Von Dennis Knake
Veröffentlicht am 30.04.2026
Phishing: Der älteste Trick der Welt und immer noch sehr erfolgreich
- Phishing ist kein digitales Phänomen: Vertrauen erschleichen, Zeitdruck aufbauen und zur Handlung drängen – dieses Muster kennen Betrüger seit Jahrhunderten. Die Technik ist neu, die Psychologie dahinter nicht.
- Bundestagspräsidentin Julia Klöckner und zwei Bundesministerinnen wurden 2026 über den Messenger Signal kompromittiert – nicht weil die App unsicher ist, sondern weil ein gefälschter Support-Kontakt menschliche Reflexe ausnutzte. Das BSI und BfV hatten zuvor ausdrücklich gewarnt.
- Fünf Phishing-Methoden von E-Mail-Betrug über Messenger-Angriffe bis zu Telefonbetrug (Vishing) zeigen: Die Angriffe treffen alle Branchen. Ein strukturierter Ratgeber mit konkreten Gegenmaßnahmen hilft, den Klick-Reflex zu unterdrücken.
Die größte Sicherheitslücke war schon immer der Mensch
Das Erschleichen von Vertrauen ist kein Produkt des Digitalzeitalters. Mitte des 19. Jahrhunderts machte William Thompson in New York Karriere als sogenannter "Confidence Man": Er verwickelte Fremde in ein Gespräch, tat so, als kenne er sie, und bat sie dann um einen kleinen Vertrauensbeweis, etwa ihre Uhr oder Bargeld. Die Methode funktionierte, weil Thompson etwas Entscheidendes verstand: Menschen handeln auf Basis von Vertrauen und sozialen Signalen, nicht auf Basis nüchterner Risikoabwägung.
Thompson war kein Einzelfall, sondern Symptom einer ganzen Ära. Im Amerika des 19. Jahrhunderts, geprägt von rasantem Städtewachstum, anonymen Großstadtmassen und einer neuen Klasse von Fremden, die aufeinander angewiesen waren, blühte der sogenannte Confidence Trick geradezu systematisch auf. Betrüger nutzten gezielt die soziale Norm der Höflichkeit: Wer einen Unbekannten für einen Bekannten hielt, gab das nicht gerne zu, aus Scham über die eigene Vergesslichkeit. Genau diese Scham schützte den Betrüger.
Thompson wurde im Juli 1849 verhaftet und von der New Yorker Presse zum Prototyp des modernen Hochstaplers erklärt. Der Begriff „Confidence Man" war geboren, und Herman Melville verarbeitete die Geschichte nur wenige Jahre später in einem gleichnamigen Roman. Was damals als kuriose Großstadterscheinung galt, ist heute globale Industrie.
Wer noch weiter zurückgehen will, wird sogar schon im alten Rom fündig: Cicero analysierte in De officiis (Buch III, § 75) das Wesen des Betrugs mit bemerkenswert moderner Präzision: „Qui hoc non perviderit, ab hoc nulla fraus aberit, nullum facinus" - „Wer das nicht durchschaut, von dem wird kein Betrug, kein Verbrechen fernbleiben." Gemeint war: Wer Täuschung und Eigennutz nicht klar trennt, öffnet allem Betrug Tür und Tor.
Dasselbe Muster findet sich in analogen Betrugsvarianten, die bis heute funktionieren: der Enkeltrick (ein angeblicher Verwandter braucht dringend Geld), der falsche Polizist (Autorität als Werkzeug) oder das klassische Trickbetrug-Gespräch an der Haustür. Betrüger nutzen Zeitdruck, vorgespiegelte Autorität und die menschliche Hilfsbereitschaft – und sie tun das seit Jahrhunderten.
Wie Wikipedia zum Thema Phishing festhält, gab es unter sozialen Manipulationen ähnliche Betrugsversuche lange bevor E-Mail und Internet zum Alltag gehörten. Neu sind beim Phishing lediglich die Werkzeuge, die eine weitaus größere Verbreitung ermöglichen. Was früher ein Betrüger in einer Straße schaffte, kann heute automatisiert Millionen Menschen gleichzeitig erreichen.
Links: Die Verhaftung von "Confidence Man" William Thompson im New York Herald von 8. Juli 1849. Library of Congress, Chronicling America. Rechts: Illustration "A New York City swindler tries to cheat a man from the country, 1868" aus den Beständen der New York Public Library.
Wenn selbst Regierungsmitglieder in die Falle tappen
April 2026: Bundestagspräsidentin Julia Klöckner, Bildungs- und Familienministerin Karin Prien (CDU) und Bauministerin Verena Hubertz (SPD) stehen im Zentrum eines handfesten Sicherheitsskandals. Ihre Konten beim Messengerdienst Signal gelten als kompromittiert, ausgespäht durch eine laufende Phishing-Kampagne, die nach Einschätzung mehrerer westlicher Geheimdienste wahrscheinlich staatlich gesteuert wird. Im Fall von Julia Klöckner war die Kompromittierung besonders folgenreich: Über ihr Konto war eine Chatgruppe des CDU-Präsidiums erreichbar, der auch Bundeskanzler Friedrich Merz angehört.
Bereits am 6. Februar 2026 hatten das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Verfassungsschutz (BfV) in einem gemeinsamen Sicherheitshinweis öffentlich gewarnt: Ein wahrscheinlich staatlich gesteuerter Akteur führe Phishing-Angriffe über Messengerdienste wie Signal durch – im Fokus: hochrangige Ziele aus Politik, Militär, Diplomatie und Investigativjournalismus. Das BfV geht von einer dreistelligen Zahl Betroffener in Deutschland aus, die Dunkelziffer dürfte deutlich höher liegen.
Fünf häufige Phishing Methoden
1. E-Mail-Phishing (Finanzsektor) – Die älteste digitale Variante. Gefälschte Nachrichten im Corporate Design von Banken oder Zahlungsdienstleistern fordern Empfänger auf, Zugangsdaten zu bestätigen, einem Link zu folgen oder eine Transaktion zu autorisieren. Der Panik-Trigger ist entscheidend: Ihr Konto wurde gesperrt, handeln Sie sofort. Dieser Zeitdruck schaltet rationales Abwägen ab.
2. Spear-Phishing und Whaling (Unternehmenskontext, B2B) – Im Gegensatz zum breit gestreuten E-Mail-Phishing sind diese Angriffe hochpersonalisiert. Angreifer recherchieren Zielpersonen vorab über LinkedIn, Unternehmenswebsite oder Pressemitteilungen und versenden maßgeschneiderte Nachrichten. etwa eine scheinbar interne E-Mail vom CEO an die Buchhaltung mit der Bitte um eine dringende Überweisung (CEO-Fraud). Je höherrangiger das Ziel, desto gezielter der Angriff – daher der Begriff Whaling.
3. Messenger-Phishing (öffentlicher Sektor, Behörden) – Exakt die Methode der Signal-Affäre. Angreifer geben sich als offizieller Support-Dienst aus, verschicken täuschend echte Nachrichten und fordern Nutzerinnen und Nutzer auf, PINs einzugeben, Links anzuklicken oder QR-Codes zu scannen. Wer darauf hereinfällt, öffnet seinen Account für fremde Augen: Kontakte, Chats, Dateien und Gruppenchats inklusive. Das BSI hat dazu einen Handlungsleitfaden veröffentlicht.
4. Smishing (Handel, Logistik, Banking) – Phishing per SMS. Klassisches Szenario: eine gefälschte Paketbenachrichtigung von einem Zusteller mit einem Link zu einer täuschend echten Tracking-Seite, die Zugangsdaten oder Kreditkarteninformationen abgreift. Besonders tückisch: SMS wirken persönlicher und dringlicher als E-Mails, die Hemmschwelle zu klicken ist niedriger.
5. Vishing – Voice Phishing (Gesundheitswesen, Behörden) – Betrug per Telefonanruf, bei dem sich Angreifer als IT-Support, Krankenkasse, Behörde oder Bank ausgeben. Technisch verfeinert durch Caller ID Spoofing, bei dem die angezeigte Rufnummer gefälscht wird und der echten Nummer der Institution ähnelt. In Gesundheitseinrichtungen sind solche Angriffe besonders gefährlich, da Mitarbeitende unter Zeitdruck sensible Patientendaten herausgeben könnten.
Phishing erkennen, bevor man klickt
Die vier Grundfragen
- Kenne ich diesen Absender wirklich oder nur den angezeigten Namen?
- Werde ich zur Eile gedrängt? (Zeitdruck ist das stärkste Warnsignal.)
- Werde ich nach Zugangsdaten, PINs, QR-Codes oder Überweisungen gefragt?
- Hätte ich diese Nachricht in diesem Kanal wirklich erwartet?
Den Klick-Reflex unterdrücken
- Die 3-Sekunden-Pause: Bevor Sie klicken, atmen Sie kurz durch. Schon dieser Moment ermöglicht rationales Nachdenken statt Reflex.
- Den Kanal wechseln: Rufen Sie die betreffende Person oder Institution über eine bekannte, selbst gesuchte Nummer zurück – niemals über eine in der Nachricht genannte.
- Nie aus der Nachricht heraus klicken: Geben Sie Webadressen manuell im Browser ein oder nutzen Sie Ihre gespeicherten Lesezeichen.
Worauf man konkret achten muss
- Absenderadresse vs. Anzeigename: Der sichtbare Name kann beliebig gesetzt sein. Immer die tatsächliche E-Mail-Adresse oder Absendernummer prüfen.
- Sprachqualität ist kein Indikator mehr: KI-Tools produzieren fehlerfreies Deutsch. Grammatikfehler fehlen heute in professionellen Angriffen.
- Unerwarteter Kontakt als Grundverdacht: Jede unaufgeforderte Nachricht mit Handlungsaufforderung verdient zunächst Skepsis – egal von wem sie zu stammen scheint.
- Links im Hover-Check: Auf dem Desktop zeigt das Überfahren eines Links mit der Maus die echte Zieladresse an – oft genug ein verräterisches Detail.
- Kein Support kontaktiert Sie unaufgefordert per Chat: Weder Signal noch eine Bank noch eine Behörde wird Sie ungefragt über einen Messenger um PINs oder QR-Codes bitten.
Woran Unternehmen denken sollten
Der Blick auf die Signal-Affäre zeigt: Technische Sicherheit allein reicht nicht. Signal ist ein sicherer Messenger – und wurde trotzdem zum Angriffsvektor. Der Grund liegt nicht in der Software, sondern im menschlichen Verhalten unter Stress. Genau deshalb brauchen Unternehmen einen zweigleisigen Ansatz.
Auf der technischen Seite gehören Multi-Faktor-Authentifizierung (MFA), Zero-Trust-Architekturen und klar geregelte Kommunikationskanäle für sensible Themen zum Mindeststandard. Ebenso wichtig ist die regelmäßige Überprüfung, welche Apps und Dienste überhaupt für welche Art von Kommunikation im Unternehmen zugelassen sind – eine Frage, die oft zwischen IT-Abteilung und Führungsebene ungeklärt bleibt.
Auf der menschlichen Seite ist regelmäßiges Security-Awareness-Training unverzichtbar – und zwar nicht als einmalige Pflichtveranstaltung, sondern als kontinuierlicher Prozess mit simulierten Phishing-Tests, klaren internen Eskalationswegen und einer Unternehmenskultur, in der das Melden einer verdächtigen Nachricht als Kompetenzzeichen gilt, nicht als Peinlichkeit.
Die gute Nachricht: Phishing funktioniert durch Überraschung und Druck. Wer weiß, wie die Methode arbeitet, entzieht ihr die wichtigste Grundlage. Sensibilisierung ist – nach wie vor – eine der wirksamsten Verteidigungslinien.