Phishing-Mails erkennen: Worauf du achten musst
7.48 Uhr: ein Anruf, eine angebliche Führungskraft, eine Überweisung, die keinen Aufschub duldet. So beginnt einer der Fälle, an denen Cyberversicherungs-Expertin Claudia Augustin zeigt, wie sich Phishing-Mails erkennen lassen – an der tatsächlichen Absenderadresse statt am angezeigten Namen, an fehlender persönlicher Anrede, an künstlich aufgebautem Zeitdruck und an Rechtschreibfehlern, die KI-Tools zwar seltener, aber nicht nie machen. Wirksamster Schutz bleibt in jedem Fall die Rückversicherung über einen zweiten, unabhängigen Kanal – nie über die Nummer oder den Link aus der verdächtigen Nachricht selbst.

Der Fall: 187.532 Euro und ein Anruf auf der Autobahn
Cyberversicherungs-Expertin Claudia Augustin rekonstruiert auf der OGcon einen Fall minutengenau, den ihr ein Cyber-Experte auf einer Fachveranstaltung berichtete. 7.48 Uhr: Ein Vizepräsident sitzt im Auto auf der Autobahn, noch halb wach, auf dem Weg ins Büro. Der vermeintliche CFO ruft an. Die Forderung: dringend eine Überweisung über 187.532 Euro nach Kroatien, die lokale Bank schließe bald, bei Verzögerung drohten hohe Strafen. Kurz darauf trifft eine E-Mail mit den Überweisungsdaten ein.
7.53 Uhr, der nächste Anruf: "Haben Sie schon überwiesen? Es eilt." 7.58 Uhr, der Ton wird härter – bereits sein Ruf und seine Position seien in Gefahr, wenn nicht sofort gehandelt werde. Erst im Büro angekommen wird der Vizepräsident misstrauisch: Er leitet die Mail an das Headquarter in Österreich weiter und bittet um schriftliche Verifizierung, während parallel weiter Druck gemacht wird, sofort zu überweisen.
Die Analyse des Cyber-Defense-Teams ergab: klassischer CFO-Fraud, mit gefälschter Absender-Domain und gefälschten Rufnummern. Domain und Nummer wurden gesperrt, alle Mitarbeitenden per Rundmail mit Screenshots gewarnt – und Stunden später scheiterte derselbe Angriffsversuch in der spanischen Niederlassung, weil das Team dort bereits informiert war. Genau darum geht es: einen Schritt schneller sein als die Angreifer.
Wenn selbst Stimme und Video täuschend echt sind
Wie weit gefälschte Anrufe heute gehen, zeigt ein zweiter, ebenso präzise datierter Fall aus Augustins Vortrag. Eine Assistentin eines Vorstands bekommt eine Mail von ihrem Chef mit der Bitte um eine hohe Überweisung. Vorsichtshalber bittet sie um ein Telefonat, um die Stimme zu hören. Die Stimme klingt echt. Zur Sicherheit verlangt sie zusätzlich einen Videocall. Auch der wird eingerichtet, ein weiterer Kollege schaltet sich dazu: Bild passt, Stimme passt, alles passt. Sie überweist. Erst hinterher stellt sich heraus, dass es Avatare waren – das gesamte Video-Setting war nachgestellt, die Überweisung ist weg.
Was folgt daraus? Augustins Fazit aus beiden Fällen: Gestoppt wird ein solcher Angriff nicht durch Technik allein, sondern durch Nachfragen, Verifizierung über einen zweiten Kanal und Zusammenarbeit im Team. Der Mensch bleibt der entscheidende Faktor. Und wird dabei regelmäßig überschätzt, sobald es um die eigene Widerstandsfähigkeit unter Stress geht.

Warum KI-Phishing so viel schwerer zu erkennen ist
Woran liegt das? Laut Augustin werden mittlerweile zwei Drittel bis 75 Prozent aller großen Cybercrime-Kampagnen mit KI-Tools gesteuert. Entscheidend dabei: KI passt Phishing-Mails automatisch an Sprache, Ton und Timing der Zielperson an. Sie verändert schädlichen Code laufend selbst – polymorphe Malware, um Virenscanner zu umgehen. Und sie lässt manche Schadsoftware fast spurlos im Arbeitsspeicher laufen, statt Dateien auf der Festplatte zu hinterlassen.
neue Malware-Varianten entstehen laut BSI-Lagebericht durchschnittlich pro Tag (Zeitraum Juli 2023 bis Juni 2024) – dazu kommen täglich rund 70 neue Software-Schwachstellen.
Quelle: BSI, Die Lage der IT-Sicherheit in Deutschland 2024Eine Zahl, bei der man kurz innehält. Betroffen sind laut Augustin längst nicht nur Konzerne. Besonders der Mittelstand, Kommunen und Privatpersonen – überall dort, wo IT-Abteilungen klein sind oder fehlen. Der Grund: KI senkt für Angreifer die Kosten, professionell aufgesetzte Angriffe zu fahren, wodurch auch kleinere Ziele wirtschaftlich attraktiv werden.
Konkrete Beispiele: Woran du Fälschungen erkennst
Woran lässt sich eine Fälschung im Alltag festmachen? Augustin zeigt in ihrem Vortrag reale Phishing-Mails und SMS, an denen sich typische Warnsignale ablesen lassen:
- Fehlende persönliche Anrede: Eine angebliche Rückerstattungs-Mail von ARD/ZDF begann nur mit "Hallo" – ohne Namen. Seriöse Absender mit Kundenbeziehung sprechen dich in der Regel persönlich an.
- Künstlich erzeugter Zeitdruck: Formulierungen wie "Ihr Anspruch verfällt, wenn Sie nicht sofort handeln" sind ein klassisches Druckmittel – echte Rückerstattungen verfallen nicht binnen Stunden.
- Absenderadresse weicht vom angezeigten Namen ab: Bei der ARD/ZDF-Mail stimmte der tatsächliche Absender nicht mit der angeblichen Institution überein – ein Blick auf die echte Adresse hinter dem Anzeigenamen genügte.
- Kleine Schreibfehler trotz professionellem Layout: Eine gefälschte Rechnung sah optisch überzeugend aus, enthielt aber einen Rechtschreibfehler – noch immer ein Hinweis, wenn auch KI-Mails zunehmend fehlerfrei werden.
- Ungewöhnliche Häufung von Nachrichten desselben Musters: Augustin erhielt mehrere SMS von angeblich Binance mit Warnungen zu ihrem Krypto-Konto, jeweils von unterschiedlichen Nummern. Erst als mehrere Nachrichten kurz hintereinander von derselben Nummer kamen, wurde das Muster auffällig.
Bei der vermeintlichen Binance-Warnung reagierte Augustin bewusst nicht auf die Nummer aus der SMS. Stattdessen kontaktierte sie ihre Bank über den ihr bekannten, unabhängig gespeicherten Weg. Genau dieses Prinzip nennt sie als wirksamsten Einzelschutz: selbst den Kontakt herstellen, statt auf eine mitgeschickte Nummer oder einen Link zu reagieren. Sie ist ihre eigene Firewall, sagt sie dazu – und das gelte für jede und jeden.
Weitere Maschen: Lieferantenbetrug und Spear-Phishing
Neben CFO-Fraud beschreibt Augustin zwei weitere KI-gestützte Varianten, die im Unternehmensalltag zunehmen. Beim Lieferantenbetrug imitieren Angreifer einen echten Lieferanten und schicken aktualisierte Bankdaten oder Rechnungen mit korrektem Layout, Logo und passender Domain, erkennbar oft nur an leicht abgewandelten Domainnamen (etwa eine Null statt eines großen O) oder an Formulierungen, die auf den zweiten Blick seltsam wirken. Beim Spear-Phishing wiederum werden einzelne Personen gezielt mit echten Projektnamen und Kollegenbezügen angeschrieben, was die Nachricht besonders glaubwürdig macht. Die Angreifer wechseln dabei laufend die Taktik.
Wie lässt sich dagegen vorgehen? Augustins Gegenmaßnahmen für beide Fälle sind identisch: Stammdatenänderungen nur über ein definiertes Formular mit Rückruf freigeben. Zahlungen bei Unsicherheit sperren, bis eine Bestätigung über einen zweiten Kanal vorliegt. Und im Zweifel ein vorher vereinbartes Lieferanten-Codewort oder eine Kundennummer abfragen. Wie sich solche Prozesse technisch und organisatorisch im Unternehmen verankern lassen, ordnet der Themen-Guide KI im Unternehmen ein.
Häufige Fragen
Wie erkenne ich eine Phishing-Mail?+
An der tatsächlichen Absenderadresse hinter dem angezeigten Namen, an fehlender persönlicher Anrede, an künstlich aufgebautem Zeitdruck sowie an kleinen Unstimmigkeiten wie Schreibfehlern oder leicht abgewandelten Domainnamen. KI-Mails sind heute sprachlich oft fehlerfrei, weshalb die Absenderadresse das wichtigste Prüfkriterium bleibt.
Was ist CFO-Fraud?+
Ein Betrugsversuch, bei dem sich Angreifer per gefälschter Mail und gefälschten Anrufen als Führungskraft (meist CFO oder CEO) ausgeben und eine dringende Überweisung fordern. In einem von Claudia Augustin geschilderten Fall wurden so 187.532 Euro nach Kroatien angefordert – der Betrug flog auf, weil der Vizepräsident die Überweisung über das Headquarter schriftlich verifizieren ließ, statt sofort zu handeln.
Können Betrüger auch Video-Calls fälschen?+
Ja. In einem zweiten Fall aus Augustins Vortrag ließ sich eine Assistentin auf einen Videocall mit angeblichem Chef und Kollegen ein, bei dem Bild und Stimme täuschend echt wirkten – es waren KI-generierte Avatare, die Überweisung ging trotzdem verloren. Ein Videocall allein ist deshalb kein zuverlässiger Beweis für Echtheit.
Wie viele Cyberangriffe laufen heute über KI?+
Nach Augustins Einordnung werden aktuell zwei Drittel bis 75 Prozent aller großen Cybercrime-Kampagnen mit KI-Tools gesteuert. Laut BSI entstehen zusätzlich durchschnittlich 309.000 neue Malware-Varianten pro Tag.
Was ist der wirksamste Schutz gegen Phishing-Mails?+
Bei Unsicherheit nie über die in der Nachricht angegebene Nummer oder den Link reagieren, sondern selbst über einen bekannten, unabhängig gespeicherten Kanal Kontakt aufnehmen – etwa die Bank aktiv anrufen oder die Kollegin über die gespeicherte Nummer zurückrufen. Bei Firmenzahlungen ergänzt ein zweiter Kanal mit Rückruf und Codewort den Schutz.
Sei bei der nächsten OGcon wieder dabei.
Trag dich in die Warteliste ein und erfahre als Erste:r, sobald die nächste OGcon startet.
Mit dem Eintragen willigst du ein, dass dich die Veranstalter der OGcon — Benno Siebern (MetaWelten) und Markus Habermehl (Pundamilia Marketing OÜ) — per E-Mail über die nächste Ausgabe informieren. Abmeldung jederzeit über den Link in jeder E-Mail. Mehr dazu in der Datenschutzerklärung.