Phishing-Mails gehören heute zum Alltag – und sie werden immer überzeugender. Betrüger fälschen Absenderadressen, imitieren bekannte Unternehmen und bauen Druck auf, damit Empfänger unbesonnen handeln. Ziel ist es, Zugangsdaten zu stehlen, Zahlungen auszulösen oder Schadsoftware zu installieren.
Das Heimtückische: Als Inhaber einer Domain kannst du nicht vollständig verhindern, dass jemand deinen Namen als Absender missbraucht. Was du aber kannst: dich und deine Mitarbeitenden sensibilisieren, technische Schutzmassnahmen umsetzen – und wissen, was zu tun ist, wenn doch etwas schiefgeht.
Woran erkennst du eine Phishing-Mail?
Gefälschte Absenderadresse: Die Adresse wirkt auf den ersten Blick echt, enthält aber einen Tippfehler oder eine andere Domain – z. B. [email protected] statt microsoft.com. Klicke auf den Absendernamen, um die vollständige Adresse zu sehen.
Unpersönliche Ansprache: Formulierungen wie «Sehr geehrter Nutzer» oder «Dear Customer» deuten darauf hin, dass die Mail massenhaft verschickt wurde – ohne deinen echten Namen zu kennen.
Vorgespiegelte Dringlichkeit: «Dein Konto wird in 24 Stunden gesperrt» oder «Sofortiger Handlungsbedarf» sind klassische Druckmittel, die Empfänger zum unbesonnen Klicken verleiten sollen.
Verdächtige Links: Fahre mit der Maus über einen Link, ohne darauf zu klicken – die echte Zieladresse erscheint in der Statuszeile des Browsers. Stimmt sie nicht mit dem angezeigten Text überein, ist das ein Warnsignal.
Aufforderung zur Anmeldung: Wenn du auf einen Link klicken musst und dann nach Benutzername und Passwort gefragt wirst – insbesondere für Bankkonten, Microsoft 365 oder ähnliches – ist höchste Vorsicht geboten.
Zahlungsaufforderungen: Betrugsmails fordern häufig zur Online-Zahlung auf, oft mit einer Frist und einem Bedrohungsszenario.
Verdächtige Anhänge: Dateianhänge – insbesondere .exe, .zip, .docm oder .xlsm – die nicht explizit angefordert wurden, solltest du nie öffnen.
Schlechtes Deutsch oder Fremdsprache: Viele Phishing-Mails sind maschinell übersetzt und enthalten auffällige Grammatikfehler oder sind in einer Sprache verfasst, die du mit dem vermeintlichen Absender nie verwenden würdest.
Was tun, wenn du auf einen Link geklickt hast?
Nicht in Panik verfallen – aber sofort handeln:
Kein Passwort eingeben, falls du auf einer Login-Seite gelandet bist. Schliesse das Fenster sofort.
Passwort ändern, falls du Zugangsdaten eingegeben hast – und zwar sofort, bevor Betrüger es tun. Gleiches gilt für alle anderen Konten, bei denen du dasselbe Passwort verwendest.
Zwei-Faktor-Authentifizierung aktivieren, falls noch nicht geschehen – das schützt auch dann, wenn ein Passwort bekannt ist.
IT oder Webagentur informieren, damit der Vorfall eingeschätzt und allfällige weitere Massnahmen eingeleitet werden können.
Antivirus-Scan durchführen, falls ein Anhang geöffnet wurde.
Technischer Schutz: Deine Domain absichern
Wenn E-Mails in deinem Namen versendet werden, obwohl du sie nie geschrieben hast, fehlen oft die technischen DNS-Einträge, die andere Mailserver anweisen, solche Fälschungen abzulehnen. Die wichtigsten Schutzmassnahmen:
SPF (Sender Policy Framework): Legt fest, welche Server E-Mails in deinem Namen versenden dürfen.
DKIM (DomainKeys Identified Mail): Signiert ausgehende E-Mails kryptografisch, damit der Empfänger die Echtheit prüfen kann.
DMARC: Kombiniert SPF und DKIM und gibt an, was mit E-Mails geschehen soll, die die Prüfung nicht bestehen – z. B. direkt ablehnen oder in Quarantäne verschieben.
Als Webagentur aus Wallisellen / Grossraum Zürich helfen wir KMU, Vereinen und Organisationen in der Deutschschweiz dabei, ihre E-Mail-Infrastruktur technisch abzusichern – mit korrekten SPF-, DKIM- und DMARC-Einträgen, sicheren Hosting-Konfigurationen und über 20 Jahren Erfahrung in Webentwicklung, Webdesign, TYPO3 und CakePHP.
Nimm Kontakt auf – wir überprüfen gerne, ob deine Domain korrekt geschützt ist.
.svg)
