Phishing FAQ – Richtig Verhalten bei verdächtigen E-Mails
Phishing ist eine der häufigsten Einfallsmethoden für Cyberangriffe. Diese FAQ beantwortet die wichtigsten Fragen zum richtigen Verhalten bei verdächtigen Nachrichten, zu Sofortmaßnahmen nach Fehlklicks und zu wirksamen Schutzmechanismen.
Die FAQ dient als Ergänzung zu unserem Phishing-Leitfaden für Unternehmen, der sich mit Phishing-Methoden und technologischen Abwehr-Lösungen auseinandersetzt.
Was ist eine Phishing-Mail?
Eine Phishing-Mail ist eine betrügerische Nachricht, die vorgibt, von einer vertrauenswürdigen Quelle zu stammen und das Ziel hat, den Empfänger dazu zu bringen, sensible Informationen wie Passwörter, Kreditkartendaten oder Zugangsdaten preiszugeben. Häufig enthalten solche Mails täuschend echt gestaltete Logos, offizielle Formulierungen und einen Link zu einer gefälschten Website.
Wie erkenne ich eine Phishing-Mail?
Phishing-Mails erkennt man meist an kleinen Unstimmigkeiten, wie zum Beispiel fremde oder falsch geschriebene Absenderadressen, ungewöhnliche Dringlichkeit („Ihr Konto wird gesperrt!“), verdächtige Anhänge oder Links, die auf unbekannte Domains führen. Auch untypische Anreden oder Grammatikfehler sind Warnzeichen. Im Zweifel sollte kein Link angeklickt und keine Datei geöffnet werden.
Eine detaillierte Checkliste zur Erkennung verdächtiger Nachrichten finden Sie im Abschnitt „E-Mails und Links prüfen“ des Leitfadens.
Was tun, wenn ich eine Phishing-Mail geöffnet habe?
Das bloße Öffnen einer E-Mail ist in der Regel ungefährlich, solange keine Links angeklickt oder Anhänge geöffnet werden. Dennoch sollte die Nachricht sofort gelöscht und der Absender blockiert werden. Falls sie verdächtig wirkt, sollte sie an die IT-Abteilung oder Sicherheitsverantwortlichen gemeldet werden.
Unternehmen und öffentliche Institutionen können das Melden verdächtiger E-Mails außerdem mit Tools wie Sophos Email Advanced automatisieren. Diese Lösung erkennt verdächtige Inhalte auch nach der Zustellung und schützt so vor nachträglich aktivierten Phishing-Links.
Was tun, wenn ich auf einen Phishing-Link geklickt habe?
Wer auf einen Phishing-Link geklickt hat, sollte sofort alle möglicherweise betroffenen Passwörter ändern – insbesondere, wenn Anmeldedaten eingegeben wurden. Anschließend sollte das Gerät mit einer aktuellen Sicherheitslösung auf Schadsoftware überprüft werden. Wichtig: Browser-Cookies löschen und alle Sitzungen im Online-Konto beenden.
Zur schnellen Überprüfung von Endgeräten empfehlen sich Endpoint Protection Lösungen, die kompromittierte Geräte automatisch isolieren und Vorfälle analysieren.
Ein Mitarbeiter hat auf eine Phishing-Mail geklickt – was tun?
Wenn ein Mitarbeiter auf eine Phishing-Mail reagiert hat, sollte sofort gehandelt werden: betroffene Konten sperren, Passwörter ändern und das betroffene Endgerät vom Netzwerk trennen. Anschließend sollte eine forensische Prüfung erfolgen, um mögliche Schadsoftware oder Datenabflüsse zu erkennen. Wichtig ist auch, den Vorfall intern zu dokumentieren, um daraus zu lernen.
Für eine schnelle Erkennung kompromittierter Systeme können Unternehmen Sophos Central oder Sophos Endpoint Protection nutzen. In Kombination mit Phish Threat lassen sich nach einem Vorfall gezielte Awareness-Schulungen durchführen.
Ich habe einen Phishing-Anhang geöffnet – bin ich infiziert?
Das Öffnen eines infizierten Anhangs kann zur Installation von Schadsoftware führen, selbst wenn nichts sichtbar passiert. Verdächtige Dateien, insbesondere Office-Dokumente mit Makros oder ZIP-Anhänge, sollten nie geöffnet werden. Nach einem Fehlklick empfiehlt sich ein sofortiger Scan mit aktueller Sicherheitssoftware und das Trennen des Geräts vom Firmennetzwerk.
Mit Sophos Endpoint können infizierte Prozesse automatisch erkannt und blockiert werden. Die Lösung bietet Exploit-Mitigation und erkennt ungewöhnliche Aktivitäten wie PowerShell-Missbrauch oder unerlaubte Dateiänderungen in Echtzeit.
Wo kann ich Phishing melden?
Phishing-Versuche können an offizielle Stellen weitergeleitet werden, um andere zu warnen und Angriffe zu stoppen. In Deutschland nimmt die Bundesnetzagentur verdächtige SMS und E-Mails entgegen, außerdem können Fälle bei der Polizei oder über die Plattform BSI für Bürger gemeldet werden. Auch E-Mail-Provider bieten meist eigene Formulare zum Einreichen von Phishing-E-Mails an.
Wo kann ich Phishing im Unternehmen melden?
In Unternehmen sollte es klare Meldewege geben. Verdächtige Nachrichten werden idealerweise an eine zentrale Adresse wie phishing@unternehmen.de weitergeleitet oder direkt über die „Phishing melden“-Funktion in Outlook bzw. Microsoft 365 gemeldet. Wichtig: keine eigenständige Weiterleitung an Kollegen, um eine versehentliche Verbreitung zu vermeiden.
Unterstützend können Sicherheitslösungen wie Sophos Email Advanced und Sophos Phish Threat eingesetzt werden. Diese Tools erleichtern das Melden und Analysieren verdächtiger E-Mails und tragen zur Awareness-Schulung der Belegschaft bei.
Ist eine E-Mail schon gefährlich, wenn ich sie nur öffne?
Das reine Öffnen einer E-Mail ist in modernen Mail-Clients meist unkritisch, solange keine Links angeklickt und keine Anhänge geöffnet werden. Risiko entsteht vor allem durch aktive Inhalte (Makros, Skripte) und durch das Nachladen externer Elemente. Deaktivieren Sie das automatische Laden externer Bilder und nutzen Sie die Vorschau mit Vorsicht.
Mehr zum sicheren Umgang von Phishing-Mails, gibt es unter „E-Mails und Links prüfen“ sowie im Beitrag E-Mail-Sicherheit.
Reicht ein Spamfilter als Phishing-Schutz?
Nein. Ein Spamfilter reduziert unerwünschte Nachrichten, verhindert aber nicht alle Phishing-Versuche – insbesondere gezielte, gut gemachte oder nachträglich manipulierte Mails. Effektiver Phishing-Schutz erfordert einen mehrschichtigen Ansatz aus E-Mail-Security, Webfilter/DNS-Filter, Endpoint-Schutz, MFA und Awareness.
Warum Mehrschichtschutz entscheidend ist, erläutern wir im Leitfaden-Kapitel zu technischen Lösungen.
Warum sind Multi-Factor-Authentication (MFA) und Passkeys so wichtig gegen Phishing?
MFA fügt eine zweite Sicherheitsstufe hinzu, sodass gestohlene Passwörter allein nicht reichen. Passkeys (FIDO2) gehen einen Schritt weiter: Sie sind phishingsicher, weil keine wiederverwendbaren Geheimnisse übertragen werden. Selbst perfekt gefälschte Login-Seiten können Passkeys nicht abgreifen.
Wie Passkeys funktionieren, beschreiben wir hier: Passkeys erklärt.
Wie kann ich Phishing am Smartphone erkennen und vermeiden?
Achten Sie bei SMS/Messenger auf Kurzlinks, Druck („sofort handeln“) und unbekannte Absender. Öffnen Sie keine Anhänge aus unbekannten Quellen, installieren Sie Apps nur aus offiziellen Stores und deaktivieren Sie das automatische Link-Öffnen. Unternehmensseitig helfen MDM-Richtlinien, DNS/Webfilter und aktuelle Gerätesicherheit.
Praxisleitfaden zu mobilen Risiken: Mobile Security.
Was tun, wenn ein Konto kompromittiert wurde?
Wenn ein Benutzerkonto kompromittiert ist, sollte sofort das Passwort geändert und Multi-Faktor-Authentifizierung aktiviert werden. Entfernen Sie aktive Sitzungen und informieren Sie Ihren Administrator. Prüfen Sie im Anschluss, ob unautorisierte Änderungen, Weiterleitungen oder neue Gerätezugriffe vorliegen. Anschließend sollten betroffene Systeme ausführlich vom Administrator untersucht werden.
Wie baue ich eine einfache Meldekette & Fehlerkultur auf?
Eine funktionierende Meldekette sollte klar definierte Verantwortlichkeiten und Kommunikationswege enthalten. Mitarbeitende müssen wissen, an wen sie sich im Verdachtsfall wenden können – ohne Angst vor Sanktionen. Eine offene Fehlerkultur fördert, dass Vorfälle schnell gemeldet werden und das IT-Team rechtzeitig reagieren kann.
Praktische Tipps zum Aufbau interner Strukturen finden Sie im Abschnitt „Verdächtige Inhalte melden“. Ergänzend unterstützen Awareness-Schulungen dabei eine sichere und lernorientierte Unternehmenskultur zu fördern.
Phishing & Lieferanten/Partner: Wie schützen wir die Supply Chain?
Viele Phishing-Angriffe erfolgen über kompromittierte Partnerkonten oder gefälschte Lieferantenmails. Unternehmen sollten deshalb externe Kommunikationspartner in ihre Sicherheitsstrategie einbeziehen. Dazu gehören Absenderkennzeichnungen, Domain-Authentifizierung (SPF, DKIM, DMARC) und regelmäßige Überprüfungen verdächtiger Kommunikationsmuster.
Wie Sie Partnerkommunikation absichern und E-Mail-Authentifizierung einrichten, erfahren Sie im Beitrag E-Mail-Spoofing erkennen und verhindern. Für eine zuverlässige Absenderüberprüfung empfiehlt sich außerdem das Sophos DMARC Manager Add-on, mit dem sich SPF-, DKIM- und DMARC-Richtlinien zentral verwalten und überwachen lassen.
Erste Hilfe bei Phishing-Vorfällen
Auch mit den besten Sicherheitsmaßnahmen kann ein Phishing-Angriff durchrutschen. Entscheidend ist dann, schnell und richtig zu reagieren: Konten sichern, Systeme prüfen und weitere Schäden verhindern. Wir leisten Erste Hilfe bei Phishing-Vorfällen – kompetent, pragmatisch und vertraulich.
Wenn Sie einen Verdacht auf Phishing- oder andere aktuelle Sicherheitsvorfälle haben, können Sie sich direkt an das Firewalls24-Team wenden. Wir helfen bei der technischen Analyse, unterstützen bei Sofortmaßnahmen und beraten, wie Sie Ihre IT-Strukturen nachhaltig absichern.
