Poetschke IT
Leistungen
Preise
Ratgeber
Über mich
Erstgespräch anfragen
Poetschke IT
Poetschke IT

Webentwicklung, Wartung und IT-Unterstützung aus einer Hand – damit Sie sich auf Ihr Kerngeschäft konzentrieren können.

IONOS – Offizieller Partner
eRecht24 Agentur-Partner für rechtssichere Webseiten

Leistungen

  • Leistungen
  • Preise
  • Wartung
  • Fernwartung
  • Tools

Unternehmen

  • Über mich
  • Ratgeber
  • Kontakt

Kunden

  • Kundenportal
  • Onboarding

Rechtliches

  • Impressum
  • Datenschutz
  • AGB

© 2026 POETSCHKE IT. Alle Rechte vorbehalten.

Mitentwickelt von Marcel Pötschke

← Ratgeber/Tipps & Tricks

Auf einen Phishing-Link geklickt? Die ersten 30 Minuten entscheiden

Wer nach einem Klick richtig reagiert, begrenzt den Schaden meistens vollständig. Eine konkrete Anleitung in drei Phasen — und was Sie auf keinen Fall tun sollten.

Marcel Pötschke – Inhaber POETSCHKE IT

Marcel Pötschke

Freiberuflicher Webentwickler

28. April 2026·8 Min

In diesem Artikel

    Es passiert schneller, als man denkt. Eine Mail sieht im Stress des Tages echt aus, der Link wird im Reflex angeklickt — und einen Augenblick später dämmert es: Das war kein DHL, keine Bank, kein Kollege. Was jetzt?

    Die gute Nachricht: Ein Klick allein richtet selten katastrophalen Schaden an. Die meisten Phishing-Angriffe brauchen einen zweiten Schritt, um wirklich Schaden zu verursachen — eine Eingabe von Zugangsdaten, das Ausführen einer heruntergeladenen Datei, die Bestätigung einer Sicherheitsabfrage. Wer in den ersten dreißig Minuten richtig reagiert, schneidet diese zweiten Schritte ab und begrenzt den Schaden in den allermeisten Fällen vollständig.

    Diese Anleitung ist auf typische Endgeräte im Geschäfts- und Privatumfeld zugeschnitten: Windows-PC, Mac, Smartphone. Sie hilft im Moment des Schreckens — als Schritt-für-Schritt- Plan, den Sie auch unter Anspannung abarbeiten können.

    Phase 1: Sofort handeln (0–5 Minuten)

    Im ersten Schritt geht es darum, mögliche Folgeschäden zu verhindern, ohne Beweise zu zerstören. Konkret:

    • Gerät vom Internet trennen. Am Computer das Netzwerkkabel ziehen oder WLAN ausschalten. Am Smartphone den Flugmodus aktivieren. Damit kann eventuell aktive Schadsoftware nicht mehr nach Hause telefonieren oder weitere Komponenten nachladen.
    • Nichts weiter klicken, nichts eingeben. Wenn sich eine Login-Seite geöffnet hat: keine Daten eintippen, auch nicht „nur testweise“. Wenn ein Download gestartet wurde: nicht öffnen, nicht ausführen.
    • Browser-Tab geöffnet lassen. Schließen Sie den Tab nicht, sondern lassen Sie ihn als Beweismittel offen. Sie brauchen die Adresse später für die Schadensanalyse und gegebenenfalls für eine Anzeige.
    • Nicht in Panik ausschalten. Der Computer muss nicht sofort heruntergefahren werden. Manche Schadsoftware nutzt die Shutdown-Phase, um Spuren zu verwischen — und Sie verlieren möglicherweise nützliche Beweise.

    Wenn Sie auf einem Geschäftsgerät arbeiten: Informieren Sie spätestens jetzt Ihre IT — intern oder den externen Dienstleister. Je früher die Bescheid wissen, desto besser können sie helfen. Niemand wird Ihnen einen Vorwurf machen, dass Sie geklickt haben — Phishing funktioniert, weil es darauf ausgelegt ist, in unaufmerksamen Momenten zu wirken.

    Phase 2: Schaden einschätzen (5–15 Minuten)

    Jetzt geht es darum zu klären, was eigentlich passiert ist. Das bestimmt die nächsten Schritte. Drei Fragen sind entscheidend:

    1. Habe ich nur geklickt — oder etwas eingegeben?

    Wenn Sie ausschließlich auf den Link geklickt und die geöffnete Seite nur angesehen haben, ist die Wahrscheinlichkeit eines unmittelbaren Schadens gering. Phishing-Seiten sind in aller Regel reine HTML-Seiten, die ohne Ihr Zutun nichts tun. Risiko bleibt: Ein sogenannter Drive-by-Download, der ohne Klick im Hintergrund versucht, eine Datei zu platzieren — selten, aber möglich.

    Unsicher, ob etwas passiert ist?

    Wenn Sie nicht einschätzen können, ob durch den Klick Schaden entstanden ist: Schalten Sie mich per Fernwartung dazu. Ich prüfe das Gerät, sichere Beweise und sage Ihnen klar, ob Sie ruhig schlafen können — oder welche Schritte jetzt nötig sind.

    Sofort-Hilfe per FernwartungIT-Unterstützung anfragen

    Wenn Sie hingegen Daten eingegeben haben — Benutzername, Passwort, Kreditkartennummer, TAN — gehen Sie davon aus, dass diese Daten in den Händen der Angreifer sind. Stellen Sie sich nicht die Frage „ob sie das wirklich gesehen haben“. Sie haben.

    2. Wurde eine Datei heruntergeladen oder geöffnet?

    Ein heruntergeladenes, aber nicht ausgeführtes Office-Dokument oder PDF ist meist ungefährlich. Gefährlich wird es, wenn Sie die Datei geöffnet und Makros aktiviert oder ein ausführbares Programm gestartet haben (.exe, .msi, .bat, .scr, .lnk). In diesem Fall ist ein professioneller Scan zwingend.

    3. Welche Konten könnten betroffen sein?

    Notieren Sie sich, welches Konto angeblich angesprochen wurde — und welches in der echten Welt zu Ihren Daten passt. Eine vermeintliche Sparkassen-Mail ist nur dann ein Sparkassen- Risiko, wenn Sie tatsächlich Sparkassen-Kunde sind und auf der gefälschten Login-Seite Ihre echten Zugangsdaten eingegeben haben.

    Phase 3: Schaden begrenzen (15–30 Minuten)

    Jetzt wird gehandelt. Reihenfolge ist wichtig — vor allem, wenn Sie Zugangsdaten eingegeben haben.

    • Passwort ändern — von einem anderen, sauberen Gerät. Nicht vom potenziell kompromittierten Gerät aus, sondern vom Smartphone oder einem anderen Computer. Beginnen Sie mit dem direkt betroffenen Konto, dann jedem anderen Konto, das dasselbe Passwort nutzt. Wenn Sie überall dasselbe Passwort verwenden — was Sie ohnehin nicht sollten — haben Sie eine Stunde Arbeit vor sich.
    • Zwei-Faktor-Authentifizierung aktivieren, wo sie noch nicht aktiv war. Bei E-Mail-Konten, Online-Banking, Cloud-Diensten ist 2FA ohnehin Standard und sollte aufgebauten Schutz auch nach einem geänderten Passwort weiter sichern.
    • Aktive Sitzungen beenden. Viele Dienste bieten in den Einstellungen eine Übersicht „angemeldete Geräte“ oder „aktive Sitzungen“ mit der Möglichkeit, alle anderen Sitzungen abzumelden. Nutzen Sie diese — sonst bleibt der Angreifer eingeloggt, auch wenn Sie das Passwort geändert haben.
    • Bei Kreditkarten- oder Bankdaten: Bank anrufen. Sofort. Nicht warten, ob etwas abgebucht wird. Karte sperren lassen, gegebenenfalls neue beantragen. Die meisten Banken haben dafür eine 24/7-Hotline; die zentrale Sperrnummer in Deutschland lautet 116 116.
    • Bei Geschäfts-Konten zusätzlich: IT-Verantwortliche informieren, falls noch nicht geschehen. Kunden oder Geschäftspartner warnen, wenn der Verdacht besteht, dass aus Ihrem Konto bereits Mails versendet wurden — das ist die häufigste Folgeaktion eines Phishing-Erfolgs.
    Faustregel: Je mehr Zeit zwischen Klick und Reaktion vergeht, desto teurer wird der Schaden. In den ersten Minuten lässt sich fast alles abfangen — nach Stunden ist das Geld oft schon weg, nach Tagen die Daten weiterverkauft.

    Was Sie auf keinen Fall tun sollten

    Es gibt einige typische Reaktionen, die naheliegend wirken, aber den Schaden vergrößern können:

    • „Erstmal abwarten, vielleicht ist nichts passiert.“ Die häufigste und teuerste Reaktion. Wenn Daten erbeutet wurden, läuft die Uhr ab dem Klick — nicht ab dem Moment, an dem Sie sich entscheiden zu reagieren.
    • Den verdächtigen Link nochmal aufrufen, „um zu sehen, was passiert“. Sie riskieren einen zweiten, diesmal gezielten Angriffsversuch — und zerstören möglicherweise die Beweislage.
    • Auf demselben Gerät einloggen, um zu prüfen, ob das Passwort noch geht. Falls ein Keylogger aktiv ist, übermitteln Sie das neue Passwort gleich mit. Erst bereinigen, dann neu anmelden.
    • Die Phishing-Mail einfach löschen. Ohne Beweissicherung haben Sie nichts mehr in der Hand, falls später Schaden auftaucht. Verschieben Sie die Mail in einen eigenen Ordner und melden Sie sie an Ihren Mail-Anbieter, an die Bank oder an die Verbraucherzentrale.

    Wann Sie Profi-Hilfe holen sollten

    Bei Privatgeräten reicht das eigene Aufräumen häufig — vorausgesetzt, Sie haben nur geklickt und keine Datei geöffnet. Ein Schnellscan mit dem ohnehin installierten Virenschutz und ein zusätzlicher Lauf mit einer zweiten Meinung wie Microsoft Defender Offline schadet nie.

    Spätestens in diesen Fällen sollten Sie nicht mehr alleine arbeiten:

    • Sie haben einen Anhang geöffnet oder eine ausführbare Datei gestartet.
    • Es handelt sich um ein Geschäftsgerät, von dem aus Sie auf Kunden- oder Buchhaltungsdaten zugreifen.
    • Sie haben Zugangsdaten für E-Mail-Konten oder Online-Banking eingegeben — gerade E-Mail-Konten sind oft der Schlüssel zu allem anderen.
    • Auf dem Gerät verhält sich nach dem Vorfall etwas auffällig: Pop-ups, Browser-Umleitungen, unbekannte Programme im Startmenü.

    In all diesen Fällen geht es nicht nur um Bereinigung, sondern um die Frage: Was wurde bereits ausgeleitet, an wen, und welche Folgen drohen? Diese Einschätzung ist deutlich wertvoller als jede Anti-Viren-Software.

    Zusammenfassung als Checkliste

    1. Trennen. Internet aus, weiter nichts klicken, Tab offen lassen.
    2. Einschätzen. Nur geklickt? Daten eingegeben? Datei geöffnet? Welches Konto?
    3. Passwörter ändern. Vom anderen Gerät, betroffenes Konto zuerst, dann alle Konten mit gleichem Passwort.
    4. 2FA aktivieren, aktive Sitzungen abmelden.
    5. Bank informieren, falls Karten- oder Kontodaten betroffen waren.
    6. Kollegen und Dienstleister informieren, falls geschäftliches Gerät.
    7. Beweis sichern — Mail in eigenen Ordner, Adresse der Phishing-Seite notieren, melden.

    Phishing zu erkennen, bevor man klickt, ist die beste Verteidigung. Wer trotzdem reinläuft, hat in den ersten dreißig Minuten die Chance, fast alles wieder einzufangen — wenn er strukturiert vorgeht statt zu hoffen, dass nichts passiert ist.