Was ist der Unterschied zwischen Scam und Phishing?

Scam ist der Oberbegriff für betrügerische Nachrichten. Phishing ist die häufigste Form: gefälschte E-Mails, die sich als seriöse Absender ausgeben (Bank, Post, Behörden) und über einen Link auf eine Fake-Login-Seite führen, um Zugangsdaten abzugreifen.

Woran erkenne ich eine Phishing-E-Mail?

Typische Merkmale: abweichende Absenderadresse bei genauem Hinsehen, unpersönliche Anrede, künstlicher Zeitdruck, Link-Zieladresse weicht von der angezeigten ab, Aufforderung Passwörter oder TAN direkt einzugeben, unerwartete Anhänge (.zip, .exe, Office mit Makros).

Wie schütze ich mich vor Phishing?

Absender sorgfältig prüfen, nie Links aus verdächtigen E-Mails klicken sondern die Website direkt im Browser aufrufen, keine Anhänge aus unbekannten Quellen, Zwei-Faktor-Authentifizierung aktivieren, Passwort-Manager mit individuellem Passwort pro Dienst, Betriebssystem und Browser aktuell halten.

Was tue ich mit einer verdächtigen E-Mail?

Als Spam oder Phishing markieren, dann löschen — ohne Links, Anhänge oder eingebettete Bilder zu öffnen. Weiterleiten an das angebliche Unternehmen bringt meist nichts, weil die Mail im Spam-Filter der Empfängerin hängt. Seriöse Firmen betreiben eigene Meldeadressen wie phishing@ oder security@.

Was tun, wenn ich auf einen Phishing-Link geklickt habe?

Schnell handeln: betroffene Passwörter sofort ändern, Karten bei Verdacht sperren, IT oder externe Fachpersonen informieren, Vorgang dokumentieren. Je früher, desto kleiner der Schaden.

pixelwerft klärt auf

Scam- und Phishing-E-Mails

Betrügerische Nachrichten erkennen, richtig reagieren und dein Team nachhaltig sensibilisieren.

Scam-E-Mails – auch bekannt als betrügerische E-Mails – zählen zu den am weitesten verbreiteten Formen von Cyberkriminalität. Ihr Ziel: ahnungslose Nutzerinnen und Nutzer zu täuschen, vertrauliche Daten abzugreifen, Zahlungen auszulösen oder Schadsoftware auf fremden Geräten zu platzieren. Die Folgen können für Einzelpersonen, Unternehmen und Organisationen gleichermassen gravierend sein – finanziell wie reputativ.

Die gute Nachricht: Mit dem richtigen Blick erkennt man die allermeisten dieser E-Mails zuverlässig. Dieser Beitrag zeigt, wie Scam und Phishing funktionieren, worauf du achten solltest und wie du im Ernstfall richtig reagierst.

Scam- und Phishing-E-Mails erkennen und verhindern – pixelwerft

Die häufigste Form: Phishing-E-Mails

Die verbreitetste Variante von Scam-E-Mails sind Phishing-E-Mails. Dabei versenden Angreiferinnen und Angreifer gefälschte Nachrichten, die scheinbar von vertrauenswürdigen Quellen stammen – etwa von deiner Bank, der Post, einer Behörde, einem bekannten Onlineshop oder einem IT-Dienstleister. Die Mails wirken professionell, arbeiten mit echten Logos, Corporate-Farben und plausiblen Betreffzeilen.

Typischerweise enthalten sie einen Link auf eine gefälschte Website, die dem Original täuschend ähnlich sieht. Dort sollst du persönliche Daten eingeben – meist unter einem vermeintlich dringlichen Vorwand wie einer Kontosperrung, einer offenen Rechnung oder einer angeblichen Sicherheitsüberprüfung. Abgegriffen werden unter anderem:

Allgemeine Zugangsdaten zu Online-Diensten
Benutzernamen und Benutzer-IDs
Passwörter und Einmal-Codes (2-Faktor-Codes)
Kreditkarteninformationen und Zahlungsdaten
E-Mail-Adressen – bereits die blosse Information, ob eine Adresse aktiv betreut wird, hat für Angreifer einen Wert

Welches Ziel verfolgen die Angreifer?

Ein zentrales Ziel ist der Diebstahl von Zugangsdaten. Die gefälschten E-Mails geben sich etwa als Kundensupport aus und fordern dich auf, dich «zur Überprüfung» auf einer nachgebildeten Login-Seite anzumelden. Die dort eingegebenen Anmeldedaten landen direkt bei den Kriminellen – und werden genutzt, um auf sensible Konten zuzugreifen, Geld zu transferieren oder Identitätsdiebstahl zu begehen.

Eine zweite gängige Strategie ist das Einschleusen von Schadsoftware. Sie versteckt sich in Anhängen (beliebt sind Word-, Excel- oder PDF-Dateien mit aktivierbaren Makros) oder hinter harmlos wirkenden Links. Einmal aktiviert, kann sie Passwörter mitlesen, Tastatureingaben aufzeichnen, Dateien verschlüsseln (Ransomware) oder sich still im Unternehmensnetzwerk ausbreiten.

Woran erkenne ich eine Scam- oder Phishing-E-Mail?

Auch wenn die Qualität der Fälschungen steigt: Einige Merkmale entlarven viele Angriffe zuverlässig.

Die Absenderadresse weicht beim genauen Hinsehen vom Original ab (z. B. zusätzliche Buchstaben, Zahlendreher oder fremde Domain-Endungen).
Die Anrede ist unpersönlich oder sprachlich auffällig («Sehr geehrter Kunde», «Lieber Nutzer», Grammatikfehler).
Es wird Druck aufgebaut – mit kurzen Fristen, Drohungen oder Verlustszenarien.
Der eingeblendete Link zeigt beim Überfahren mit der Maus eine andere Zieladresse als angegeben.
Du wirst aufgefordert, Passwörter, TAN-Codes oder Kreditkartennummern direkt in der E-Mail oder per Link einzugeben.
Der Anhang wirkt unerwartet oder passt nicht zum Kontext – insbesondere .zip-, .exe- oder Office-Dateien mit Makro-Aufforderung.

Wie kann ich mich schützen?

Wirksamer Schutz ist eine Kombination aus aufmerksamem Verhalten und solider Technik. Wir empfehlen folgende Grundregeln:

Überprüfe Absenderadresse und Inhalt sorgfältig – bei Unsicherheit lieber einmal zu viel nachfragen.
Klicke grundsätzlich nicht auf Links in verdächtigen E-Mails. Rufe die Website stattdessen direkt über den Browser oder ein Lesezeichen auf.
Lade keine Anhänge aus unbekannten oder fragwürdigen Quellen herunter.
Halte Betriebssystem, Browser, E-Mail-Programm und Antiviren-Software aktuell.
Aktiviere wo möglich Zwei-Faktor-Authentifizierung – sie schützt selbst dann, wenn ein Passwort kompromittiert wurde.
Verwende einen Passwort-Manager und für jeden Dienst ein individuelles Passwort.

Warum Mitarbeiter-Sensibilisierung entscheidend ist

Gerade in Unternehmen lohnt sich regelmässige Schulung. Die meisten erfolgreichen Angriffe funktionieren nicht über technische Schwachstellen, sondern über Menschen – über einen unachtsamen Klick im Tagesgeschäft. Klärt dein Team über aktuelle Betrugsmuster auf, übt den Umgang mit verdächtigen Nachrichten und etabliert klare Meldewege innerhalb der Firma. Je mehr Augen geschult sind, desto kleiner wird die Angriffsfläche.

Was mache ich konkret mit einer verdächtigen E-Mail?

In den meisten Fällen bleibt dir nur ein kurzer, aber wirksamer Weg:

Markiere die E-Mail in deinem Postfach als Spam oder Phishing.
Lösche sie anschliessend – ohne Links, Anhänge oder eingebettete Bilder zu öffnen.

Die gut gemeinte Idee, die E-Mail an das angeblich betroffene Unternehmen (z. B. deine Bank) weiterzuleiten, ist nachvollziehbar – praktisch verpufft der Effekt allerdings meist: Weitergeleitete Phishing-Mails bleiben sehr oft im Spam- oder Virenfilter der Empfängerin hängen und erreichen die Fachstelle gar nicht. Seriöse Unternehmen betreiben stattdessen eigene Meldeadressen (häufig phishing@ oder security@), die du im Ernstfall über deren offizielle Website findest.

Ist bereits etwas passiert – ein Klick, eine Anmeldung, ein Download – zählt schnelles Handeln: betroffene Passwörter sofort ändern, Karten sperren lassen, die IT oder externe Fachpersonen informieren und den Vorgang dokumentieren.

Unsicher bei einer konkreten E-Mail?

Wenn du eine verdächtige Nachricht erhalten hast oder eine fundierte Einschätzung für dein Unternehmen brauchst, sind wir gerne für dich da. Wir prüfen, beraten und unterstützen – von der Einzelfallanalyse bis hin zu Awareness-Schulungen für dein Team.

ahoi@pixelwerft.ch

← Zurück zur Übersicht aller Fragen & Antworten