Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Sicherheit & Datenschutz 02.06.2026 · 8 min Lesezeit

Phishing erkennen und melden – Kurzleitfaden fürs Team

Dieser Kurzleitfaden zum Thema Phishing erkennen und melden ist zum Weitergeben an dein Team gedacht: klare Merkmale, echte Beispiele wie CEO-Fraud und Fake-Login, ein definierter Meldeweg und die richtigen Sofortmaßnahmen nach einem Klick.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Mitarbeiterin prüft am Laptop eine verdächtige E-Mail vor dem Melden

Phishing steht am Anfang der allermeisten erfolgreichen Cyberangriffe – und der wichtigste Schutz sitzt nicht in der Firewall, sondern an der Tastatur. Dieser Kurzleitfaden zum Thema Phishing erkennen und melden ist bewusst nicht-technisch und kurz gehalten, damit du ihn unverändert an dein Team weitergeben kannst. Du lernst, woran du Betrugsmails erkennst, welche Maschen 2026 üblich sind, wie du verdächtige Nachrichten über den richtigen Weg meldest und was du tun musst, wenn doch einmal etwas passiert ist. Zielgruppe sind alle Mitarbeitenden im Mittelstand; die technischen Hinweise sind anbieterneutral.

Voraussetzungen

  • Ein definierter Meldeweg im Unternehmen: ein Melde-Button in eurem Mailprogramm und/oder ein zentrales Phishing-Postfach (z. B. phishing@DEINE-DOMAIN.de).
  • Eine bekannte Erreichbarkeit der IT bzw. IT-Sicherheit (Telefon, Ticket, Postfach) für Rückfragen und Notfälle.
  • Aktivierte Mehr-Faktor-Authentifizierung (MFA) für die wichtigen Konten – sie begrenzt den Schaden, wenn ein Passwort doch abgegriffen wird.
  • Für Microsoft 365: eine aktivierte Benutzerberichterstattung und die konfigurierte Bericht/Melden-Schaltfläche (durch eure IT eingerichtet).
  • Die Grundhaltung im Team: Melden ist nie falsch – lieber einmal zu viel als zu wenig, und nie aus Scham verschweigen.

Schritt 1: Phishing-Merkmale erkennen

Phishing-Mails wollen dich zu einer schnellen, unüberlegten Handlung bewegen: klicken, eingeben, überweisen, herunterladen. Achte auf diese Merkmale – einzeln sind sie ein Warnsignal, in Kombination Alarmstufe Rot.

  • Dringlichkeit und Zeitdruck: Formulierungen wie „umgehend aktualisieren, sonst Verlust“ oder eine drohende Kontosperrung sollen Panik erzeugen.
  • Aufforderung zur Eingabe vertraulicher Daten: Seriöse Anbieter fragen niemals per Mail nach Passwort, PIN, TAN oder Kreditkartennummer.
  • Verdächtige Links und Formulare: Eingebettete Anmeldemasken oder Schaltflächen, die dich auf eine externe Seite lotsen.
  • Ungewöhnliche Anliegen von bekannten Absendern: Der „Chef“ bittet plötzlich um eine vertrauliche Überweisung, ein Kollege schickt unerwartet einen Anhang.
  • Auffällige Anhänge: Unerwartete Rechnungen, Office-Dokumente mit Makros oder ZIP-Dateien.

Wichtig für 2026: Verlasse dich nicht mehr auf Rechtschreib- und Grammatikfehler. KI-generierte Phishing-Mails sind sprachlich fehlerfrei und imitieren sogar den Stil bekannter Absender. Auch das Schloss-Symbol bzw. HTTPS ist kein Echtheitsbeweis – auch Betrugsseiten besitzen gültige SSL-Zertifikate.

Absender und Domain genau prüfen

Bei HTML-Mails kann hinter dem angezeigten Namen eine ganz andere Adresse stecken. Führe den Mauszeiger über die Absenderzeile, ohne zu klicken, und prüfe die echte Adresse. Achte besonders auf vertauschte oder zusätzliche Buchstaben in der Domain.

Angezeigter Name:  Microsoft Konto-Team
Echte Adresse:     security@rnicrosoft-konto.de   (rn statt m!)

Erwartet:          microsoft.com
Gefaelscht:        microsoft.com.login-DEINE-DOMAIN.ru
Gefaelscht:        135x-bank.de   (Ziffer statt Buchstabe)

Bewege den Mauszeiger über einen Link, ohne zu klicken. Unten links im Fenster oder als Tooltip erscheint die tatsächliche Ziel-URL. Stimmt die Domain nicht exakt mit dem erwarteten Anbieter überein, ist es eine Kurz-URL oder weicht sie ab: nicht klicken, sondern melden.

Schritt 2: Echte Beispiele und Maschen kennen

Diese vier Maschen treffen Unternehmen am häufigsten. Wenn du sie kennst, fällst du seltener darauf herein.

MascheWie sie abläuftWarnsignal
CEO-Fraud / BECAngeblicher Chef oder Geschäftsführer bittet die Buchhaltung unter Zeitdruck und Geheimhaltung um eine dringende Überweisung.Druck plus Vertraulichkeit, ungewöhnliche Zahlungsbitte, nur per Mail.
Gefälschte RechnungBekannte Rechnung mit geänderter Bankverbindung bzw. IBAN oder mit Schad-Anhang.Plötzlich neue Kontonummer, unerwarteter Anhang.
Fake-Login-SeiteTäuschend echte Anmeldemaske (Microsoft 365, Bank) greift deine Zugangsdaten ab.Erneute Dateneingabe nach dem Login, abweichende Domain.
Behörden- / Paketdienst-FakeMail oder SMS angeblich von Behörde oder Paketdienst mit Link zur „Nachverfolgung“ oder „Gebührenzahlung“.Unerwartete Sendung, Zahlungs- oder Datenaufforderung.

Der wichtigste Reflex bei CEO-Fraud und gefälschten Rechnungen: über einen zweiten, bekannten Kanal verifizieren. Ruf die Person unter der dir bekannten Nummer zurück – niemals unter einer Nummer aus der verdächtigen Mail – und bestätige Zahlungs- oder Datenanforderungen nie allein per Mail.

Schritt 3: Über den richtigen Weg melden

Wenn dir eine Mail verdächtig vorkommt: nicht öffnen, keine Links anklicken, keine Anhänge laden – melden. So geht es in Microsoft 365 bzw. Outlook über die eingebaute Schaltfläche.

1. Verdaechtige Mail in der Liste markieren (nicht oeffnen).
2. In der Menueband-Leiste auf  Bericht  bzw.  Melden  klicken.
3. Im Dropdown  Phishing melden  waehlen.
4. Bestaetigen.
   -> Die Mail wird geloescht und an euer IT-Postfach bzw. Microsoft gesendet.

Hinweis:  Junk melden  ist nur fuer Spam,  Phishing melden  fuer Betrugsversuche.

Hat dein Outlook keine eingebaute Schaltfläche, leite die verdächtige Mail als Anhang an euer internes Phishing-Postfach oder an die IT weiter – als Anhang bleiben die Original-Header erhalten, die die IT zur Analyse braucht.

SituationSo meldest du
Outlook mit Melde-ButtonSchaltfläche Bericht/MeldenPhishing melden
Outlook ohne ButtonMail als Anhang an phishing@DEINE-DOMAIN.de oder an die IT
Microsoft-WeiterleitungMail an phish@office365.microsoft.com
Extern / privat (zusätzlich)Mail an phishing@verbraucherzentrale.nrw; bei Schaden Strafanzeige

Schritt 4: Sofortmaßnahmen nach einem Klick

Es ist trotzdem passiert – du hast geklickt oder Daten eingegeben? Ruhe bewahren und sofort handeln. Jede Minute zählt, aber kein Vorwurf: Schnelles Melden begrenzt den Schaden, Verschweigen vergrößert ihn.

  1. Gerät vom Netz trennen: LAN-Kabel ziehen bzw. WLAN ausschalten, damit sich Schadsoftware nicht ausbreitet.
  2. IT umgehend informieren: über den bekannten Notfallweg – Telefon, Ticket oder Phishing-Postfach.
  3. Passwörter ändern: das betroffene Konto und alle Konten mit gleichem oder ähnlichem Passwort – von einem sauberen Gerät und nur über die offizielle Website/App.
  4. Aktive Sitzungen abmelden: überall abmelden und MFA aktivieren bzw. prüfen.
  5. Gerät prüfen lassen: die IT prüft das Gerät auf Schadsoftware.
  6. Bank informieren: wenn Zahlungs- oder Kontodaten betroffen sind, sofort die Bank kontaktieren und bei finanziellem Schaden Strafanzeige erstatten.

Vorlage: interne Phishing-Meldung an die IT

Diese Felder helfen der IT, schnell zu reagieren. Du kannst sie als E-Mail-Vorlage hinterlegen.

Betreff: Phishing-Verdacht

Absenderadresse (exakt, vollstaendig): ...
Betreff der Verdachtsmail:             ...
Datum/Uhrzeit Eingang:                 ...
Verdaechtiger Link/Anhang (nicht oeffnen): ...
Habe ich geklickt / Daten eingegeben?  ja / nein
Original-Mail als Anhang beigefuegt?    ja / nein

Hinweis für die IT: DSGVO-Meldepflicht

Führt ein Phishing-Vorfall zu einer Verletzung des Schutzes personenbezogener Daten mit Risiko für Betroffene, muss der Verantwortliche dies nach Art. 33 DSGVO unverzüglich – möglichst binnen 72 Stunden ab Kenntnis – der zuständigen Aufsichtsbehörde melden. Bei hohem Risiko kommt die Benachrichtigung der Betroffenen nach Art. 34 DSGVO hinzu. Die Frist startet ab Kenntnisnahme mit angemessener Sicherheit – deshalb ist die schnelle interne Meldung durch dich so entscheidend.

Typische Fehler

  • Auf Rechtschreibfehler als alleiniges Merkmal vertrauen: veraltet – KI-Mails sind sprachlich perfekt.
  • Schloss-Symbol mit Seriosität verwechseln: auch Phishing-Seiten haben gültige Zertifikate.
  • Dem Anzeigenamen glauben: Name und Adresse lassen sich fälschen – immer die echte Domain prüfen.
  • CEO-Fraud unterschätzen: dringende, vertrauliche Bitten „vom Chef“ nie nur per Mail bestätigen.
  • Aus Neugier doch klicken oder Anhänge öffnen: das bestätigt deine Adresse oder startet Schadcode.
  • Aus Scham schweigen oder zögern: die 72-Stunden-Frist läuft ab Kenntnis – verspätetes Melden vergrößert den Schaden.
  • Passwort auf dem kompromittierten Gerät ändern: immer von einem sauberen Gerät über die offizielle Seite.

Häufige Fragen

Woran erkenne ich eine gefälschte Absenderadresse?

Der Anzeigename sagt nichts aus. Führe den Mauszeiger über die Absenderzeile und prüfe die echte Adresse auf vertauschte Buchstaben (z. B. rn statt m), zusätzliche Wörter vor der echten Domain oder Tippfehler-Domains. Im Zweifel meldest du die Mail.

Sind Rechtschreibfehler noch ein gutes Erkennungsmerkmal?

Nein. KI-generierte Phishing-Mails sind grammatikalisch fehlerfrei und treffen sogar den Schreibstil. Achte stattdessen auf Inhalt und Absicht: Druck, ungewöhnliche Geld- oder Datenbitten und verdächtige Links.

Ich habe nur draufgeklickt, aber nichts eingegeben – muss ich trotzdem melden?

Ja. Schon der Klick kann Schadcode starten oder deine Adresse bestätigen. Trenne das Gerät vom Netz und informiere die IT. Melden ist nie falsch.

Was bedeutet der Unterschied zwischen „Junk melden“ und „Phishing melden“?

„Junk melden“ ist für lästige Werbung gedacht: Die Mail landet im Junk-Ordner und der Absender wird geblockt. „Phishing melden“ ist für Betrugsversuche: Die Mail wird gelöscht und an das Berichtspostfach bzw. Microsoft gesendet, damit die IT reagieren kann.

Wie verifiziere ich eine dringende Zahlungsbitte vom Chef?

Über einen zweiten, dir bekannten Kanal – ruf die Person unter ihrer bekannten Nummer zurück, nicht unter einer Nummer aus der Mail. Bestätige Zahlungen niemals allein per E-Mail, auch wenn Zeitdruck gemacht wird.

Soll ich verdächtige Mails auch extern melden?

Im Unternehmen läuft der Hauptweg immer über die IT bzw. das Phishing-Postfach. Privat oder zusätzlich kannst du Phishing zur Auswertung an die Verbraucherzentrale weiterleiten und bei Schaden Strafanzeige erstatten – das ersetzt aber nicht die interne Meldung.

Fazit

Phishing erkennen und melden ist kein Spezialwissen, sondern Teamarbeit. Prüfe Absender und Links mit dem Mauszeiger, werde bei Druck und ungewöhnlichen Bitten misstrauisch und verifiziere kritische Anliegen über einen zweiten Kanal. Im Zweifel klickst du nicht, sondern meldest über den Melde-Button oder das Phishing-Postfach. Passiert doch einmal ein Klick, zählt schnelles Handeln: Gerät trennen, IT informieren, Passwörter von einem sauberen Gerät ändern, Sitzungen abmelden, MFA prüfen. Häng diesen Leitfaden gut sichtbar aus oder verteile ihn im Onboarding – und denk daran: Melden ist nie peinlich, sondern erwünscht.

Weiterführende Anleitungen und Quellen

Quellen: BSI – Wie erkenne ich Phishing in E-Mails und auf Webseiten; Microsoft Learn – Melden von Phishing und verdächtigen E-Mails in Outlook (Stand 05.12.2025); Verbraucherzentrale – Phishing-Radar; Art. 33 DSGVO.

Verwandt

Weiter lesen

Alle Artikel →
Aktenordner und Datenschutz-Symbole als Sinnbild für ein DSGVO-Löschkonzept mit Löschfristen
02.06.2026 ·11 min

Datensicheres Löschkonzept nach DSGVO erstellen

Mit einem DSGVO-Löschkonzept legst du fest, welche personenbezogenen Daten wann und wie gelöscht werden. Diese Anleitung führt dich Schritt für Schritt durch Datenarten, Löschklassen, Löschfristen und den Nachweis – inklusive Vorlagen und Backup-Regeln für den Mittelstand.
Schreibtisch mit Checkliste und Vertragsdokumenten für DSGVO-Dokumentation und Auftragsverarbeitung
02.06.2026 ·10 min

DSGVO-Praxis: TOMs dokumentieren und Auftragsverarbeitung regeln

So dokumentierst du deine technisch-organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO und schließt rechtssichere Auftragsverarbeitungsverträge nach Art. 28 ab – mit Vorlagenstruktur, Checklisten und einer zentralen AVV-Übersicht für den Mittelstand.
Linux-Terminal mit systemctl-Befehlen zur Service-Verwaltung
02.06.2026 ·12 min

Ransomware-Notfallplan: die ersten 60 Minuten

Dieser Ransomware-Notfallplan führt dich als Zeitleiste durch die ersten 60 Minuten nach einem Verschlüsselungsangriff: erkennen, isolieren statt ausschalten, eskalieren, eingrenzen, Backups schützen und fristgerecht melden. Mit Checklisten, Tabellen und Vorlagen für den Mittelstand.