von Joanna Fackendahl // Illustration von Lara Kaminski
Wer regelmäßig E-Mails checkt – und das dürfte auf fast alle Studis zutreffen – ist ihnen bestimmt schon begegnet: E-Mails von vermeintlichen Banken, Paketdiensten oder Streamingdiensten, die auffordern, dringend persönliche Daten einzugeben. Oft ist von einer „Konto-Sperrung“ die Rede, manchmal wird man gebeten, ein längst vergessenes Paket „freizuschalten“. Was harmlos klingt, ist in Wahrheit eine ernste Bedrohung: Phishing.
Phishing, zusammengesetzt aus „Password“ und „Fishing“, meint das gezielte „Angeln“ nach vertraulichen Informationen. Die Betrüger:innen geben sich dabei als seriöse Institutionen aus, um ahnungslose Nutzerinnen und Nutzer zur Preisgabe sensibler Daten zu bewegen. Doch wie erkennt man solche Betrugsversuche? Und was kann im schlimmsten Fall passieren?
Wenn ein Klick reicht – was passieren kann
Der gefährlichste Aspekt an Phishing ist seine scheinbare Harmlosigkeit. Eine unbedachte Reaktion, etwa das Öffnen eines Links oder das Eingeben von Login-Daten, kann massive Folgen haben. Wer etwa seine Online-Banking-Daten preisgibt, riskiert, dass Kriminelle das Konto plündern. Ebenso können gestohlene Zugangsdaten für Social-Media-Konten verwendet werden, um weitere Betrugsnachrichten zu versenden oder das eigene digitale Ich zu missbrauchen. In manchen Fällen wird sogar Schadsoftware eingeschleust, die das gesamte Gerät infiziert, Daten verschlüsselt oder weitere Informationen ausliest.
Besonders perfide ist, dass viele Phishing-Mails heutzutage erstaunlich professionell gestaltet sind. Logos, Sprache, Layout – alles sieht täuschend echt aus. Manche Mails sind sogar personalisiert. Das steigert die Glaubwürdigkeit und erschwert die Unterscheidung zur echten Kommunikation.
Phishing ist nicht gleich Phishing – verschiedene Maschen im Überblick
Während das klassische E-Mail-Phishing wohl die bekannteste Form ist, gibt es inzwischen zahlreiche Varianten, die sich der zunehmenden Digitalisierung anpassen. Smishing etwa ist der Versuch, per SMS an Daten zu gelangen. Häufig wird dabei behauptet, ein Paket könne nicht zugestellt werden, ein Link führt dann auf eine gefälschte Website. Noch moderner ist das sogenannte Quishing: Hier wird der Betrugsversuch über einen QR-Code gestartet, wie auf einem Plakat, in einem Aufzug oder sogar auf einem gefälschten Aufkleber an der Ladesäule.
Ein besonders gefährlicher Trend ist das sogenannte Spear-Phishing. Dabei werden gezielt Informationen über eine Person gesammelt, um sie mit einer maßgeschneiderten E-Mail zu täuschen. In Unternehmen und Behörden kann das gravierende Folgen haben, doch auch an Hochschulen oder in studentischen Initiativen können solche Angriffe relevant sein. Wer einmal in einem Verteiler steht, ist potenzielles Ziel.
Auch die technische Manipulation nimmt zu: Beim sogenannten „Pharming“ wird etwa durch DNS-Manipulation erreicht, dass man trotz richtiger Eingabe der Webadresse auf eine gefälschte Seite weitergeleitet wird. Die Nutzer:innen bemerken davon meist nichts – bis es zu spät ist.
Woran erkennt man Phishing-Versuche?
Zwar ist Phishing oft sehr gut gemacht, doch es gibt typische Merkmale, die stutzig machen sollten. Viele Betrugsmails sind unpersönlich formuliert („Sehr geehrter Kunde“) oder enthalten auffällig viele Rechtschreibfehler. Auffällig ist auch der Einsatz von Zeitdruck: „Ihr Konto wird gesperrt“, „letzte Erinnerung“ oder „dringender Handlungsbedarf“ sind Klassiker. Wer emotional unter Druck gesetzt wird, reagiert oft schneller, genau das ist das Ziel der Täter.
Ein weiteres Warnsignal sind Links, die zwar vertrauenswürdig aussehen, aber bei näherem Hinsehen zu ganz anderen Seiten führen. Das lässt sich überprüfen, indem man mit der Maus über den Link fährt. Erscheint eine fremde Adresse, sollte man nicht klicken. Auch Absenderadressen verraten viel: Wer genau hinschaut, erkennt oft, dass die Mail nicht von „postbank.de“, sondern von „postbank.kundeninfo@service.de.com“ kommt.
Besondere Vorsicht ist bei Anhängen geboten, vor allem wenn diese Formate wie „.zip“ oder „.exe“ tragen. Dahinter kann sich Schadsoftware verbergen, die sich nach dem Öffnen unbemerkt installiert.
Was hilft wirklich – und wie schützt man sich?
Die gute Nachricht ist: Mit ein paar einfachen Grundregeln lässt sich das Risiko, auf eine Betrugsmail hereinzufallen, deutlich reduzieren. Der wichtigste Ratschlag: keine überstürzten Entscheidungen treffen. Im Zweifel sollte man bei der angeblichen Absenderorganisation direkt nachfragen – über die offizielle Website oder Kundenhotline, nicht über Kontaktdaten aus der Mail.
Zudem empfiehlt es sich, niemals Links direkt aus der Mail heraus anzuklicken, sondern die Adresse manuell in den Browser einzugeben. Auch Anhänge sollten nur geöffnet werden, wenn der Absender zweifelsfrei bekannt ist. Eine aktuelle Antiviren-Software kann helfen, gefährliche Anhänge zu blockieren – ebenso wie E-Mail-Programme mit Phishing-Filter.
Wichtig ist auch: Seriöse Unternehmen fragen niemals per E-Mail nach Passwörtern, PINs oder TANs. Wer solche Aufforderungen bekommt, sollte die Mail sofort löschen und wenn nötig, die Verbraucherzentrale oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) informieren.
Ein Problem, das uns alle betrifft
Phishing ist längst kein Nischenthema mehr. Ob Studierende, Professor*innen, Mitarbeitende oder Verwaltung – alle sind potenzielle Ziele. Und je digitaler unser Alltag wird, desto häufiger werden auch die Angriffe. Das Gefährliche daran ist, dass man nicht viel falsch machen muss, um Opfer zu werden. Manchmal reicht ein unbedachter Klick.
Gerade deshalb ist Aufklärung so wichtig. Wer weiß, worauf zu achten ist, schützt nicht nur sich selbst, sondern auch sein Umfeld. Universitäten sollten daher nicht nur Forschung und Lehre im Blick behalten, sondern auch ein Bewusstsein für digitale Gefahren schaffen, wie mit Infokampagnen, Schulungen oder einfachen Sicherheits-Tipps im Intranet.
Denn eines ist klar: Gegen Phishing hilft keine Firewall – sondern vor allem gesunder Menschenverstand.
Hinweis: Wer aktuell verdächtige Mails erhält, kann diese an die Verbraucherzentrale weiterleiten. Dort wird täglich geprüft und gewarnt, ein Blick auf den sogenannten Phishingradar lohnt sich auch:
https://www.verbraucherzentrale.de/phishingradar
Quellen: