ideaDIGITAL — Header v17 (Pilot)
Spam, Scam und Phishing — Ratgeber — ideaDIGITAL (Pilot v4)
Ratgeber · Sicherheit im Posteingang

Spam, Scam und Phishing.
Was wirklich gefährlich ist — und was Sie tun, wenn Sie schon geklickt haben.

„Ich hab da grad auf einen Link geklickt — was passiert jetzt?" — das ist die Frage, mit der die meisten Anrufe zu diesem Thema beginnen. Meist ist die Antwort beruhigend, manchmal nicht. Dieser Ratgeber erklärt den Unterschied zwischen Virus, Spam und Phishing, zeigt die aktuellen Maschen 2025/2026 mit konkreten Beispielen und gibt eine klare Notfall-Anleitung für den Fall des Falles.

13. Mai 2026 22 Minuten Lesezeit ideaDIGITAL Redaktion

1. Die Lage: warum E-Mail-Sicherheit jetzt eines der wichtigsten Themen ist

E-Mails waren mal eine entspannte Sache. Vor zwanzig Jahren bekam man Nigeria-Mails mit grauenhaften Rechtschreibfehlern, ein Klick auf „Antworten" oder „Spam" reichte. Heute ist die Situation eine andere — und der Hauptgrund hat einen Namen: Künstliche Intelligenz.

82,6 %
aller Phishing-Mails 2025/2026 werden inzwischen KI-generiert. Damit gehören Rechtschreibfehler als Erkennungsmerkmal weitgehend der Vergangenheit an[1]
11 %
der deutschen Internet-Nutzer wurden 2025 Opfer von Cyberkriminalität — laut BSI-Cybersicherheitsmonitor 2026, gemeinsam mit ProPK[2]
88 %
der Betroffenen erlitten Schaden, ein Drittel davon einen finanziellen — die anderen meist Identitätsdiebstahl oder Datenverlust[2]
10,6 Mrd. €
Schadensumme durch Betrugsmaschen allein in Deutschland im Jahr 2024 — laut State of Scams Report der Global Anti Scam Alliance[3]

Die Zahlen sind keine Panikmache, sondern eine nüchterne Bestands­aufnahme. Das BSI registriert in seinem Lagebericht 2025 einen Unique-IP-Index von 1.189 für Mai 2025 — fast das Vier­fache des Wertes von Juli 2024[4]. Übersetzt heißt das: Die Zahl der erreichbaren Bot-Netz-Adressen, die für solche Angriffe genutzt werden, ist binnen eines Jahres explodiert.

Trotzdem: Panik ist der falsche Modus. Die meisten Bedrohungen sind technisch trivial und scheitern, wenn man die wichtigsten Verhaltens­regeln einhält. Genau darum geht es in diesem Ratgeber.

Es gibt zwei Arten von E-Mail-Nutzern. Die einen wissen, was Phishing ist, und sind wachsam. Die anderen werden gerade wachsam, weil sie schon geklickt haben. Dieser Ratgeber ist für beide. aus der Beratung

2. Virus, Spam, Scam, Phishing — der Unterschied

Im Alltag werden die Begriffe oft synonym verwendet. „Da war ein Virus in meiner E-Mail" sagt jemand, meint aber eine Phishing-Mail. „Das ist alles Spam" sagt eine andere, meint aber Scam. Saubere Begriffe helfen, weil sie auch saubere Reaktionen ermöglichen.

Spam
engl. „Spiced Ham", aus Monty-Python-Sketch
Unerwünschte, massen­haft versandte Werbung. Ärgerlich, aber meist nicht direkt gefährlich. Ziel: Aufmerksamkeit. Das Pendant zum analogen Werbe-Brief, nur ohne Briefträger und mit Millionen Empfängern.
Scam
engl. „Betrug, Schwindel"
Betrugs-Versuch per E-Mail oder Messenger. Hier ist das Ziel finanzielle Schädigung. Klassiker: vermeintliche Erbschaft, Lotto-Gewinn, romantischer Kontakt mit anschließender Geld-Bitte. Erfordert meist aktive Mitwirkung des Opfers.
Phishing
engl. „password + fishing"
Versuch, Zugangsdaten oder andere sensible Informationen durch Täuschung abzugreifen — meist über eine gefälschte Webseite, die einer echten täuschend ähnlich sieht. Die häufigste E-Mail-Bedrohung 2025/2026.
Virus / Malware
lat. „virus" + „malicious software"
Schadsoftware, die sich auf einem Gerät installiert und dort aktiv etwas tut: Daten ausspionieren, verschlüsseln (Ransomware), Tastatureingaben mit­schneiden, das Gerät als Teil eines Bot-Netzes missbrauchen. Wird oft durch Phishing eingeschleust, ist aber etwas anderes.

Die wichtigste Unterscheidung: passiv oder aktiv?

Wer den Unterschied auf einen Punkt bringen will: Spam ist passiv (Sie ignorieren es), Scam und Phishing brauchen Ihre Mitwirkung (Klick, Daten-Eingabe, Überweisung), und Viren werden technisch aktiv auf Ihrem Gerät — meist nachdem ein Phishing-Klick die Tür geöffnet hat.

Daraus folgt eine wichtige praktische Erkenntnis: Die allermeisten E-Mail-Bedrohungen werden nur dann gefährlich, wenn Sie etwas aktiv tun. Eine reine Phishing-Mail im Posteingang, die Sie nicht öffnen, ist harmlos. Das Anschauen einer E-Mail (auch einer mit Schadsoftware-Anhang) löst in modernen Mail-Programmen normalerweise noch keinen Schaden aus. Erst der Klick auf den Link, der Download des Anhangs, das Öffnen des Office-Dokuments mit aktivierten Makros — das sind die kritischen Momente.

Drei Varianten, die jetzt zunehmen

Drei Begriffe sollten Sie noch kennen, weil sie 2025 stark zugenommen haben:

  • Smishing — Phishing per SMS. Vor allem die DHL-Paket-Masche („Ihr Paket konnte nicht zugestellt werden, bitte hier bestätigen…") läuft inzwischen viel über SMS, weil die Erkennungs-Algorithmen für E-Mail-Spam dort nicht greifen[5].
  • Vishing — „Voice Phishing", also Phishing per Telefon. Hier rufen Betrüger an und geben sich als Bank, Behörde oder Microsoft-Support aus. Seit 2024 zunehmend mit KI-Stimmen, die echte Personen imitieren können (Deepfake-Stimmen).
  • Quishing — Phishing per QR-Code. Sie scannen einen QR-Code, der angeblich zur Park-App oder zum Restaurant-Menü führt — und landen auf einer gefälschten Anmelde-Seite. Besonders perfide, weil das Smartphone die URL nur kurz anzeigt.

Alles drei sind im Kern dieselbe Maschen-Logik wie klassisches Phishing, nur über andere Kanäle.

3. Wer steckt dahinter und was sind die Ziele?

Es ist ein verbreitetes Missverständnis, dass hinter Phishing-Mails einzelne kriminelle „Hacker" sitzen, die im Keller-Hoodie an einem Rechner arbeiten. In Wirklichkeit sind die meisten dieser Aktionen arbeitsteilig organisierte Wirtschafts­kriminalität, oft international vernetzt, mit klarer Aufgaben­teilung:

  • Adress-Sammler — sammeln E-Mail-Adressen aus geleakten Datenbanken, sozialen Netzwerken, oder über Spam-„Test-Mails", die sehen sollen, welche Adressen aktiv sind
  • Infrastruktur-Anbieter — betreiben Bot-Netze und vermieten sie an Kriminelle, die ihre Mails über tausende kompromittierte Server gleichzeitig versenden können
  • Phishing-Kit-Verkäufer — verkaufen fertige Webseiten-Pakete, die echte Bank- oder Behörden-Seiten kopieren. Der Käufer muss nur noch Empfänger und Texte einsetzen
  • Money-Mules — Personen, die wissentlich oder unwissentlich Geld weiter­leiten, um die Spur zu verwischen
  • Cash-Out-Spezialisten — heben das erbeutete Geld letzt­endlich in Bargeld oder schwer rück­verfolgbare Kryptowährungen um

Die Ziele dieser organisierten Tätergruppen sind je nach Maschen-Typ unterschiedlich — aber selten so romantisch wie „nur ein bisschen Schadenfreude". In den allermeisten Fällen geht es um Geld oder um Daten, die zu Geld werden können.

Die häufigsten Ziele

  • Zugangsdaten zu Bank-Konten oder PayPal — direktes Abräumen, oft binnen Minuten
  • Kredit­karten-Daten — Verkauf in einschlägigen Foren, ab 5-10 € pro Datensatz
  • Zugangs­daten zu E-Mail-Konten — wertvoll, weil viele andere Dienste damit zurückgesetzt werden können
  • Identitäts-Daten — werden für Online-Bestellungen, Kredit-Anträge oder Krypto-Konten auf fremden Namen verwendet
  • Firmen-Zugänge — bei Unternehmen das Ziel des „CEO-Frauds" oder Ransomware-Angriffs, oft mit sechs- bis siebenstelligen Forderungs­summen
  • Rechen­leistung Ihres Computers — wird in Bot-Netzen für weitere Angriffe oder Krypto-Mining missbraucht
Eine wichtige Einsicht

Phishing-Mails werden nicht zufällig an Sie persönlich gerichtet. Sie sind ein Massen­phänomen: Millionen Versendungen mit der Hoffnung, dass ein einstelliger Prozentsatz reagiert. Genau das ist auch die gute Nachricht: Sie sind nicht das ausgewählte Opfer eines hochintelligenten Gegners, sondern einer von Millionen Empfängern einer industriell verschickten Massenmail. Das hilft, ruhig zu bleiben.

4. Die häufigsten Maschen 2025/2026

Die Maschen wechseln, aber die Grundmuster wiederholen sich. Hier die sechs häufigsten Vorgehensweisen, die uns aktuell bei Kunden begegnen — alle mit echtem Hintergrund.

Masche 1 · Paketdienst

„Ihr Paket konnte nicht zugestellt werden"

Angeblich von DHL, DPD, GLS oder dem Zoll. Per E-Mail oder SMS. Sie sollen Zoll-Gebühren nach­zahlen, Adress­daten bestätigen oder eine „Lager­gebühr" begleichen. Aktuell sehr verbreitet ist die Variante mit Paysafecard-Codes oder Klein­beträgen von 1,99–4,99 €, weil sich kaum jemand für so wenig Geld die Mühe macht zu prüfen[5].

Erkennen: Echte Paket­dienste verlangen Nachzahlungen nie über zufällige Links. Im Zweifel direkt auf dhl.de oder dpd.de einloggen und den Sendungs­status prüfen.
Masche 2 · Bank-Phishing

„Ihr Konto wurde gesperrt — bitte sofort bestätigen"

Angeblich von Sparkasse, Volksbank, DKB, ING, Postbank. Sehr oft mit kurzer Frist („binnen 24 Stunden, sonst Konto­sperrung"). Der Link führt auf eine täuschend echte Login-Seite, die alle eingegebenen Daten direkt an die Täter weiter­leitet. Manchmal mit nachträglicher TAN-Abfrage „zur Verifizierung". Diese Daten genügen für eine Überweisung in Echtzeit[6].

Erkennen: Banken kommunizieren wichtige Dinge nie über E-Mail-Links, sondern über das Postfach im Online-Banking oder per Brief. Im Zweifel die Bank direkt anrufen — mit der Telefon­nummer von der eigenen Kunden­karte, nicht aus der E-Mail.
Masche 3 · Fake-Rechnung

„Ihre offene Rechnung — Mahnung 2"

Eine angebliche Rechnung über einen mittleren Betrag (typisch 800–900 €) oder eine vermeintliche Mahnung mit Inkasso-Drohung. Manchmal mit Logos echter Firmen, manchmal von erfundenen „Online-Shops". Aktuell sehr verbreitet bei kleinen Unternehmen mit öffentlich zugänglicher E-Mail wie info@ oder rechnung@. Die heimtückischste Variante: Manipulierte echte Rechnungen nach einem vorigen E-Mail-Account-Hack des Lieferanten — die IBAN ist eine andere, alles andere stimmt[3].

Erkennen: Bei größeren Beträgen immer Lieferanten telefonisch zurück­rufen (mit bekannter Nummer, nicht aus der Rechnung). Bei behauptet offenen Rechnungen: prüfen, ob es das angebliche Geschäft überhaupt gab.
Masche 4 · Behörden-Mail

„Bundeszentralamt für Steuern — Wichtige Mitteilung"

Angeblich vom Finanzamt, BZSt, Zoll, vom Bundes­ministerium oder sogar BSI. Meist mit Behörden-Logos und drohendem Ton. Oft Anhänge oder Links zu „amtlichen Formularen", die in Wahrheit Schadsoftware oder Phishing-Seiten enthalten[7].

Erkennen: Deutsche Behörden kommunizieren in steuer­lichen oder bußgeld­relevanten Sachen ausschließlich per Brief, in seltenen Fällen über ELSTER oder das Bürger­portal. Niemals über E-Mail-Links zu Anmelde-Seiten.
Masche 5 · CEO-Fraud

„Können Sie kurz eine Überweisung für mich machen?"

Eine E-Mail, scheinbar vom Chef oder einem Vorstand der eigenen Firma, mit der Bitte um eine dringende Überweisung — meist mit der Begründung „Bin in Verhandlung, brauche das diskret und schnell". Manchmal mit gefälschter Absende-Adresse, manchmal aus einem tatsächlich gehackten Postfach. Diese Masche kostete deutsche Unter­nehmen 2024 zweistellige Millionen­beträge[8].

Erkennen: Vier-Augen-Prinzip bei jeder ungewöhnlichen Überweisung. Im Zweifel persönlich oder über bekannte Tele­fon-Nummern zurück­rufen. Niemals nur auf der E-Mail aufbauend handeln.
Masche 6 · Hosting / Domain

„Ihre Domain läuft in 24 Stunden ab"

Angeblich vom „Web Domain Deutschland", „DomainRegistrar" oder einer ähnlich klingenden Firma — mit der Aufforderung, dringend zu zahlen, sonst verliere man die Webseite. Manchmal mit echten Daten aus dem öffentlich abfragbaren Domain-Eintrag. Klassische Verunsicherungs-Masche, die auf das Halbwissen vieler Unter­nehmer setzt[9].

Erkennen: Wer Ihre Domain registriert hat, weiß, wo Sie sie verlängern müssen — meist Ihr Hoster (z.B. webgo), nicht zufällige Drittfirmen. Solche Mails sind sehr oft Inkasso-Versuche für nie bestellte Leistungen.

5. Wie erkennt man eine verdächtige E-Mail?

Hier ändern sich die Regeln gerade. Vor fünf Jahren hieß die Antwort: „Rechtschreibfehler suchen." Das funktioniert heute kaum noch, weil 82,6 % aller Phishing-Mails KI-generiert sind und entsprechend sprach­lich sauber daher­kommen[1]. Das BSI selbst zählt Tippfehler heute zu den schwächeren Merkmalen[10]. Die stärkeren Merkmale sind diese:

Merkmal 1: Stimmt die Absender-Adresse wirklich?

Im Mail-Programm steht oft als Absender etwas wie „DHL Express <service@dhl.de>". Aber Vorsicht: Der angezeigte Name kann beliebig gewählt sein. Die wahre Absender-Adresse — also der Teil hinter dem < > — zeigt erst, wer wirklich schickt. Häufige verräterische Muster:

  • Zahlen oder Buchstaben im Domain-Namen, die nicht hingehören: dhl-versand.com statt dhl.de
  • Komplett unbekannte Domain-Endungen: .shop, .xyz, .click
  • Lange, kryptische Adressen: noreply@a7f3-mail-server-2.delivery.net
  • Bekannte Firmen-Namen in der lokalen Domain-Adresse: dhl@delivery-service.com — das ist nicht DHL, sondern delivery-service.com

Merkmal 2: Wohin führt der Link wirklich?

Klicken Sie nicht auf den Link, aber fahren Sie mit der Maus darüber (auf dem PC) oder drücken Sie lange darauf (auf dem Smart­phone). Die wirkliche URL wird angezeigt — meist unten in der Status­leiste oder in einem Vorschau-Fenster. Wenn dort etwas völlig anderes steht als im Text-Link, ist die Mail praktisch sicher unsauber.

Merkmal 3: Persönliche Anrede oder anonym?

Echte Geschäfts­partner — Bank, Versicherung, Hoster — sprechen Sie meist persönlich mit Namen an. Wenn statt­dessen „Sehr geehrter Kunde", „Hallo," oder „Sehr geehrte Damen und Herren" steht, ist das ein deutlicher Warnhinweis[11]. Vorsicht aber: KI-Tools schreiben inzwischen auch personalisiert. Eine namentliche Anrede ist also kein Echtheits­beweis, nur das Fehlen einer Anrede ein Verdachts­moment.

Merkmal 4: Wird Druck oder Dringlichkeit aufgebaut?

„Binnen 24 Stunden bestätigen — sonst Konto­sperrung." „Letzte Mahnung." „Sicherheits-Vorfall — sofort einloggen." Druck ist das wichtigste Werkzeug der Phishing-Industrie, weil ein Mensch unter Zeit­druck schlechter denkt. Eine seriöse Firma würde Sie nie über eine Mail zu sofortigem Handeln zwingen.

Merkmal 5: Passt die Mail zu Ihrer tatsächlichen Lebens­situation?

Bekommen Sie eine Mahnung für einen Online-Shop, bei dem Sie nie bestellt haben? Eine Sicher­heits­warnung von einer Bank, bei der Sie kein Konto haben? Eine Paket-Nachricht, obwohl Sie nichts bestellt haben? Dann ist es fast sicher Phishing — egal wie professionell die Mail aussieht.

Merkmal 6: Wird Login, Passwort oder TAN abgefragt?

Das ist das härteste Merkmal überhaupt. Keine seriöse Bank, kein seriöser Online-Dienst, kein seriöser Hoster fragt jemals per E-Mail nach Ihrem Passwort, Ihrer TAN oder Ihren Anmelde­daten. Wenn das jemand tut, ist es immer Phishing. Ohne Ausnahme. Es spielt keine Rolle, wie professionell die Mail wirkt, wie offiziell das Logo aussieht — diese Frage gibt es bei seriösen Anbietern nicht.

79 % vs. 24 %
79 % der Unternehmen schulen ihre Mitarbeiter zu Phishing-Erkennung — aber nur 24 % schulen wirklich alle. Bei 55 % bekommen nur ausgewählte Positionen das Training, jedes fünfte Unternehmen schult niemanden[12]. Genau hier liegen die offenen Türen für Angreifer.

6. Was passiert technisch, wenn man auf einen Link klickt?

Das ist die Frage, die uns am häufigsten gestellt wird. Die Antwort ist beruhigend differenziert. Der Klick allein ist meist noch nicht das Problem — es ist das, was danach kommt, was zählt.

Was beim Klick technisch passiert

Wenn Sie auf einen Link klicken, lädt Ihr Browser zunächst nur eine Webseite. In diesem Moment passiert dreierlei:

  • Ihre IP-Adresse wird sichtbar — der Server weiß jetzt: Sie haben geklickt. Damit ist Ihre E-Mail-Adresse als „aktiv und reaktiv" bestätigt — was Ihre Adresse für die Täter wertvoller macht und meist zu mehr Spam führt.
  • Browser-Information wird übertragen — Betriebs­system, Browser-Version, Sprache. Bei alten, ungepatchten Browsern kann das ausgenutzt werden für sogenannte Drive-by-Downloads.
  • Eine Webseite wird angezeigt — meist eine täuschend echte Nach­ahmung der bekannten Bank-, Behörden- oder Shop-Seite.

Bis hierhin ist normaler­weise nichts wirklich Schlimmes passiert — vor­ausgesetzt, Ihr Browser ist aktuell und Sie haben ein modernes Betriebs­system mit aktiviertem Schutz. Drive-by-Infektionen, also automatische Installation von Schadsoftware allein durch das Anzeigen einer Webseite, sind 2025 selten, aber nicht unmöglich — vor allem bei veralteten Systemen.

Was den Schaden wirklich auslöst

Gefährlich wird es erst durch eine der folgenden weiteren Hand­lungen:

  • Daten-Eingabe auf der gefälschten Seite — Benutzer­name, Passwort, TAN, Kredit­karten­daten. Damit haben die Täter exakt das, was sie wollten.
  • Download und Öffnen eines Anhangs — vor allem Office-Dokumente mit Makros (Word, Excel) sind ein klassischer Infektions-Weg. Erst beim „Inhalte aktivieren"-Klick passiert der Schaden.
  • Installation einer „App" — vor allem auf Smart­phones. Eine angebliche Bank-App, die in Wirklichkeit ein Banking-Trojaner ist.
  • Eingabe einer PIN oder Bestätigung in der echten Bank-App — die Täter sehen das Banking-Login mit, lösen eine Überweisung aus, und Sie bestätigen sie selbst, weil Sie denken, Sie würden Ihre eigene Aktion bestätigen.
Der Klick allein macht selten den Schaden. Der Schaden entsteht durch das, was Sie danach noch eingeben oder bestätigen. Wer geklickt hat und sofort wieder weg­klickt, hat in 95 % der Fälle nichts zu befürchten. aus der Praxis

7. Sie haben geklickt — was jetzt? Die Notfall-Anleitung

Wenn Sie auf einen Link in einer Phishing-Mail geklickt haben, ist das erste, was wir Ihnen sagen können: Bleiben Sie ruhig. Panik führt nur zu weiteren Fehlern. Gehen Sie statt­dessen diese Schritte durch.

Was haben Sie konkret getan?

Nur geklickt und die Seite angesehen? Dann ist meist nichts passiert. Daten eingegeben? Dann gehen Sie zu Schritt 2. Anhang heruntergeladen und geöffnet? Dann gehen Sie zu Schritt 4. Eine App installiert? Dann sofort zu Schritt 4.

Wenn Sie Login-Daten eingegeben haben — Passwort sofort ändern

Gehen Sie auf die echte Webseite des betroffenen Dienstes (Adresse selbst eintippen, nicht aus der E-Mail kopieren) und ändern Sie sofort Ihr Passwort. Wenn Sie dasselbe Passwort auch bei anderen Diensten verwenden — was Sie nicht tun sollten, aber viele tun — dort auch alle ändern.

Wenn Bank-Daten betroffen sind — sofort Bank anrufen

Anrufen, nicht mailen, nicht warten. Konto-Sperrung veranlassen, Karte sperren lassen unter der Sperr-Nummer 116 116 (kostenfrei, 24/7). Bei Banking-TAN-Eingabe: Bei manchen Banken laufen unbemerkte Überweisungen binnen Sekunden — jede Minute zählt.

Bei Anhang-Öffnen oder App-Installation — Gerät vom Netz trennen

WLAN aus, Netz­werk-Kabel ziehen, Mobilfunk-Daten aus. Damit verhindern Sie, dass eine möglicherweise installierte Schadsoftware mit ihrem Steuerungs-Server kommunizieren oder Daten weiter­leiten kann. Dann externe Hilfe holen.

Virenscanner laufen lassen

Auf Windows reicht der eingebaute Defender, der seit Jahren auf gutem Niveau ist. Vollständigen Scan starten. Bei Mac und Smart­phone in den meisten Fällen nicht nötig — sofern Sie keine fremden Apps installiert oder Berechtigungen erteilt haben.

Zwei-Faktor-Authentifizierung aktivieren

Bei allen wichtigen Konten (E-Mail, Bank, soziale Netzwerke, Cloud-Speicher) eine zweite Sicherheits­ebene aktivieren — meist Code per App, manchmal SMS. Damit kann ein Angreifer selbst mit Passwort nicht rein. Das ist die wichtigste einzelne Schutz-Maßnahme, die Sie jetzt machen können — egal ob Sie geklickt haben oder nicht.

Bei Geld-Schaden: Anzeige erstatten

Bei finanziellem Schaden oder Identitätsdiebstahl bei der Polizei Anzeige erstatten — geht online über die Internet-Wache der Polizei Ihres Bundeslandes. Das ist nicht nur für Sie wichtig (Versicherungs-Schutz, Beweis­mittel), sondern auch für die statistische Erfassung, die zu besseren Ermittlungen führt.

Bei Unsicherheit — Fachmann anrufen

Bei kleinerem Verdacht reicht eine Beratung beim eigenen IT-Dienstleister oder beim Hoster. Bei größerem Verdacht — vor allem bei Firmen-Geräten — externen IT-Sicherheits-Experten hinzu­ziehen. Wir bei ideaDIGITAL helfen unseren Kunden bei solchen Fällen unkompliziert weiter.

Fallbeispiel aus der Beratung

„Ich hab nur draufgeklickt — und nichts ist passiert?"

Eine Kundin aus dem Hamburger Umland ruft an, hörbar nervös. Sie hat eine angebliche Sparkassen-Mail bekommen, „Konto wird in 24 Stunden gesperrt", hat geklickt, kurz die Login-Seite gesehen, dann gemerkt, dass etwas nicht stimmt, und das Fenster geschlossen. Was jetzt?

Erste Frage: Hat sie Daten eingegeben? Antwort: Nein, nur die Seite gesehen und weg­geklickt. Zweite Frage: Hat sie einen Anhang geöffnet? Nein. Damit ist die Situation klar: Praktisch sicher ist nichts passiert. Wir empfehlen drei Dinge: das Sparkassen-Passwort vorsichts­halber ändern (von einem anderen Gerät aus), den Virenscanner einmal laufen lassen, die Phishing-Mail an die echte Sparkasse melden. Eine Stunde später ist sie beruhigt, das Konto unverändert. Hätten Sie auf der gefälschten Seite Login-Daten eingegeben, wäre das eine ganz andere Geschichte gewesen.

8. Wie webgo Sie als Hoster vor Spam schützt

Für viele unserer Kunden hosten wir die E-Mail-Postfächer bei webgo, einem deutschen Webhoster mit Sitz in Hamburg. webgo hat über die Jahre einen mehr­schichtigen Spam-Schutz aufgebaut, der ohne Zusatz­kosten zur Verfügung steht — und der nach unserer Erfahrung sehr gut funktioniert.

Was webgo automatisch tut

  • Selbstlernender, KI-gestützter Spam-Filter — webgo gibt für seinen aktuellen Filter eine Spam-Reduktion von über 95 % an. Der Filter ist auf jedem Postfach kostenfrei aktivierbar[13].
  • Virenfilter auf Server-Ebene — bevor eine Mail mit Schadsoftware bei Ihnen ankommt, wird sie auf dem Mail-Server geprüft und bei Befund abgewiesen.
  • RBL-Prüfung (Real-time Blackhole Lists) — eingehende Mails werden gegen welt­weit aktuelle Listen bekannter Spam-Versender geprüft.
  • SPF-, DKIM- und DMARC-Verifizierung — webgo prüft bei jeder Mail, ob der Absende-Server überhaupt berechtigt ist, für die behauptete Domain Mails zu verschicken. Damit fallen Fälschungen großer Marken („service@dhl.de" obwohl es nicht von DHL kommt) oft schon vor Zustellung weg.

Was Sie als webgo-Kunde selbst einstellen können

Im webgo-Kundenportal können Sie unter „E-Mail-Adressen" für jedes Postfach den Spam-Filter aktivieren und konfigurieren:

  • Schwellen­wert zwischen 0 und 10 einstellen — wobei webgo selbst Werte zwischen 2,5 und 5 empfiehlt. Höhere Werte lassen mehr durch, niedrigere sind strenger (aber filtern auch mal echte Mails mit weg).
  • Black­list — Absender-Adressen, die immer geblockt werden sollen.
  • White­list — Adressen, die immer durchgelassen werden sollen, auch wenn der Filter sie sonst markieren würde.
  • Spam-Kennzeichnung im Betreff — auf Wunsch fügt webgo bei Spam-Mails ****SPAM**** im Betreff ein, sodass Sie sie auf einen Blick erkennen können.

Was webgo besonders gut macht: Anti-Phishing-Aufklärung

Über die technischen Filter hinaus betreibt webgo aktive Aufklärung. Auf der Webseite des Anbieters finden Sie mehrere sehr brauchbare Ratgeber-Artikel und Anleitungen, die wir auch unseren eigenen Kunden regelmäßig empfehlen. Lese-Empfehlung im Original:

webgo-Ratgeber · Direktlinks

Original-Ressourcen von webgo zu Spam und Phishing

webgo: 9 Tipps zur Erkennung von Phishing-Mails webgo-Blog: 10 Tipps zum Schutz vor Spam und Phishing webgo-FAQ: Spam- und Virenfilter im Webhosting aktivieren webgo-FAQ: Spam-Filter in Outlook einrichten webgo-FAQ: Spam-Mails im Betreff kennzeichnen lassen

Besonders empfehlens­wert ist der erste Link mit den neun Erkennungs-Tipps. webgo geht dort sehr ehrlich vor und gibt sogar konkrete Hinweise, wie webgo-eigene Phishing-Mails (die es leider gibt — weil webgo eine bekannte Marke ist) erkannt werden können: webgo schreibt sich selbst zum Beispiel immer klein („webgo", nie „Webgo"), versendet keine HTML-Mails und spricht Kunden mit Namen und Vertrags­nummer an[11].

9. Was Sie selbst tun können — die Basis-Hygiene

Auch der beste Hoster und der beste Spam-Filter helfen nur, wenn Sie selbst ein paar grundlegende Gewohn­heiten haben. Hier die wichtigsten — sortiert nach Wirkung:

  • Zwei-Faktor-Authentifizierung überall, wo es geht. Mit Abstand die wirksamste Einzel-Maßnahme. Selbst wenn jemand Ihr Passwort kennt, kommt er ohne den zweiten Faktor (App-Code oder SMS) nicht rein.
  • Einen Passwort-Manager verwenden. Damit Sie nicht überall dasselbe Passwort haben müssen. Bitwarden, KeePass, 1Password — alle drei sind seriös. Der Browser-eigene Passwort-Manager ist eine Notlösung, besser als nichts, aber nicht so gut wie ein dedizierter.
  • Betriebs­system und Browser aktuell halten. Auto-Updates aktivieren und nicht ablehnen. Drive-by-Infektionen funktionieren fast nur über bekannte Sicher­heits­lücken, die längst gepatcht sind — nur eben nicht bei jedem.
  • Kein Office-Makro aktivieren, nie. Wenn ein Word- oder Excel-Dokument Sie fragt „Inhalte aktivieren" oder „Bearbeiten zulassen", die Frage ignorieren oder die Datei direkt löschen, wenn Sie nicht sicher sind, dass sie von einer vertrauten Quelle stammt.
  • Anhänge skeptisch behandeln. Zip, exe, pdf, doc, xls — alle vier können Schadcode enthalten. Bei Dateien von unbekannten Absendern: gar nicht erst öffnen.
  • Lese-Ansicht im Mail-Programm anpassen. Im Outlook, Thunderbird oder Apple Mail die automatische Bild-Anzeige für externe Bilder deaktivieren. Das verhindert das automatische Tracking, dass und wann Sie eine Mail gelesen haben — und reduziert Spam, weil Ihre Adresse weniger als „aktiv" markiert wird.
  • Eine separate E-Mail-Adresse für Anmeldungen. Nicht die Hauptadresse für jeden Online-Shop, jeden Newsletter, jedes Webinar verwenden. Eine zweite, eher unwichtige Adresse für solche Anmeldungen reduziert Spam in der Haupt-Inbox massiv.
  • Im Zweifel telefonisch nachfragen. Beim angeblichen Absender, mit einer Telefon­nummer, die Sie selbst recherchiert haben (nicht aus der verdächtigen Mail). Bank: Nummer von der Karte. Hoster: Nummer von der eigenen Vertrags-Übersicht. Behörde: Nummer aus dem amtlichen Telefon­buch oder der Stadt-Webseite.
90 Prozent der erfolgreichen Angriffe scheitern an einer Person, die kurz inne­hält und sagt: „Das schaue ich mir nochmal an, bevor ich klicke." Diese zehn Sekunden sind der wichtigste Sicherheits-Beitrag, den Sie leisten können. aus der Beratung

10. Was wir bei ideaDIGITAL für Sie tun

E-Mail-Sicherheit ist bei uns Teil der laufenden Betreuung — nicht nur beim Set-up, sondern auch im Alltag, wenn Fragen auftauchen. Konkret:

  • Postfach-Einrichtung mit aktiven Filtern — wir aktivieren Spam-Filter, Viren-Filter und SPF/DKIM/DMARC-Verifizierung für jedes Postfach, das wir einrichten
  • Sinnvolle Schwellen-Werte — wir setzen den Spam-Filter auf einen Wert, der mit Ihrem Geschäfts-Alltag funktioniert: weder zu locker (Spam-Flut) noch zu streng (wichtige Mails landen im Junk-Ordner)
  • Anti-Phishing-Briefing für Ihre Mitarbeiter — auf Wunsch erläutern wir die wichtigsten Erkennungs-Punkte in einer kurzen, einstündigen Schulung, mit echten Beispielen aus der Praxis
  • Notfall-Beratung — falls jemand bei Ihnen geklickt hat und sich unsicher ist. Wir telefonieren mit Ihnen durch, was passiert ist, und sagen Ihnen, ob und wie reagiert werden sollte. Diese kleine Service-Leistung ist Teil unseres Standard-Komplettpakets — keine Extra-Rechnung
  • Empfehlung passender Tools — Passwort-Manager, 2FA-Apps, sichere Cloud-Speicher. Wir wählen Lösungen aus, die zur Größe und zur Technik-Affinität Ihres Unter­nehmens passen — nicht das, was die Tech-Magazine empfehlen

Wir machen aus Sicherheit kein Mysterium. Die meisten Bedrohungen sind technisch unspektakulär und lassen sich mit guter Hygiene weitgehend abwehren. Wenn Sie konkrete Fragen haben — etwa zu einer Mail, die Sie gerade bekommen haben — melden Sie sich gerne. Wir beraten Sie kostenfrei.

11. Häufige Fragen

Ich habe eine verdächtige Mail bekommen — soll ich antworten und nach­fragen?
Nein. Eine Antwort bestätigt dem Spammer, dass Ihre Adresse aktiv ist. Das führt zu mehr Spam. Im Zweifel: Mail löschen, oder bei wirklichem Verdacht melden — Verbraucher­zentralen-Phishing-Radar oder direkt an die imitierte Firma. Beispiel: phishing@sparkasse.de für gefälschte Sparkassen-Mails.
Hilft ein Virenscanner überhaupt noch im Jahr 2026?
Ja, aber anders als früher. Auf Windows ist der einge­baute Defender heute auf gutem Niveau und für die meisten Anwender ausreichend. Zusätzliche Drittanbieter-Suiten lohnen sich nur für bestimmte Einsatz-Szenarien (z.B. Familien mit Kindern oder kleine Firmen mit mehreren Mitarbeitern). Wichtig: Ein Virenscanner ist die letzte Verteidigungs-Linie, nicht die erste. Die erste ist Ihr eigenes Verhalten.
Wenn ich nichts „Wichtiges" habe — Daten, Geld, Geschäftsgeheimnisse — bin ich dann uninteressant für Hacker?
Nein. Das ist eines der hartnäckigsten Missverständnisse. Auch ein „uninteressanter" Computer wird gerne übernommen — für Bot-Netze (DDoS-Angriffe gegen Dritte), für Krypto-Mining im Hinter­grund, als Sprung­brett für weitere Angriffe, oder einfach um Ihr E-Mail-Konto für weiteren Spam-Versand zu missbrauchen. Sie sind nicht persönlich „interessant", aber Ihr Gerät schon — als anonymes Rad im großen Getriebe.
Mein Mail-Programm zeigt „SPAM" im Betreff an. Heißt das, die Mail ist sicher Spam?
Sehr wahrscheinlich ja, aber nicht zu 100 %. Die Filter sind heute sehr gut, irren sich aber gelegentlich (False Positives). Wenn Sie also einen wichtigen Geschäfts­partner erwarten, der nicht kommt, lohnt sich ein gelegentlicher Blick in den Spam-Ordner. Ehrliche Mails von dort manuell „kein Spam" markieren — damit lernt der Filter und macht weniger Fehler.
Was tun, wenn meine eigene Mail-Adresse für Spam-Versand missbraucht wird?
Wenn plötzlich Rück­läufer („mail delivery failed") für Mails ankommen, die Sie nie versendet haben, ist meist eines von zwei Dingen passiert: Entweder wurde Ihr Postfach gehackt — dann sofort Passwort ändern, 2FA aktivieren und Hoster informieren. Oder Spammer haben Ihre Adresse einfach als Absender gefälscht, ohne wirklichen Zugriff zu haben — dann ist es ärgerlich, aber relativ harmlos. Im Zweifel beim Hoster anrufen, die können das prüfen.
Reicht 2FA per SMS oder muss es eine App sein?
Eine App (z.B. Google Authenticator, Microsoft Authenticator, Authy) ist sicherer als SMS, weil SMS in seltenen Fällen abgefangen werden können (SIM-Swapping). Für die meisten Privat- und Mittelstands-Anwendungen ist SMS aber besser als gar kein 2FA. Faustregel: 2FA per SMS ist deutlich sicherer als kein 2FA. 2FA per App ist deutlich sicherer als 2FA per SMS. Hardware-Schlüssel (z.B. YubiKey) sind nochmal eine Stufe darüber — aber für die meisten Anwender Over­kill.
Wir sind ein kleines Unter­nehmen mit 5 Mitarbeitern — brauchen wir wirklich Schulungen?
Ja, gerade Sie. Cyberkriminelle gehen heute gezielt gegen kleinere Unter­nehmen vor, weil die typischer­weise schlechter geschützt sind als Konzerne. Laut BSI-Lage­bericht 2025 richteten sich rund 80 % aller gemeldeten Angriffe gegen KMU[4]. Eine ein­stündige Schulung mit echten Beispielen reduziert die Schadens­wahr­scheinlichkeit messbar — und ist deutlich günstiger als ein einziger erfolgreicher CEO-Fraud.

Quellen und weiter­führende Informationen

Die Liste umfasst BSI (Bundesamt für Sicherheit in der Informationstechnik), Bitkom, KnowBe4 Phishing-Reports, GASA / State of Scams Reports, Verbraucherzentrale, IHK, Europol, G DATA und webgo. Stand der Recherche: 13. Mai 2026.

  1. KnowBe4, Phishing Industry Benchmarking Report 2025/2026. Globale Studie zur Entwicklung von Phishing-Angriffen, mit der Erkenntnis dass 82,6 % aller Phishing-Mails KI-generiert sind. Zitiert in mehreren Branchen-Übersichten. firewalls24.de
  2. BSI & ProPK, Cybersicherheitsmonitor 2026. Repräsentative Befragung von 3.000+ Internet-Nutzern in Deutschland zum Verhalten und zur Betroffenheit von Cyberkriminalität. Jährlich aktualisiert. bsi.bund.de
  3. Global Anti Scam Alliance & Biocatch, State of Scams in Germany 2025 Report. Schaden durch Betrugsmaschen in Deutschland 2024: 10,6 Mrd. Euro. 84 % der Betrugsversuche laufen über Messenger. systag.com
  4. BSI, Die Lage der IT-Sicherheit in Deutschland 2025 (Lagebericht). Jähr­licher Bericht zur Bedrohungs­lage. Unique-IP-Index von 1.189 im Mai 2025 (vs. 336 im August 2024). 80 % der gemeldeten Angriffe richten sich gegen KMU. bsi.bund.de (PDF)
  5. NETZWELT & G DATA, Aktuelle Phishing-Maschen 2025. Doku­mentation der aktuellen Paket-Maschen, Bank-Phishing und Behörden-Mails. Mit Hinweisen zur Erkennung und zum Schutz. blog.gdata.de
  6. Arbeiterkammer Wien, Massnahmenpaket gegen Phishing 2025. Detail­ierte Analyse der Bank-Phishing-Maschen mit Fallzahlen und Fall­beispielen aus dem deutsch­sprachigen Raum. arbeiterkammer.at (PDF)
  7. Verbraucherzentrale NRW, Phishing-Radar — aktuelle Warnungen. Tages­aktuelle Übersicht zu kursierenden Phishing-Mails, inkl. Behörden-Maschen mit angeblichem Absender BZSt, BSI oder Bundes­ministerien. verbraucherzentrale.nrw
  8. Bitkom, Wirtschaftsschutz 2025. Erhebung zum Schaden durch Cyber­kriminalität für die deutsche Wirtschaft: 289,2 Mrd. Euro Gesamt­schaden, davon 202 Mrd. Euro durch Cyber­angriffe. bitkom.org
  9. IHK Karlsruhe, Warnung vor Phishing und Betrugsmaschen. Aktuelle Sammlung an Betrugs­maschen, die sich gegen deutsche Mittel­ständler richten — u.a. Fake-Domain-Rechnungen, gefälschte interne E-Mail-Verläufe, manipulierte Bankverbindungen. ihk.de/karlsruhe
  10. BSI, Wie erkenne ich Phishing in E-Mails und auf Webseiten? Offizielle BSI-Erläuterung der Erkennungs-Merkmale. Wichtig: Tipp­fehler werden vom BSI als schwaches Merkmal eingestuft, da KI-generierte Mails kaum welche enthalten. bsi.bund.de
  11. webgo, 9 Tipps zur Erkennung von Phishing-Mails. Sehr brauchbare Anti-Phishing-Übersicht eines deutschen Hosters, mit konkreten Beispielen für Marken-Imitate inkl. webgo-eigener Phishing-Erkennung. webgo.de
  12. Bitkom-Pressemitteilung zum BSI-Lagebericht (11.11.2025). Schulungs-Statistik: 79 % der Unternehmen schulen Mitarbeiter zu IT-Sicherheit, aber nur 24 % schulen alle, 55 % nur ausgewählte Positionen, 20 % schulen niemanden. bitkom.org
  13. webgo, Intelligenter Spamfilter — 95 % weniger Spam. Eigen­darstellung des selbst­lernenden Spam-Filters, der seit 2021 in den webgo-Webhosting-Paketen enthalten ist und kostenfrei aktiviert werden kann. webgo.de
  14. webgo, FAQ — Spam- und Virenfilter einrichten. Konkrete Schritt-für-Schritt-Anleitung für die Konfiguration im webgo-Kundenportal, inkl. der empfohlenen Schwellen­werte (2,5 bis 5). webgo.de
  15. webgo, 10 Tipps zum Schutz vor Spam und Phishing. Blog-Artikel mit den zehn wichtigsten Verhaltens-Tipps für Endanwender. Auch für nicht-webgo-Kunden lesenswert. webgo.de
  16. Polizeiliche Kriminalprävention, Internetwache & Online-Anzeige. Zentrale Anlauf­stelle, um Cyber-Vorfälle bei der Polizei zu melden. Online-Anzeige geht in den meisten Bundesländern direkt über die Webseite der Landes­polizei. polizei-beratung.de
  17. Sperr-Notruf 116 116 (kostenfreie Karten-Sperrung). Zentrale deutsche Notruf-Nummer zum sofortigen Sperren von EC-Karten, Kredit­karten und Online-Banking-Zugängen — rund um die Uhr, kostenfrei, von überall in Deutschland (mit +49 116 116 auch aus dem Ausland). sperr-notruf.de
E-Mail-Sicherheit

Unsicher bei einer Mail? Lieber einmal zu viel fragen als einmal zu wenig.

Wenn Sie eine verdächtige E-Mail bekommen haben oder sich nach einem Klick unsicher sind: rufen Sie uns an. Wir schauen kurz drauf, sagen Ihnen ehrlich was Sache ist, und falls nötig die nächsten Schritte. Für unsere Kunden ist das im Komplett­paket enthalten — für andere ein kosten­loses Erstgespräch ohne Verpflichtung.

Mail prüfen lassen Mehr Ratgeber: Cookies und Tracking →