Phishing ist der häufigste Angriffsvektor auf Agenturen. Dieser Quick Win zeigt sieben klare Warnzeichen, an denen Sie gefälschte E-Mails erkennen – von verdächtigen Absenderadressen über künstlichen Zeitdruck bis zu gefährlichen Anhängen. Mit 10-Sekunden-Checkliste für Ihr gesamtes Team.
Das Problem
Eine E-Mail landet im Posteingang. Die Absenderadresse sieht bekannt aus, die Betreffzeile dringlich: „WICHTIG: Rechnung überfällig – sofortiges Handeln erforderlich!“ Im Anhang eine PDF-Datei. Der Zeitdruck ist groß, also wird schnell geklickt. Und plötzlich hat ein Angreifer Zugang zu Ihrem System, Ihren Passwörtern oder Ihrer Agentursoftware.
Phishing ist der mit Abstand häufigste Weg, über den Cyberkriminelle in Unternehmen eindringen. Die E-Mails werden immer professioneller, die Fälschungen immer schwerer zu erkennen. Trotzdem gibt es typische Warnzeichen, die alle im Team kennen sollten. Dieser Quick Win zeigt Ihnen sieben klare Indikatoren, die sofort Alarmglocken auslösen sollten und was Sie dann tun können.
Die Lösung: 7 Warnzeichen für Phishing
Warnzeichen 1: Die Absenderadresse sieht echt aus (aber nur auf den ersten Blick)!
Das täuschendste Element von Phishing-Mails ist oft die Absenderadresse. Auf den ersten Blick sieht sie legitim aus, aber bei genauerer Betrachtung stimmt etwas nicht. Statt „amazon.com“ steht da „amaz0n.com“ mit einer Null statt einem O. Oder statt „info@ihre-bank.de“ kommt die Mail von „info@ihre-bank-service.de”. Manchmal ist auch nur ein Buchstabe vertauscht: „rn“ sieht auf den ersten Blick aus wie ein „m”.
In Agenturen sind E-Mails besonders gefährlich die vorgeben, von Kunden zu kommen. Der Anzeigename lautet „Müller GmbH”, aber die tatsächliche E-Mail-Adresse ist „mueller-gmbh@webmail-provider.com“ statt der echten Firmen-Domain.
Praxis-Tipp: Prüfen Sie immer die vollständige E-Mail-Adresse, nicht nur den Anzeigenamen! In den meisten E-Mail-Programmen sehen Sie die vollständige Adresse, wenn Sie mit der Maus über den Absender fahren oder darauf tippen. Wenn Sie eine E-Mail von einem Kunden oder Geschäftspartner erhalten, vergleichen Sie die Absenderadresse mit früheren E-Mails dieser Person. Jede Abweichung ist verdächtig.
Warnzeichen 2: Dringlichkeit und Druck
Phishing-Mails setzen fast immer auf Zeitdruck. „Ihr Account wird in 24 Stunden gesperrt!”, „Rechnung sofort begleichen, sonst Mahnverfahren!”, „Dringende Sicherheitswarnung – sofort handeln!“ Diese künstliche Dringlichkeit soll Sie dazu bringen, unbedacht zu handeln, bevor Sie rational nachdenken können.
Seriöse Unternehmen setzen keine ultimativen Fristen per E-Mail. Wenn Ihr Bank-Account wirklich ein Problem hätte, würden Sie einen Brief bekommen oder könnten sich über die offizielle Website einloggen. Wenn eine Rechnung wirklich überfällig wäre, würde eine ordentliche Mahnung folgen. Niemand sperrt Accounts mit 24 Stunden Vorlauf per E-Mail. USW…
In Agenturen sind Mails, die vorgeben vom Chef zu kommen, der angeblich in einem Meeting oder auf Geschäftsreise ist und „ganz dringend“ eine Überweisung braucht, besonders perfide. Oder ein Kunde, der „sofort“ eine Datei benötigt und ungewöhnliche Wege dafür wählt.
Praxis-Tipp: Jede E-Mail, die Druck ausübt, verdient eine extra Portion Aufmerksamkeit und Vorsicht. Nehmen Sie sich die Zeit, sie genau zu prüfen. Echte Notfälle werden über mehrere Kanäle kommuniziert, nicht nur per E-Mail.
Warnzeichen 3: Ungewöhnliche Anfragen
Ihr Chef fragt per E-Mail nach einer Überweisung, aber normalerweise macht er das nie auf diesem Weg? Ein Kunde bittet um Zusendung von Passwörtern oder Zugangsdaten? Die Personalabteilung fordert persönliche Daten an, die bereits vorliegen? Das sind klassische Warnzeichen.
Phishing funktioniert, indem vertraute Situationen imitiert werden, aber mit einem ungewöhnlichen Twist. Die E-Mail kommt von einer bekannten Adresse oder sieht bekannt aus, aber die Anfrage passt nicht zum üblichen Verhalten. Wenn etwas ungewöhnlich ist, sollten Sie misstrauisch werden.
Besonders in Agenturen mit wechselnden Projektteams und vielen externen Kontakten ist das schwierig. Schließlich kennen Sie nicht jeden persönlich und Anfragen können durchaus unterschiedlich sein. Trotzdem gilt: Sensible Informationen wie Passwörter, Bankdaten oder persönliche Daten werden seriös niemals per E-Mail angefordert.
Praxis-Tipp: Fragen Sie bei jeder ungewöhnlichen Anfrage per E-Mail telefonisch beim Absender nach. Nutzen Sie eine Telefonnummer, die Sie bereits haben und nicht eine, die in der verdächtigen E-Mail steht!
Warnzeichen 4: Verdächtige Links
Links in Phishing-Mails führen auf gefälschte Websites, die aussehen wie das Original, aber Ihre Zugangsdaten stehlen. Der Link-Text sagt „www.ihre-bank.de”, aber wenn Sie mit der Maus darüber fahren, sehen Sie eine ganz andere URL, etwa „www.ihre-bank-sicherheit.xyz”. Oder der Link ist gekürzt (bit.ly, tinyurl.com etc.) ohne klaren Kontext, worum es geht.
Moderne Browser zeigen die tatsächliche URL meist unten links im Fenster, wenn Sie mit der Maus über einen Link fahren. Auf mobilen Geräten können Sie einen Link länger antippen, um die vollständige URL zu sehen, bevor Sie ihn öffnen. Auch hier gilt: Achten Sie auf subtile Unterschiede. „amazon-kundenservice.de“ ist nicht Amazon, auch wenn es so klingt.
Praxis-Tipp: Klicken Sie Links in E-Mails grundsätzlich nicht direkt an, wenn Sie sich nicht absolut sicher sind. Öffnen Sie stattdessen Ihren Browser und tippen Sie die Website-Adresse manuell ein oder nutzen Sie ein bestehendes Lesezeichen.
Warnzeichen 5: Merkwürdige Anhänge
Unerwartete Anhänge sind ein Haupteinfallstor für Schadsoftware. Besonders verdächtig sind ZIP-Dateien, ausführbare Dateien mit der Endung .exe, Office-Dokumente, die Sie auffordern, Makros zu aktivieren oder Dateien mit doppelter Dateiendung wie „Rechnung.pdf.exe”.
In Agenturen ist das besonders tückisch, weil Sie tatsächlich regelmäßig Dateien per E-Mail erhalten: Briefings, Grafiken, Präsentationen. Trotzdem gilt: Wenn Sie einen Anhang nicht erwarten, öffnen Sie ihn nicht. Selbst wenn die E-Mail von einem bekannten Absender zu kommen scheint , denn E-Mail-Accounts können kompromittiert sein.
Eine besonders gefährliche Variante sind angebliche Bewerbungen. Eine E-Mail mit dem Betreff „Bewerbung auf Ihre Stellenausschreibung“ und einem Anhang „Lebenslauf.pdf“, der jedoch tatsächlich Schadsoftware enthält. Gerade in Agenturen, die regelmäßig neue Mitarbeiter suchen, ist das ein häufiges Einfallstor
Praxis-Tipp: Wenn Sie unsicher sind, fragen Sie über einen anderen Kanal beim Absender nach: „Hast du mir gerade eine E-Mail mit Anhang geschickt?“ kann einen Angriff verhindern. Und gerade bei Bewerbungen lassen Sie Anhänge von Ihrer Antivirus-Software prüfen oder öffnen Sie sie in einer geschützten Umgebung.
Warnzeichen 6: Schlechte Sprache und Formatierung
Früher waren Phishing-Mails leicht an schlechtem Deutsch, Rechtschreibfehlern und merkwürdiger Grammatik zu erkennen. Das hat sich (leider) geändert, denn moderne Phishing-Mails sind oft sprachlich einwandfrei, auch weil Angreifer mittlerweile KI-Tools nutzen. Trotzdem: Wenn eine angebliche E-Mail Ihrer Bank voller Fehler ist, ungewöhnlich formell oder informell formuliert ist oder eine merkwürdige Anrede hat („Sehr geehrter Kunde“ statt Ihres Namens), ist Vorsicht geboten.
Auch die Formatierung kann ein Hinweis sein: Achten Sie hier auf Logos in schlechter Qualität, falsche Farben, fehlende oder falsche Signaturen oder keine oder merkwürdige Kontaktdaten im Footer. Seriöse Unternehmen haben professionelle E-Mail-Vorlagen, die konsistent aussehen.
Praxis-Tipp: Vergleichen Sie verdächtige E-Mails mit früheren E-Mails des vermeintlichen Absenders. Gibt es Unterschiede in Layout, Logo oder Signatur? Wenn ja, ist die E-Mail wahrscheinlich gefälscht.
Warnzeichen 7: Unerwartete E-Mails
Sie erhalten eine E-Mail, dass Ihr Passwort zurückgesetzt wurde, obwohl Sie das gar nicht angefordert haben? Oder eine Paket-Benachrichtigung, obwohl Sie nichts bestellt haben? Eine Rechnung von einem Dienst, den Sie gar nicht nutzen? Das sind klare Warnzeichen.
Legitime Dienste schicken Ihnen Bestätigungen für Aktionen, die Sie selbst ausgelöst haben. Wenn Sie nichts getan haben, ist die E-Mail verdächtig. Besonders gefährlich: Passwort-Reset-E-Mails, die vorgeben, von wichtigen Diensten wie Ihrer Agentursoftware oder dem Cloud-Speicher zu kommen. Der Link in dieser E-Mail führt mit an Sicherheit grenzender Wahrscheinlichkeit auf eine gefälschte Login-Seite, auf der Sie Ihre aktuellen Zugangsdaten eingeben sollen – und diese dann direkt an die Angreifer ausliefern.
Praxis-Tipp: Wenn Sie eine unerwartete E-Mail erhalten, ignorieren Sie sie. Wenn es wirklich wichtig ist, loggen Sie sich direkt über die offizielle Website oder App ein (nicht über den Link in der E-Mail!) und prüfen Sie dort, ob es eine echte Benachrichtigung gibt.
Beispiele aus der Agentur-Praxis
Szenario 1
Der falsche Kunde
Eine E-Mail kommt scheinbar von einem Ihrer Kunden: „Brauchen dringend das Logo in hoher Auflösung für Pressemitteilung, bitte an angehängte Cloud-Link hochladen.“ Die E-Mail-Adresse sieht fast richtig aus, ist aber eine leicht abgewandelte Variante. Der Cloud-Link führt zu einer Phishing-Seite, die Ihre Zugangsdaten abgreifen will.
=> Was hätte Sie warnen sollen?
Vielleicht, dass es eine ungewöhnliche Anfrage ist (warum nicht der normale Weg?), die leicht veränderte Absenderadresse, Zeitdruck (“dringend”).
Szenario 2
Die Bewerbung mit Schadsoftware
Ihre Agentur sucht einen Junior Art Director, die Stelle ist online. Eine E-Mail kommt: „Bewerbung auf Ihre Ausschreibung“ mit Anhang „Bewerbungsmappe.zip“. Die ZIP-Datei enthält mit Sicherheit keine Bewerbung, sondern eine .exe-Datei, die sich als PDF tarnt.
=> Was hätte Sie warnen sollen?
Eine ZIP-Datei ist bei einer Bewerbung eher unüblich, keine Inhalte in der E-Mail selbst, merkwürdiger Dateiname im Anhang.
Szenario 3
Chefin in der Klemme
Eine E-Mail kommt scheinbar von der Geschäftsführung: „Bin gerade im Kundengespräch und kann nicht telefonieren. Bitte dringend 5.000 Euro an folgendes Konto überweisen für wichtigen Deal.“ Die E-Mail-Adresse ist gefälscht, der Angreifer hofft auf schnelles Handeln unter Druck.
=> Was hätte Sie warnen sollen?
Es ist eine ungewöhnliche Anfrage, denn vermutlich bittet Ihr Chef nie auf diesem Weg um Überweisungen, der künstliche Zeitdruck und die Bitte, nicht zurückzurufen.
Was tun, wenn Sie Phishing vermuten?
Wenn eine E-Mail eines oder mehrere der beschriebenen Warnzeichen zeigt oder bei Ihnen sonstwie die Alarmglocken klingeln, gehen Sie so vor:
Nicht klicken, nicht antworten, nicht öffnen. Die E-Mail ist verdächtig, also interagieren Sie nicht damit. Öffnen Sie keine Anhänge, klicken Sie keine Links an, antworten Sie nicht.
Informieren Sie Ihre IT oder Geschäftsführung. Gerade wenn die E-Mail professionell aussieht und andere im Team sie auch erhalten haben könnten, ist es wichtig, zu warnen. Eine kurze Nachricht im Team-Chat oder eine Info an den IT-Verantwortlichen reicht.
Markieren Sie die E-Mail als Phishing oder Spam. Die meisten E-Mail-Programme haben eine Funktion, um E-Mails als Phishing zu melden. Das hilft dem Spam-Filter, ähnliche E-Mails künftig zu blockieren.
Im Zweifel: Absender*in über anderen Kanal kontaktieren. Wenn Sie unsicher sind, ob eine E-Mail echt ist, rufen Sie den vermeintlichen Absender an oder schreiben Sie über einen anderen Kanal (z.B. SMS, interner Chat). Nutzen Sie dabei Kontaktdaten, die Sie bereits haben und nicht die aus der verdächtigen E-Mail.
Dokumentieren Sie besonders raffinierte Phishing-Versuche. Wenn Sie eine besonders gut gemachte Phishing-Mail erhalten, machen Sie einen Screenshot und nutzen Sie ihn als Schulungsmaterial für Ihr Team. Echte Beispiele sind lehrreicher als theoretische Erklärungen.
Die 10-Sekunden-Phishing-Checkliste
Bevor Sie auf eine E-Mail reagieren, stellen Sie sich diese Fragen:
✓ Kenne ich den Absender, die Absenderin persönlich? Wenn nicht oder Sie unsicher sind: Extra-Vorsicht.
✓ Erwarte ich diese E-Mail? Unerwartete E-Mails verdienen Misstrauen.
✓ Ist die E-Mail-Adresse korrekt? Vollständige Adresse prüfen, nicht nur Anzeigenamen.
✓ Erzeugt die Mail Druck oder Dringlichkeit? Künstlicher Zeitdruck ist ein Warnsignal.
✓ Wird nach sensiblen Daten oder Geld gefragt? Nie über E-Mail legitim.
✓ Gibt es verdächtige Links oder Anhänge? Nicht anklicken ohne Überprüfung.
✓ Passt die Anfrage zum üblichen Verhalten? Ungewöhnliches immer hinterfragen.
Wenn auch nur eine dieser Fragen mit „unsicher“ oder „Ja, das ist merkwürdig“ beantwortet wird: Nicht klicken. Erst prüfen.
Umsetzung im Team
Phishing-Erkennung ist Teamsache. Die beste technische Sicherheit hilft nichts, wenn ein einziger Mitarbeiter, eine einzige Kollegin auf eine geschickte Phishing-Mail hereinfällt. Deshalb sollten Sie diesen Quick Win im gesamten Team bekannt machen!
Im nächsten Team-Meeting: Nehmen Sie sich 15 Minuten Zeit, um die 7 Warnzeichen durchzugehen. Zeigen Sie, wenn möglich, ein echtes Beispiel einer Phishing-Mail (vielleicht haben Sie selbst schon eine erhalten). Machen Sie klar: Es ist keine Schande, unsicher zu sein, aber es wird vermutlich zu einem großen Ärgernis, im Zweifel nicht nachzufragen.
Als Poster ausdrucken: Drucken Sie die 10-Sekunden-Checkliste aus und hängen Sie sie sichtbar, am besten dort, wo Menschen ihre E-Mails checken, auf. Ein visueller Reminder hilft, die Warnzeichen präsent zu halten.
Regelmäßige Mini-Updates: Wenn Sie selbst eine besonders raffinierte Phishing-Mail erhalten, teilen Sie das im Team. „Schaut mal, was heute reinkam, fast hätte ich es angeklickt. Woran ich es erkannt habe: …“ Diese echten Beispiele sind wertvoller als jede theoretische Schulung.
Kultur des Nachfragens etablieren: Machen Sie klar, dass es erwünscht ist, im Zweifel zu fragen. Niemand sollte sich dumm vorkommen, weil er oder sie eine E-Mail zur Prüfung weiterleitet. Lieber zehnmal unnötig gefragt als einmal einen echten Angriff übersehen.
Fazit
Phishing-Erkennung ist keine Raketenwissenschaft, aber sie erfordert Aufmerksamkeit und Übung. Die 7 Warnzeichen – verdächtige Absenderadressen, Zeitdruck, ungewöhnliche Anfragen, gefährliche Links, merkwürdige Anhänge, schlechte Sprache und unerwartete E-Mails – decken die allermeisten Phishing-Versuche ab. Wer diese Muster kennt und bewusst darauf achtet, kann den Großteil der Angriffe erkennen, bevor Schaden entsteht.
Das Wichtigste ist: Im Zweifel innehalten.
Lieber einmal zu vorsichtig als einmal zu leichtsinnig. Phishing funktioniert, weil es Zeitdruck und Routine ausnutzt. Wenn Sie sich die zehn Sekunden nehmen, eine E-Mail kritisch zu prüfen, bevor Sie klicken, sind Sie bereits deutlich sicherer als die meisten anderen. Und wenn Sie diese Haltung im gesamten Team etablieren, wird Ihre Agentur zu einem schwierigen Ziel für Angreifer.
Invest & Return
| Zeit-Invest: 10 Minuten zum Lesen und Verstehen der Warnzeichen. Team-Kurz-Schulung 15 Minuten. Effekt: Drastisch reduziertes Risiko erfolgreicher Pishing-Angriffe. Vermeidung von Datenverlust, Ransomware und Folgekosten. Schutz sensibler Kundendaten und Ihrer Reputation. Geschärftes Sicherhietsgefühl im gesamten Team! Schwierigkeit: ⭐⭐ (Lesen und anwenden; Umsetzung im Alltag muss erlernt werden.) |
Fragen an Sie:
Wie viele der 7 Warnzeichen kannten Sie bereits? Haben Sie oder Ihr Team schon einmal Phishing-Mails erhalten? Wie sind Sie damit umgegangen? Gibt es in Ihrer Agentur einen klaren Prozess, wie mit verdächtigen E-Mails umgegangen werden soll? Wurde Ihr Team bereits in Phishing-Erkennung geschult, oder wäre das sinnvoll? Wie würden Sie reagieren, wenn morgen eine E-Mail mit der Betreffzeile „Dringend: Ihr Account wird gesperrt“ in Ihrer Inbox landet?
Weiterführende Links:
Artikel: Cyber-Angriffe auf Agenturen – Systematischer Schutz-Gui
Artikel: IT-Notfallplan für Agenturen – In 5 Schritten vorbereitet (erscheint demnächst)
Quick Win: Passwort-Hygiene – Sichere Passwörter in 5 Minuten (erscheint demnächst)
Häufig gestellte Fragen (FAQ)
Hier die häufig gestellten Fragen (FAQ) zu Pishing Problemen
Was soll ich tun, wenn ich versehentlich auf einen Phishing-Link geklickt habe?
Wenn Sie auf einen Link in einer Phishing-Mail geklickt haben, handeln Sie sofort: Trennen Sie das Gerät vom Netzwerk (WLAN aus, Netzwerkkabel ziehen), damit sich keine Schadsoftware weiter ausbreiten kann. Ändern Sie umgehend alle Passwörter von einem anderen, sicheren Gerät aus. Besonders für E-Mail-Accounts, Agentursoftware und andere geschäftskritische Systeme. Informieren Sie Ihre IT-Verantwortlichen oder Ihren IT-Dienstleister sofort über den Vorfall. Beobachten Sie in den kommenden Tagen Ihre Accounts auf ungewöhnliche Aktivitäten. Wenn Sie Zugangsdaten auf einer gefälschten Website eingegeben haben, gehen Sie davon aus, dass diese kompromittiert sind. Bei Verdacht auf Schadsoftware sollte das System professionell überprüft und gegebenenfalls neu aufgesetzt werden.
Wie kann ich überprüfen, ob eine E-Mail wirklich von meinem Kunden oder einer Geschäftspartnerin stammt?
Der sicherste Weg ist die Überprüfung über einen alternativen Kommunikationskanal. Rufen Sie den vermeintlichen Absender an oder schreiben Sie ihm über einen Messenger oder Chat, den Sie bereits mit ihm nutzen. Dabei sehr wichtig: verwenden Sie dabei Kontaktdaten, die Sie bereits haben, nicht solche aus der verdächtigen E-Mail. Vergleichen Sie die Absender-E-Mail-Adresse mit früheren E-Mails dieser Person in Ihrem Posteingang. Hier sind selbst kleinste Abweichungen verdächtig. Prüfen Sie den E-Mail-Header, wo die vollständige technische Routing-Information steht (in den meisten E-Mail-Programmen über „Quelle anzeigen“ oder „Original anzeigen“ zugänglich). Achten Sie auf den Tonfall und Schreibstil: Schreibt Ihr Kunde normalerweise formeller oder lockerer? Stimmt die Signatur mit früheren E-Mails überein? Bei geschäftskritischen Anfragen wie Überweisungen oder Zugangsdaten ist eine telefonische Rückbestätigung Pflicht, keine Option.
Sind Phishing-Simulationen im Team sinnvoll oder verunsichern sie nur die Mitarbeiter*innen?
Phishing-Simulationen können sehr sinnvoll sein, wenn sie richtig durchgeführt werden. Der Schlüssel liegt in der Zielsetzung: Sie sollten als Lernmöglichkeit gestaltet sein, nicht als Falle oder zur Bloßstellung von Mitarbeitern. Kündigen Sie an, dass Sie in den kommenden Wochen Test-Phishing-Mails verschicken werden, ohne das genaue Datum zu nennen. Wer auf die Test-Mail hereinfällt, erhält eine freundliche Erklärung, woran er oder sie die Mail hätte erkennen können. Bitte keine Bestrafung oder öffentliche Nennung! Werten Sie die Ergebnisse anonym aus und nutzen Sie sie für gezielte Nachschulungen in den Bereichen, in denen die meisten Fehler passiert sind. Simulationen sollten nicht zu häufig stattfinden (maximal alle paar Monate), damit sie nicht als Ärgernis empfunden werden. Wichtig ist die Kultur: Wenn Mitarbeiter*innen Angst haben, Fehler zu machen, werden sie im echten Ernstfall verdächtige E-Mails nicht melden. Schaffen Sie stattdessen eine Atmosphäre, in der Lernen aus Fehlern erwünscht ist.
Hintergrund Beitragsbild von Gerd Altmann auf Pixabay, Grafik Bild von Shakti Shekhawat auf Pixabay