und öffnen Sie keine Anhänge. Nutzen Sie Login-Seiten regelmäßig, z. B. für Ihr Online-Banking, empfiehlt sich das Setzen von Lesezeichen in Ihren Favoriten. Sie verhindern mit der Nutzung, dass Sie durch ein Vertippen in Phishing-Fallen tappen. Ergänzend können Sie auch mit Browsereinstellungen für zusätzlichen Schutz sorgen. In gängigen Browsern haben Sie die Möglichkeit, in den Einstellungen einen zusätzlichen integrierten Phishing-Schutz zu aktivieren. Dieser erkennt gefährliche Seiten und warnt Sie entsprechend vor weiteren Schritten. Ein Passwort-Manager ist ebenfalls eine gute Maßnahme, die zusätzlichen Schutz bietet. Mit der Verwendung verhindern Sie, dass Sie Ihre Zugangsdaten auf gefälschten Internetseiten eintippen.

Was tun Sie, wenn Sie eine Phishing-E-Mail erhalten?

Das Öffnen einer E-Mail ist nicht problematisch, so lange Sie auf keinen Fall Links anklicken oder Anhänge herunterladen. Das Markieren der E-Mail als Spam hilft dabei, dass Ihr E-Mail-Programm zukünftige Mails des Absenders direkt als Spam erkennt und rausfiltert. Im Anschluss löschen Sie die E-Mail am besten umgehend und leeren auch den Papierkorb Ihres Postfachs. Haben Sie einen Link angeklickt, einen Anhang heruntergeladen oder persönliche Daten eingegeben, sollten Sie folgende Schritte durchführen:
  • Sofortmaßnahmen
    Kontaktieren Sie Ihre Bank und lassen Sie Ihr Konto bzw. Ihren Online-Banking-Zugang sperren. Außerhalb der Geschäftszeiten können Sie dafür die Hotline 116 116 nutzen. Veranlassen Sie wenn möglich eine Rückbuchung der unautorisierten Zahlung und ändern Sie Ihre Zugangsdaten. Prüfen Sie Ihr Konto auf weitere Transaktionen und dokumentieren Sie alle Vorgänge.
  • Internetverbindung unterbrechen
    Trennen Sie Ihr Gerät sofort vom Internet. Schalten Sie das WLAN aus oder lösen Sie die Netzwerkverbindung. Gegebenenfalls ist es sinnvoll, auch die Netzwerkeinstellungen zurückzusetzen.
  • Strafanzeige erstatten
    Schildern Sie den Sachverhalt möglichst detailliert und legen Sie vorhandene Beweise vor. Zudem verlangen Banken bei Betrugsfällen häufig die Vorlage einer Anzeige, um Ansprüche zu prüfen.
  • Beweise sichern
    Eine sorgfältige Beweissicherung hilft, den Ablauf des Angriffs nachvollziehbar darzustellen und Ihre eigene Sorgfalt zu belegen. Sichern Sie z. B. Screenshots, Kontoauszüge und Schriftverkehr mit der Bank.

Was passiert, wenn man eine Phishing-E-Mail öffnet, aber keine Links anklickt?

Das Öffnen einer E-Mail gilt grundsätzlich als ungefährlich, da moderne E-Mail-Programme oder Web-Mail-Anwendungen in der Lage sind, automatisch ladende Skripte, die zur Gefahr werden können, direkt zu blockieren. Wichtig ist, dass Sie auf keinen Fall Links anklicken oder Anhänge herunterladen. Einige Mailanbieter laden Bilder in E-Mails automatisch nach, was dazu führen kann, dass Betrüger:innen über das Auslesen der IP-Adresse in Erfahrung bringen können, dass die E-Mail-Adresse genutzt wird. Das Nachladen der Bilder wiederum kann zu mehr Phishing-Mail-Versuchen führen. Überlegen Sie daher, ob Sie diese Funktion deaktivieren möchten.

Wie kann ich Phishing-Mails blocken?

Sie können Phishing-E-Mails blockieren, indem Sie diese als Spam kennzeichnen. Damit geht ein Blockieren des Absenders einher und Ihr E-Mail-Anbieter lernt, dass Mails dieses Absenders direkt aussortiert werden sollen. Weiteren Schutz bietet das Deaktivieren der Bildanzeige, die externe Bilder in Ihren E-Mails automatisch lädt. Das kann zu vermehrtem Phishing-Mail-Aufkommen führen, da durch diese Funktion überprüft werden kann, ob Ihre E-Mail-Adresse aktiv genutzt wird. Grundsätzlich gilt: Klicken Sie niemals Links in verdächtigen E-Mails an, laden Sie keine dubiosen Anhänge herunter und geben Sie niemals persönliche Daten in Formulare ein, denen Sie nicht vertrauen.

Sollte man Phishing-E-Mails löschen?

Ja, das Löschen von Phishing-E-Mails ist sinnvoll, allerdings sollten Sie darauf achten, verdächtige E-Mails zuerst als Spam zu kennzeichnen. Andernfalls lösen Sie das Problem nicht nachhaltig, denn das reine Löschen blockiert nicht den Absender und Ihr E-Mail-Programm lernt nicht, dass es zukünftige Mails dieses Absenders automatisch aussortieren soll. Das erreichen Sie nur durch die zusätzliche Kennzeichnung.

Mit Rat und Tat an Ihrer Seite

Frau sitzt mit Smartphone vor einem Laptop

Internetrechtsschutz

Wir helfen Ihnen bei Identitätsdiebstahl und -missbrauch im Internet und beraten Sie zu Ihren Rechten.
Mehr erfahren
Besorgte Frau liest Unterlagen vor ihrem Laptop

Identitätsdiebstahl

Die Fälle von Identitätsdiebstahl und -missbrauch im Internet häufen sich. Lesen Sie, wie Sie sich dagegen schützen können.
Mehr erfahren
Mann liest konzentriert ein Dokument

Digitaler Nachlass

Nach dem Tod existieren Nutzerprofile und -konten im Internet weiter. Deshalb sollten Sie Ihren digitalen Nachlass frühzeitig regeln.
Mehr erfahren