Phishing-Mails sind 2026 grammatikalisch sauber und persönlich adressiert. Tippfehler-Faustregeln greifen nicht mehr — diese fünf strukturellen Warnzeichen schon.
Marcel Pötschke
Freiberuflicher Webentwickler
Bis vor zwei, drei Jahren konnte man Phishing-Mails relativ zuverlässig an Tippfehlern, gestelzten Anreden und kaputten Logos erkennen. Diese Faustregeln sind seit dem Aufkommen generativer KI nicht mehr verlässlich. Eine moderne Phishing-Mail ist grammatikalisch einwandfrei, im Tonfall des angeblichen Absenders gehalten und oft mit Daten aus öffentlichen Profilen personalisiert.
Was sich nicht geändert hat, ist die Struktur des Angriffs. Phishing braucht eine bestimmte Mechanik, um zu funktionieren — und diese Mechanik hinterlässt Spuren, die auch eine perfekt formulierte KI-Mail nicht verstecken kann. Diese fünf Warnzeichen sind 2026 die zuverlässigsten.
Echte Behörden, Banken und Anbieter geben Ihnen Zeit. Wenn eine E-Mail behauptet, Ihr Konto werde „innerhalb von 24 Stunden gesperrt“, eine Rechnung sei „heute fällig“ oder ein Zugang werde „sofort deaktiviert“, ist das fast immer ein Köder. Phishing braucht Zeitdruck strukturell — denn wer Zeit hat, prüft. Wer prüft, klickt nicht.
Auch eine perfekt formulierte KI-Mail kommt um diesen Hebel nicht herum. Egal wie höflich der Tonfall ist: Wenn die zentrale Botschaft „Sie müssen jetzt sofort handeln“ lautet, ist Vorsicht angebracht.
Bei jeder Mail, die Sie in Eile reagieren lässt, machen Sie zuerst genau das Gegenteil — eine Pause. Echte Anliegen überstehen zehn Minuten Nachdenken.
Im E-Mail-Postfach wird oben meist nur der Anzeigename dargestellt — also zum Beispiel „DHL Kundenservice“ oder „Sparkasse Online-Banking“. Diesen Namen kann jeder beliebig setzen, er ist kein Authentifizierungsmerkmal. Was zählt, ist die tatsächliche E-Mail-Adresse dahinter.
Klappen Sie im Mail-Programm die Absender-Zeile auf oder klicken Sie auf den Namen, um die volle Adresse zu sehen. Typische Verräter sind:
service@dhl-paketzustellung.info statt der echten @dhl.de.amaz0n.de mit Null, mlcrosoft.com mit kleinem L statt großem I.sparkasse.kundenportal-secure.io — die echte Domain ist kundenportal-secure.io, nicht sparkasse.Lesen Sie Domains immer von rechts nach links. Maßgeblich ist alles direkt vor der Top-Level-Domain — der Rest sind Subdomains, die der Angreifer frei wählen kann.
Ein Link in einer E-Mail kann beliebig beschriftet sein und gleichzeitig auf eine ganz andere Adresse zeigen. Bevor Sie auf einen Link klicken, prüfen Sie das tatsächliche Ziel:
Wenn Sie unsicher sind, ob eine E-Mail echt ist, oder ob auf Ihrem Rechner durch einen Klick schon Schaden entstanden ist: Ich schaue mir das mit Ihnen gemeinsam an. Schnelle Einschätzung, klare Empfehlung, bei Bedarf direkte Bereinigung.
Auch hier gilt das Domain-Prinzip von rechts nach links. Selbst wenn die Adresse paypal.com enthält: maßgeblich ist nur, was direkt vor der Top-Level-Domain steht. paypal.com.login-verify.tk führt nicht zu PayPal, sondern zu login-verify.tk.
Bei verkürzten Links (bit.ly, t.co und so weiter) ist grundsätzlich Misstrauen angebracht — sie verbergen das eigentliche Ziel. In Geschäftskommunikation haben sie meist nichts zu suchen.
Banken, Behörden und seriöse Anbieter fragen nie per E-Mail nach Passwörtern, TANs, vollständigen Kreditkartennummern oder Ausweis-Scans. Auch Microsoft, Google und Apple verschicken keine Mails, in denen Sie sich „zur Bestätigung“ neu einloggen müssen.
Wenn eine Mail Sie zu einer Login-Seite führen will, machen Sie das niemals über den Link in der Mail. Öffnen Sie stattdessen einen frischen Browser-Tab und tippen Sie die Adresse des Anbieters von Hand ein — oder nutzen Sie Ihr Lesezeichen. Ist das Anliegen echt, finden Sie es auch nach normalem Login im Kundenbereich wieder.
Gleiches gilt für Anhänge: Eine unerwartete Rechnung, Bewerbung oder ZIP-Datei sollte ohne Rückfrage beim angeblichen Absender nie geöffnet werden — auch nicht, wenn der Name vertraut wirkt.
Die gefährlichste Variante ist nicht der dubiose DHL-Absender, sondern der bekannte Absender mit einer ungewöhnlichen Bitte. Klassiker aus dem Geschäftsalltag:
In allen drei Fällen kann der Absender technisch echt sein — wenn das E-Mail-Konto des Geschäftsführers oder Lieferanten kompromittiert wurde, kommt die Mail tatsächlich von dort. Hier hilft nur: Out-of-Band-Verifikation. Greifen Sie zum Telefon und rufen Sie unter einer bekannten Nummer zurück — nicht der Nummer aus der Mail. Bestätigen Sie den Auftrag persönlich, bevor Sie reagieren.
CEO-Fraud und Lieferanten-Spoofing kosten deutsche Unternehmen jedes Jahr dreistellige Millionenbeträge. Die einfachste Gegenmaßnahme ist eine feste Regel im Team: Geld- und Bankdaten-Änderungen werden grundsätzlich per Telefon oder persönlich bestätigt.
Im Zweifel gilt: nicht klicken, nicht antworten, nichts öffnen. Wenn das Anliegen echt ist, kommt es entweder über einen anderen Kanal noch einmal — oder Sie finden es nach direktem Login im Kundenbereich des Anbieters.
Verdächtige E-Mails sollten Sie nicht einfach löschen, sondern an die zuständige Stelle weiterleiten: phishing@ Ihrer Bank, missbrauch@ Ihres E-Mail-Anbieters oder bei besonders dreisten Fällen an die Verbraucherzentrale.
KI-Phishing ist nicht erkennbar, weil es Tippfehler hat — die hat es nicht mehr. Es ist erkennbar, weil es strukturell Druck, falsche Domains, manipulierte Links, direkte Datenabfrage oder ungewöhnliche Kontext-Sprünge braucht, um zu funktionieren. Wer auf diese fünf Punkte achtet, fängt die meisten Angriffe ab — auch ohne IT-Kenntnis.