Was ist ein Phishing-Link?

Blog

Ein Phishing-Link ist eine bösartige URL, die darauf abzielt, Ihre Daten zu stehlen oder Malware zu installieren. Erfahren Sie, wie Sie Phishing-Links erkennen können, bevor Sie darauf klicken, und was Sie tun sollten, falls Sie dies bereits getan haben.

von Milena Baghdasaryan

Zuletzt aktualisiert:
8 Lesezeit: 8 Minuten
Was ist ein Phishing-Link?
Inhaltsverzeichnis-

Wichtigste Erkenntnisse

  • Phishing-Links sind die wichtigste Methode, mit der Angreifer Zugangsdaten stehlen oder Malware installieren
  • Die meisten Phishing-Angriffe setzen auf Dringlichkeit und Vertrauen, um Nutzer dazu zu verleiten, ohne Überprüfung auf einen Link zu klicken
  • Kleine Details bei URLs wie Rechtschreibfehler, seltsame Domains oder versteckte Weiterleitungen lassen oft auf böswillige Absichten schließen
  • Ein einziger Klick kann zum Diebstahl von Zugangsdaten, einer Malware-Infektion oder einer dauerhaften Kompromittierung des Kontos führen
  • Eine starke E-Mail-Authentifizierung wie DMARC in Verbindung mit der Sensibilisierung der Nutzer bietet den besten Schutz

Stellen Sie sich vor, Sie gehen an einem hektischen Dienstagmorgen Ihren E-Mail-Eingang durch. Sie sehen eine dringende Benachrichtigung Ihrer Bank oder eine Versandbenachrichtigung für ein Paket, an dessen Bestellung Sie sich nicht erinnern können. Beide enthalten einen Button oder eine URL und sind darauf ausgelegt, Panik auszulösen. Dieser eine Link ist der entscheidende Dreh- und Angelpunkt der modernen Cybersicherheit. Diese Art von Angriff, oft als URL-Phishing bezeichnet, stützt sich auf irreführende Links, die auf den ersten Blick legitim wirken sollen.

Laut CISA ist Phishing nach wie vor die häufigste Form von Cyberangriffen und macht über 90 % aller Datenlecks. Während die Betrugsmaschen selbst komplex sind, ist der „Phishing-Link“ das wichtigste Übertragungsmittel. Diese bösartigen URLs werden per E-Mail, SMS (Smishing), Direktnachrichten in sozialen Medien und sogar über gedruckte QR-Codes (Quishing) versendet. Zu verstehen, wie diese Links funktionieren, entscheidet darüber, ob Sie Ihr digitales Leben schützen oder die Schlüssel einem völlig Fremden übergeben.

In diesem Leitfaden erklären wir Ihnen genau, wie Sie diese Links erkennen können, bevor Sie darauf klicken, was passiert, wenn Ihnen ein Versehen unterläuft, und welche Schritte Sie unternehmen müssen, um das Problem zu beheben.

Ein Phishing-Link ist eine bösartige URL, die so gestaltet ist, dass sie seriös wirkt, und dazu dient, Nutzer dazu zu verleiten, Zugangsdaten oder persönliche Daten preiszugeben oder den Download von Malware auszulösen. Es handelt sich dabei nicht um einen eigenständigen Angriff, sondern um das Übertragungsmedium, das eine betrügerische Nachricht mit einem bösartigen Ziel verbindet. Durch das Anklicken schlägt der Nutzer unwissentlich eine Brücke zwischen einer sicheren Umgebung und der Infrastruktur eines Angreifers.

Wie funktioniert ein Phishing-Link?--

Ein Phishing-Angriff ist nicht einfach nur ein zufälliger Link, sondern ein sorgfältig durchdachter psychologischer und technischer Prozess. So läuft der Mechanismus aus Sicht des Nutzers ab:

1. Die Einrichtung

Ein Angreifer erstellt eine überzeugende Nachricht, meist eine E-Mail oder eine SMS, die eine vertrauenswürdige Marke wie Microsoft, Amazon oder eine lokale Bank imitiert. Die Nachricht nutzt „Social Engineering“-Techniken wie Angst, Dringlichkeit oder Neugier, um den Empfänger zu einer Handlung zu bewegen.

2. Der Klick

Der Nutzer klickt auf den Link und vertraut dabei dem Kontext des Absenders. Ein Beispiel hierfür ist ein Link zum Zurücksetzen des Passworts in einer E-Mail, die genau wie eine Standardbenachrichtigung aussieht.

3. Die Nutzlast

Der Nutzer wird auf eine gefälschte Landingpage weitergeleitet, die darauf ausgelegt ist, Zugangsdaten wie Benutzernamen und Passwörter abzugreifen. In schwerwiegenderen Fällen löst der Link einen „Drive-by-Download“ aus, bei dem sich Malware im Hintergrund unbemerkt und ohne weitere Interaktion des Nutzers installiert.

4. Die Ausbeutung

Sobald die Daten abgegriffen wurden oder das Gerät kompromittiert ist, nutzt der Angreifer diesen Zugriff für Finanzbetrug, Identitätsdiebstahl oder als Sprungbrett für einen größeren Ransomware-Angriff auf ein Unternehmensnetzwerk.

Angreifer nutzen verschiedene Methoden, um bösartige URLs zu tarnen, damit diese sowohl die menschliche Intuition als auch grundlegende Sicherheitsfilter umgehen.

Diese basieren auf kleinen Rechtschreibfehlern, die das menschliche Auge bei einem flüchtigen Blick oft übersieht.

  • Beispiel: amazon-secure.net oder wellsfarg0.com anstelle der offiziellen Domains. Dadurch ist es auf den ersten Blick schwer, die echte Website von der betrügerischen zu unterscheiden.

Hierbei handelt es sich um eine raffiniertere Technik, bei der Angreifer Unicode-Zeichen aus verschiedenen Alphabeten verwenden, die identisch mit lateinischen Buchstaben aussehen.

  • Beispiel: Ein kyrillisches „а“ kann ein lateinisches „a“ ersetzen. Für einen Browser ist apple.com (mit einem kyrillischen „а“) eine völlig andere Website als das echte apple.com, doch für den Nutzer sehen beide identisch aus.

Gekürzte URLs

Dienste wie Bitly oder TinyURL sind zwar nützlich für soziale Medien, aber ein gefundenes Fressen für Phisher, da sie die tatsächliche Zieladresse hinter einer Zeichenfolge aus zufälligen Zeichen verbergen.

  • Beispiel: Ein Link wie bit.ly/3xK7zY9 könnte zu einem legitimen Dokument oder zu einer Website führen, die darauf abzielt, Zugangsdaten zu stehlen; ein Nutzer hat keine Möglichkeit, dies zu erkennen, bis die Seite tatsächlich geladen ist.

Angreifer nutzen häufig „offene Weiterleitungen“ auf seriösen, vertrauenswürdigen Websites aus. Sie suchen sich eine vertrauenswürdige Domain, die es ermöglicht, Nutzer über einen URL-Parameter auf eine andere Seite weiterzuleiten.

  • Beispiel: https://trusted-site.com/redirect?url=malicious-site.com. Da der Link mit einer Marke beginnt, der Sie vertrauen, lassen Sicherheitsfilter ihn eher durch, und auch die Nutzer sind eher geneigt, ihn zu akzeptieren.

Schädliche URLs werden zunehmend in QR-Codes eingebettet, um die herkömmliche visuelle Überprüfung zu umgehen. Da Menschen den Code nicht „lesen“ können, bleibt der Link unsichtbar, bis er gescannt wird.

  • Beispiel: Ein gefälschter Aufkleber, der über einen echten QR-Code an einer Parkuhr geklebt wurde und statt zur offiziellen Zahlungs-App der Stadt auf die Website „pay-parking-portal.xyz“ weiterleitet.

Diese Methode gewinnt in den Jahren 2025 und 2026 zunehmend an Beliebtheit: Angreifer versenden mittlerweile „Bilder“ oder „Dokumente“, bei denen es sich in Wirklichkeit um Mini-Webseiten handelt. Beim Öffnen werden diese Dateien lokal in Ihrem Browser ausgeführt, um E-Mail-Scanner zu umgehen.

  • Beispiel: Ein Anhang mit dem Namen „Invoice_99.svg“. Beim Öffnen wird ein gefälschtes Microsoft 365-Anmeldefenster angezeigt, das wie eine Systemabfrage aussieht, in Wirklichkeit jedoch ein Skript ist, das darauf abzielt, Ihr Passwort zu stehlen.

Dieser Angriff nutzt die „Auto-Akzeptieren“-Funktion aus, über die viele Kalender-Apps verfügen. Angreifer versenden eine Besprechungseinladung, die automatisch in Ihrem Kalender erscheint, oft begleitet von einer Benachrichtigung.

  • Beispiel: Ein Kalendertermin mit dem Titel „Dringend: Gehaltsüberprüfung durch die Personalabteilung“, der einen Link wie „company-hr-portal.web.app“ enthält. Da die Benachrichtigung aus Ihrer eigenen Kalender-App stammt, vermittelt sie ein ungerechtfertigtes Gefühl von Seriosität und Dringlichkeit.

Tipp: Bewegen Sie den Mauszeiger immer über einen Link (auf dem Desktop) oder drücken Sie ihn lange (auf dem Handy), um vor dem Klicken eine Vorschau der tatsächlichen Ziel-URL anzuzeigen. Wenn der Link über eine unerwartete Kalendereinladung oder einen HTML-Anhang gesendet wurde, seien Sie äußerst vorsichtig.

Die Folgen eines Klicks können sofort oder erst später eintreten und sind nicht immer sichtbar.

  1. Die „Ghost“-Weiterleitung: Um Verdacht zu vermeiden, leiten viele Phishing-Seiten Sie nach der Eingabe Ihres Passworts auf die echte, legitime Website weiter. Sie könnten denken, dass bei der Anmeldung lediglich eine „Störung“ aufgetreten ist, während der Angreifer bereits im Besitz Ihrer Zugangsdaten ist.
  2. Zugangsdaten-Diebstahl: Die meisten Links führen zu einer gefälschten Anmeldeseite. Wenn Sie Ihre Daten eingeben, erhält der Angreifer sofort Zugriff auf Ihr Konto.
  3. Unbemerkte Installation von Malware: Ein Klick kann ein Skript auslösen, das Spyware oder Ransomware installiert. Dies geschieht oft „im Hintergrund“, d. h., es erscheinen keine Pop-ups oder Fenster, die Sie darauf aufmerksam machen.
  4. Bestätigung der aktiven E-Mail-Adresse: Selbst wenn Sie keine Daten eingeben, signalisiert der Klick dem Angreifer, dass Ihre E-Mail-Adresse aktiv ist und Sie auf Links hereinfallen könnten.

Nicht alle Folgen sind auf den ersten Blick erkennbar. Manche Schadcodes werden erst Tage später aktiv oder machen sich erst bemerkbar, wenn gestohlene Zugangsdaten für die Übernahme von Konten oder für Betrugsdelikte genutzt werden.

Hinweis: Ein weit verbreiteter Irrtum ist, dass eine Website sicher ist, wenn sie das „Vorhängeschloss“-Symbol anzeigt oder HTTPS verwendet. HTTPS garantiert nicht, dass eine Website sicher ist; es bedeutet lediglich, dass die Verbindung verschlüsselt ist. Angreifer besorgen sich regelmäßig kostenlose SSL-Zertifikate, um ihre betrügerischen Websites professionell erscheinen zu lassen.

Vorbeugen ist die beste Verteidigung. Nutze diese Checkliste, um jeden Link zu überprüfen, den du erhältst:

  • Vor dem Klicken mit der Maus darüberfahren: Auf einem Desktop-Computer fahren Sie mit der Maus über einen Link (ohne zu klicken!), um die tatsächliche Ziel-URL in der unteren Ecke Ihres Browsers anzuzeigen. Auf Mobilgeräten halten Sie den Link gedrückt, um die Vorschau anzuzeigen.
  • Analysieren Sie die Domain: Achten Sie auf ungewöhnliche Top-Level-Domains. Während wir .com, .org oder .gov vertrauen, sollten Sie bei unaufgeforderten Nachrichten bei .xyz, .top, .cc oder .work vorsichtig sein.
  • Auf nicht übereinstimmende Subdomains prüfen: Ein Link wie apple.com.security-check.xyz ist keine Apple-Website. Die eigentliche Domain ist immer der Teil unmittelbar links von der Top-Level-Domain (in diesem Fall security-check.xyz).
  • Prüfen Sie den Kontext genau: Passt der Link zum Absender? Wenn „Netflix“ Ihnen einen Link zu einer Domain wie billing-update-now.com schickt, handelt es sich um einen Betrugsversuch.
  • Verwenden Sie einen Link-Checker: Im Zweifelsfall klicken Sie mit der rechten Maustaste auf den Link, wählen Sie „Link-Adresse kopieren“ und fügen Sie diese in den kostenlosen Phishing-URL-Checker von PowerDMARC ein, um verdächtige Links sofort zu überprüfen. Dieses Tool vergleicht die URL mit globalen Blacklists bekannter bösartiger Websites.

Unsicher-bezüglich-eines-Links-

Falls Sie bereits geklickt haben, geraten Sie nicht in Panik. Durch schnelles und besonnenes Handeln können Sie verhindern, dass aus einem „Klick“ ein „Sicherheitsrisiko“ wird.

  1. Schließen Sie den Tab sofort: Wenn Sie auf einer Seite gelandet sind, klicken Sie auf nichts anderes. Klicken Sie nicht auf „Abmelden“ oder „Abbrechen“. Schließen Sie einfach das Fenster.
  2. Trennen Sie die Internetverbindung: Wenn Sie vermuten, dass eine Datei heruntergeladen wurde, schalten Sie Ihr WLAN aus oder ziehen Sie das Ethernet-Kabel ab. Dadurch wird verhindert, dass die Malware mit dem C2-Server des Angreifers kommuniziert oder Ihre Daten hochlädt.
  3. Betroffene Passwörter ändern: Wenn Sie Anmeldedaten eingegeben haben, rufen Sie die echte Website auf (geben Sie die Adresse manuell ein) und ändern Sie Ihr Passwort umgehend. Falls Sie dieses Passwort auch an anderer Stelle verwenden, ändern Sie es dort ebenfalls.
  4. Führen Sie einen vollständigen Scan durch: Verwenden Sie eine seriöse Antiviren- oder Anti-Malware-Software, um Ihr Gerät auf versteckte Schadcode-Komponenten zu überprüfen.
  5. Informieren Sie Ihre IT-Abteilung: Wenn Sie ein Firmengerät nutzen, informieren Sie Ihr IT-Team. Dieses hilft Ihnen lieber dabei, einen einzelnen Laptop zu sichern, als sich mit einem unternehmensweiten Ransomware-Ausbruch auseinanderzusetzen.
  6. Meldung des Vorfalls: Nutzen Sie die Ressource „Auf einen Phishing-Link geklickt“, um die für Ihre Situation geltenden Maßnahmen zur Behebung des Problems zu erfahren.
Beispiel-URLTypDas GewinnspielDas Wichtigste auf einen Blick
https://secure-paypa1.com/loginÄhnliche DomainDie Ziffer „1“ ersetzt den Buchstaben „l“ in „PayPal“.Achte auf Zahlen, die als Buchstaben verwendet werden (1 für l, 0 für o).
https://bit.ly/3xHj9k2Kurz-URLDas Ziel ist völlig unbekannt und könnte überall hinführen.Wenn der eigentliche Domainname hinter einer Zeichenfolge verborgen ist, ist er nicht vertrauenswürdig.
https://amazon.com.account-verify.xyz/Subdomain-TrickDie eigentliche Domain lautet account-verify.xyz, nicht Amazon.Die eigentliche Domain ist immer der Teil unmittelbar links von der Top-Level-Domain, z. B. .xyz.
https://аpple.comHomograph-AngriffVerwendet ein kyrillisches „а“, das genauso aussieht wie ein lateinisches „a“.Seien Sie vorsichtig bei Links von unbekannten Absendern, auch wenn diese auf den ersten Blick harmlos wirken.
[QR-Code]QuishingZeigt die URL erst nach dem Scannen an; verwendet häufig verdächtige Top-Level-Domains wie .top.Achten Sie auf verdächtige Aufkleber, die über die ursprünglichen Codes auf Speisekarten oder Taxametern geklebt wurden.

Wie sieht ein Phishing-Link eigentlich aus?--

Um ein Unternehmens- oder privates Netzwerk wirklich vor Phishing-Links zu schützen, sind automatisierte technische Maßnahmen erforderlich, die bösartige URLs blockieren, bevor sie überhaupt angeklickt werden können.

1. Anti-Spam- und Anti-Phishing-Filter

Noch bevor eine E-Mail in Ihrem Posteingang landet, wird sie von Anti-Spam- und Anti-Phishing-Filtern geprüft. Diese Filter analysieren mithilfe von maschinellem Lernen die Reputation des Absenders, die Struktur der E-Mail und deren Inhalt. Sie suchen nach bekannten Phishing-Indikatoren, wie beispielsweise Formulierungen, die ein falsches Gefühl der Dringlichkeit erzeugen, nicht übereinstimmende „Von“-Header und Links, die auf bekannte bösartige Websites verweisen, und leiten verdächtige E-Mails automatisch in den Spam-Ordner oder die Quarantäne um.

2. Sichere E-Mail-Gateways (SEGs)

Ein Secure Email Gateway (SEG) fungiert als digitale Grenzkontrollstelle für den gesamten ein- und ausgehenden E-Mail-Verkehr. SEGs überwachen E-Mails auf komplexe Bedrohungen, die von Standardfiltern möglicherweise übersehen werden. Sie entpacken komprimierte Dateien, analysieren Anhänge wie gefährliche HTML- oder SVG-Dateien in einer sicheren Sandbox und entfernen schädliche Inhalte, bevor diese den Endnutzer erreichen.

3. URL-Umschreibung und Scannen zum Zeitpunkt des Klicks

Angreifer wenden häufig einen Trick an, bei dem sie einen völlig harmlosen Link versenden, um erste E-Mail-Filter zu umgehen, und diesen harmlosen Link dann, nachdem die E-Mail zugestellt wurde, auf eine bösartige Seite umleiten. Um dem entgegenzuwirken, nutzen fortschrittliche Sicherheitssysteme die URL-Umschreibung. Das Sicherheitstool modifiziert alle eingehenden Links so, dass sie über einen sicheren Proxy-Server geleitet werden. Wenn ein Benutzer auf den Link klickt, führt das System eine Überprüfung zum Zeitpunkt des Klicks durch. Es analysiert die Ziel-URL in Echtzeit direkt im Moment des Klicks. Sollte die Website seit dem Eintreffen der E-Mail bösartig geworden sein, wird der Benutzer blockiert und eine Warnseite angezeigt.

4. DNS-Filterung

Sollte ein Nutzer über einen ungeprüften Kanal auf einen Phishing-Link klicken, fungiert die DNS-Filterung als entscheidendes Sicherheitsnetz. Jedes Mal, wenn ein Gerät versucht, eine Website zu laden, muss es einen DNS-Server (Domain Name System) abfragen, um die IP-Adresse der Website zu ermitteln. Ein DNS-Filter gleicht diese Anfragen mit einer Live-Datenbank bösartiger Domains ab. Klickt ein Nutzer auf einen Link, der zu einer bekannten Phishing-Seite führt, blockiert der DNS-Filter die Auflösung und verhindert so, dass die Webseite überhaupt geladen wird.

Resümee

Phishing-Links gehören nach wie vor zu den häufigsten Angriffspunkten für Datenlecks, doch das Risiko lässt sich weitgehend in den Griff bekommen. Mit dem richtigen Bewusstsein, einer vorsichtigen Herangehensweise und einigen konsequenten Sicherheitsgewohnheiten können Sie Ihr Risiko erheblich verringern. Wachsamkeit, das Überprüfen von E-Mails vor dem Anklicken und die Einhaltung grundlegender E-Mail-Sicherheitsregeln tragen wesentlich dazu bei, nicht nur sich selbst, sondern auch alle Ihre Kommunikationspartner zu schützen.

Häufig gestellte Fragen

Wie kann ich erkennen, ob es sich bei einem Link um einen Phishing-Link handelt?

Am besten fährst du mit der Maus über den Link, um eine Vorschau des Ziels anzuzeigen. Achte auf Rechtschreibfehler, ungewöhnliche Domain-Endungen (wie .cc oder .xyz) oder Unstimmigkeiten zwischen dem angeblichen Absender und der URL. Im Zweifelsfall nutze einen Phishing-Link-Checker.

Werden Phishing-Links nur per E-Mail verschickt?

Nein. Phishing-Links werden häufig per SMS (Smishing), über Direktnachrichten in sozialen Medien und sogar über Suchmaschinenwerbung oder QR-Codes (Quishing) versendet.

Können HTTPS-Links Phishing-Links sein?

Ja. Moderne Angreifer nutzen HTTPS, um ein falsches Gefühl der Sicherheit zu erzeugen. HTTPS stellt lediglich sicher, dass die zwischen Ihnen und der Website übertragenen Daten verschlüsselt sind; es überprüft jedoch nicht, ob der Betreiber der Website tatsächlich der rechtmäßige Eigentümer ist.

Wie hilft DMARC beim Schutz vor Phishing-Links?

Phishing-Links werden in der Regel über gefälschte Domains versendet. DMARC verhindert, dass diese gefälschten E-Mails überhaupt erst in den Posteingang gelangen, indem es die Identität des Absenders überprüft und so das Zustellungssystem des Links wirksam außer Gefecht setzt.

CTA

Neueste Beiträge von Milena Baghdasaryan (alle anzeigen)
Zuletzt aktualisiert:
Ist dieser Link sicher? Die 4 besten kostenlosen Tools zur Linkprüfung [2026]Ist dieser Link sicher?SPF-Prüfung in Exchange: So überprüfen, veröffentlichen und korrigieren Sie SPF-Einträge in Exchange