Zum Hauptinhalt springen
Wissens-Artikel·Managed Workplace & Microsoft 365 · 8 min · Stand 2026-04-24

Phishing erkennen, Leitfaden für Mitarbeitende

Fünf Muster, die fast jede Phishing-Mail hat, plus zwei konkrete Live-Beispiele. Für das Awareness-Training, ohne Technik-Jargon.

Veröffentlicht2026-04-24Aktualisiert2026-04-24Lesezeit8 minVerbleibend8 minSGFManaged Workplace & Microsoft 365AutorSYSINFRA

Warum dieser Artikel?

95 % aller erfolgreichen Angriffe auf KMU starten mit einer E-Mail. Keine Firewall, kein teures Endpoint-Tool kann eine User ersetzen, die drei Sekunden nachdenkt bevor sie klickt. Dieser Leitfaden ist bewusst kurz: ausdruckbar, im Büro aufhängbar, in der Teamsitzung in fünf Minuten durchgegangen.

Die fünf Muster

1. Zeitdruck

„Ihr Account wird in 24 Stunden gesperrt." „Bitte dringend überweisen." „Die Rechnung ist überfällig." Seriöse Firmen geben Ihnen Zeit. Drohungen mit Frist sind fast immer Fake.

2. Schreibfehler + komische Formatierung

Grossbanken und Microsoft haben Korrekturleser. Wenn eine vermeintliche „Microsoft"-Mail Rechtschreibfehler hat, Umlaute falsch rendert oder komisch formatiert ist: rotes Licht.

3. Absender-Adresse prüfen (nicht nur Anzeigename)

Microsoft Security <[email protected]> sieht auf den ersten Blick aus wie Microsoft. Ist es aber nicht, die echte Domain ist microsoft.com, alles dahinter zählt. Klicken Sie in Outlook auf den Namen oder hovern Sie drüber, dann sehen Sie die echte Adresse.

Mit der Maus über jeden Link hovern (nicht klicken). Unten links zeigt Outlook / Chrome / Firefox die echte Ziel-URL. Wenn die nicht zur Absender-Firma passt: nicht klicken.

5. Anhänge + Macros

Eine .xlsx mit „Inhalte aktivieren"-Frage ist in 9 von 10 Fällen ein Macro-Trojaner. Wenn Sie das File nicht erwartet haben: lassen. Lieber einen Rückruf an den Absender (über eine Ihnen bekannte Nummer, nicht die in der Mail), als einen Klick zu viel.

Zwei Live-Beispiele

Beispiel 1: Scheinbare DHL-Benachrichtigung

Von: DHL Tracking <[email protected]>
An: [email protected]
Betreff: Ihr Paket kann nicht zugestellt werden, handeln Sie jetzt

Sehr geehrte Kundin,

Leider konnte Ihr Paket nicht zugestellt werden. Wir benötigen eine
Zuzahlung von CHF 2.99 für die erneute Zustellung.

[Link: Klicken Sie hier um zu bezahlen]

Rote Flags:

  • Absender-Domain ist sending-now.com, nicht dhl.com
  • CHF 2.99 für eine Paketzustellung, DHL rechnet nie so ab
  • „Jetzt handeln"-Formulierung = Zeitdruck
  • Keine Tracking-Nummer

Beispiel 2: CEO-Fraud

Von: Max Meier <[email protected]>
An: [email protected]
Betreff: Dringende Überweisung, vertraulich

Hallo,

bin gerade im Termin, kannst du bitte CHF 24'800 an folgende IBAN
überweisen? Das ist für einen Deal den wir gestern besprochen haben.
Geheim, bitte mit niemandem darüber reden.

Grüsse, Max

Rote Flags:

  • Domain ist ihre-firma-ch.com mit einem zusätzlichen -ch, die echte ist ihre-firma.ch
  • „Geheim, mit niemandem reden", genau der Satz den seriöse CEOs nie schreiben
  • Vertrauensanker („gestern besprochen") ohne konkrete Details
  • Neue IBAN die nicht in Ihren Stammdaten ist

Was tun bei Verdacht?

  1. Nicht klicken, nicht antworten, nicht weiterleiten.
  2. Ticket bei Ihrer IT öffnen oder an phishing@<firma>.ch weiterleiten.
  3. Falls schon geklickt: sofort IT informieren. Kein Grund für Schuldgefühle, Reaktions- Zeit ist das, was den Schaden begrenzt.

Regelmässiges Training

Awareness ist kein einmaliger Workshop. Wir empfehlen:

  • Quartalsweise 15-Min-Refresher per E-Mail mit einem Live-Beispiel.
  • Jährliche simulierte Phishing-Kampagne durch IT (Services wie Lucy Security oder Microsoft Attack Simulator).

Mehr dazu in unseren Managed-Workplace-Leistungen.