Kriminelle ahmen E-Mails echter Geschäftspartner und Anbieter täuschend ähnlich nach – und werden dabei immer raffinierter. Wir zeigen, woran Sie gefälschte Mails zuverlässig erkennen, was Domain-Spoofing ist, und was im Ernstfall zu tun ist.
Phishing-Mails sind keine Seltenheit mehr – und sie werden immer professioneller. Statt offensichtlicher Fälschungen landen heute täuschend echte Nachrichten in Postfächern, die aussehen, als kämen sie von Ihrer Bank, Ihrem Paketdienst oder Ihrem Hosting-Anbieter. Dieser Artikel erklärt, wie Phishing funktioniert, wie Kriminelle an Ihre Adresse kommen, welche neuen Tricks aktuell im Umlauf sind – und wie Sie echte von gefälschten Mails unterscheiden.
Eine Frage, die uns Kunden manchmal stellen: „Wenn ich eine Phishing-Mail erhalte, die vorgibt, von euch zu sein – habt ihr dann ein Datenschutzproblem?“ Die kurze Antwort: Nein.
Betrüger nutzen dabei mehrere Methoden – und der Hosting-Anbieter ist eine davon. Über öffentlich zugängliche Tools lässt sich herausfinden, welche IP-Adressen zu welchem Hosting-Anbieter gehören. Wer eine Website betreibt, ist mit seiner IP-Adresse in öffentlichen Registern einsehbar. Daraus lässt sich ableiten, wer bei welchem Anbieter hostet. Die E-Mail-Adresse selbst ist oft schnell erraten: Fast jedes Unternehmen hat eine info@-Adresse.
Häufig stammen E-Mail-Adressen auch aus anderen Quellen: Whois-Daten – also den öffentlich einsehbaren Registrierungsinformationen einer Domain – enthalten oft direkte Kontaktadressen. Das Impressum einer Website ist ebenfalls ein beliebtes Ziel für automatisiertes Scraping, da dort Kontaktdaten gesetzlich vorgeschrieben sind. Daneben sind Datenlecks bei Drittanbietern eine häufige Ursache: Wenn ein anderer Dienst, den Sie nutzen, gehackt wird und Adressdaten abfließen, können diese im Darknet landen. Schließlich werden E-Mail-Listen auch schlicht gekauft – ein ganzer Graumarkt handelt mit solchen Adressen.
Wie können Sie eine Phishing-Mail von einer seriösen unterscheiden? Viele Phishing-Mails verraten sich durch eine Kombination verschiedener Merkmale. Achten Sie auf diese typischen Warnsignale:
Von: support@ihr-hoster-online.net ⚠ FALSCHE DOMAIN
An: info@ihrUnternehmen.de ⚠ NICHT IHRE KONTAKTADRESSE
Betreff: Ihr Hosting-Paket läuft ab – sofort handeln!
Ihr Hosting-Vertrag läuft in 24 Stunden ab. Um eine Unterbrechung Ihrer Website zu vermeiden, klicken Sie bitte sofort auf den folgenden Link und bestätigen Sie Ihre Zahlungsdaten:
⚠ DRINGLICHKEIT
https://zahlung-bestätigen.de/konto
⚠ FREMDE DOMAIN!
Hier wird es etwas technischer – und das ist wichtig, damit es verständlich ist: Es gibt mittlerweile Phishing-Mails, bei denen die Absenderadresse auf den ersten Blick vollkommen korrekt wirkt. Sie zeigen tatsächlich die echte Domain des Anbieters an. Das nennt sich E-Mail-Spoofing.
Das E-Mail-Protokoll wurde ursprünglich ohne strenge Absender-Verifizierung entwickelt. Wenn ein Mailserver nicht korrekt konfiguriert ist – mit den Schutzmechanismen SPF, DKIM und DMARC – können Angreifer Mails verschicken, die im „Von“-Feld eine beliebige Absenderadresse tragen, auch Ihre eigene oder die Ihres Anbieters.
Seit 2025 beobachten wir diese Angriffsmethode verstärkt und werden auch vermehrt durch Kunden dazu angesprochen. Dabei wirken die Mails wie interne oder offizielle Nachrichten, weil Absender- und Empfängerdomain scheinbar übereinstimmen.
Eine besonders heimtückische Variante des Domain-Missbrauchs ist das sogenannte IDN-Homograph-Angriff (auch Punycode-Phishing genannt). Dabei registrieren Angreifer Domains, die der echten zum Verwechseln ähnlich sehen – weil einzelne Buchstaben durch optisch nahezu identische Zeichen aus anderen Alphabeten ersetzt werden. Ein kleines „a" kann beispielsweise durch ein kyrillisches „а" ersetzt werden. Für das menschliche Auge ist der Unterschied unsichtbar – die Domain ist technisch aber eine völlig andere.
Aus keyweb.de könnte so etwa кeyweb.de werden – mit einem kyrillischen „к" statt des lateinischen „k". Browser und Mailprogramme zeigen solche Domains manchmal in ihrer codierten Form (dem sogenannten Punycode, z. B. xn--eyweb-xta.de) an, manchmal aber auch in der täuschend echten Darstellung.
Was Sie tun können: Wenn Sie unsicher sind, ob ein Link wirklich auf unsere Domain führt, kopieren Sie ihn und fügen Sie ihn in die Browseradresszeile ein – ohne zu klicken. Viele Browser zeigen dann die Punycode-Darstellung an, die eine Fälschung sofort entlarvt. Im Zweifelsfall gilt: Tippen Sie die Adresse immer manuell ein.
Bei jeder verdächtigen Mail – auch wenn die Absenderadresse korrekt wirkt – sollten Sie die anderen Merkmale prüfen: Empfängeradresse, Anrede, Linkziel und Inhalt der Aufforderung. Eine gespoofde Mail kann die Absenderadresse fälschen, aber nicht Ihre echte Kundenbeziehung. Achten Sie also bitte auch auf Ihr Bauchgefühl bei diesem Thema. Sollte dieses alarmiert sein, geschieht dies selten ohne Grund.
Im Zweifel: Rufen Sie uns an oder loggen Sie sich direkt über Ihren Browser in Ihr Kundenkonto ein – ohne den Link in der Mail zu nutzen.
Wenn Sie unsicher sind, ob eine Mail echt ist: Klicken Sie auf keinen Link und öffnen Sie keine Anhänge. Tippen Sie die Adresse des Kundenportals manuell in die Browserzeile, oder rufen Sie unseren Support direkt an.
Haben Sie bereits auf einen Link geklickt oder Daten eingegeben? Dann handeln Sie sofort: Ändern Sie betroffene Passwörter, informieren Sie Ihre Bank, wenn Zahlungsdaten betroffen sind, und melden Sie den Vorfall. Bei ernstem Verdacht steht das BSI (Bundesamt für Sicherheit in der Informationstechnik) unter bsi.bund.de mit Rat und Ressourcen zur Verfügung.
Selbst wer auf einen Phishing-Link hereinfällt und sein Passwort eingibt, kann sich noch schützen – wenn das Konto durch Multi-Faktor-Authentifizierung (MFA) oder Zwei-Faktor-Authentifizierung (2FA) gesichert ist. Dabei wird beim Login neben dem Passwort ein zweiter Faktor abgefragt, zum Beispiel ein Einmalcode aus einer Authenticator-App oder per SMS.
Selbst wenn Angreifer Ihr Passwort kennen, können sie sich ohne diesen zweiten Faktor nicht einloggen. MFA ist damit eine der wirksamsten Schutzmaßnahmen gegen die Folgen eines erfolgreichen Phishing-Angriffs.
Unsere Empfehlung: Aktivieren Sie MFA überall dort, wo es angeboten wird – insbesondere für Ihr Hosting-Kundenkonto, Ihre E-Mail-Zugänge und alle Dienste, über die sensible Daten oder Zahlungen laufen. In Ihrem Keyweb-Kundenportal können unsere Kunden die Zwei-Faktor-Authentifizierung in den Kontoeinstellungen aktivieren.
Phishing entsteht nicht durch Datenlecks beim Anbieter. Betrüger erraten Adressen aus öffentlichen Quellen.
Achten Sie nicht nur auf die Absenderadresse, sondern auch darauf, an welche Adresse die Mail geht – geht sie nicht an Ihre hinterlegte Kontaktadresse, ist das ein deutliches Warnsignal.
Fortgeschrittene Angriffe per Domain-Spoofing können sogar die richtige Absenderdomain vortäuschen – prüfen Sie dann alle anderen Merkmale. Im Zweifel: direkt einloggen, nie über den Link in der Mail.
Aktivieren Sie zusätzlich die Zwei-Faktor-Authentifizierung für Ihr Kundenkonto – sie schützt Sie auch dann, wenn ein Passwort einmal in falsche Hände gerät.
Erfahren Sie in unserem Whitepaper, wie Sie ein zuverlässiges Sicherheitsnetz für Ihre wertvollen Daten aufbauen – und Ihr Unternehmen vor den schwerwiegenden Folgen eines Datenverlusts schützen.
Freuen Sie sich auf praxisnahe Fragen, eine hilfreiche Checkliste und konkrete Anwendungsbeispiele – damit Sie fundierte Entscheidungen für Ihre Datensicherung treffen können.
Sie stimmen der Datenverarbeitung im Rahmens des Newsletterversandes zu. Ihre Einwilligung können Sie jederzeit widerrufen, beispielsweise über den Abmeldelink im Newsletter. Ausführliche Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung unter Punkt 16.
