Wie man E-Mail-Phishing-Angriffe verhindert - eine Anleitung.

E-Mail-Phishing ist eine der größten Cyber-Bedrohungen in unserer digitalen Welt. Hier erfahren Sie, wie Sie Ihre Online-Konten vor Hackern schützen können.

Das Erkennen einer Phishing-E-Mail ist in Tuta Mail sehr einfach.

Einer der häufigsten Angriffe im Internet, der eine unterschätzte Gefahr für Ihre Online-Sicherheit darstellt, sind E-Mail-Phishing-Angriffe und E-Mail-Betrügereien. Indem sie sich als große Organisationen ausgeben, versuchen die Betrüger, an Ihre sensiblen Daten und Ihre Anmeldedaten wie Passwörter zu gelangen. Mit ein paar Tipps können Sie jedoch leicht verhindern, dass Phishing erfolgreich ist.


E-Mail-Phishing-Angriffe gibt es schon seit fast 30 Jahren. Zum ersten Mal wurde der Begriff 1995 verwendet, und damals waren Phishing-Versuche noch sehr leicht zu erkennen. Da diese Angriffe jedoch immer raffinierter werden, fallen immer mehr Menschen auf Phishing-Angriffe herein und müssen sich über aktuelle Trends und Taktiken der Angreifer informieren, um sich und ihre Online-Konten zu schützen. Ein recht neues Risiko sind gezielte Phishing-E-Mails, die sich an hochrangige Opfer richten und speziell für diese verfasst werden. Diese Technik macht es noch schwieriger, solche gezielten Phishing-E-Mails als Betrug zu erkennen. Prominente Angriffe wie der WannaCry-Ransomware-Angriff begannen mit einer solchen gezielten Phishing-Attacke, bevor die böswilligen Hacker weitere Aktionen durchführten.

Der durchschnittliche Internetnutzer muss sich jedoch (noch) keine Sorgen über gezielte Angriffe machen, obwohl künstliche Intelligenz diese Bedrohung in naher Zukunft für jedermann zur realen Gefahr machen könnte. In den meisten Fällen verwenden Kriminelle heute eher standardmäßige Phishing-E-Mails, um sich Zugang zu Ihren Online-Konten zu verschaffen, wodurch sie Ihr Passwort oder Ihr Geld stehlen oder Malware auf Ihren Geräten installieren können.

Was ist Phishing per E-Mail?

Phishing ist einer der häufigsten Online-Betrügereien: Böswillige Akteure geben sich als Unternehmen wie Amazon, Facebook oder Tuta Mail aus und versenden E-Mails, die vorgeben, von diesen Orgnisationen zu stammen, um Passwörter oder andere sensible Informationen zu stehlen.

Mit anderen Worten: E-Mail-Phishing ist eine Form des Social Engineering, die von Kriminellen eingesetzt wird, die versuchen, sich Zugang zu Konten oder Systemen zu verschaffen, für die sie keine Zugangsberechtigung haben. Eine Phishing-E-Mail ist so getarnt, dass sie wie eine legitime E-Mail von einem Dienst oder einer Plattform aussieht und fast immer einen Link enthält, über den Sie aufgefordert werden, sich bei Ihrem Konto anzumelden, um eine bestimmte Aktion durchzuführen.

Diese E-Mails enthalten oft eine stressauslösende Frist wie “Bestätigen Sie Ihr Passwort jetzt oder Ihr Konto wird innerhalb von 24 Stunden gesperrt und alle Daten gehen verloren”. Dieses Gefühl der Dringlichkeit macht sich eine Schwäche in unserer Psyche zunutze, und der Empfänger der Phishing-E-Mail klickt mit erhöhter Wahrscheinlichkeit auf den Link, um Ärger zu vermeiden, und tappt so in die Falle. Manchmal enthält die E-Mail anstelle eines Links einen Anhang, der bösartigen Code enthält, der ausgeführt wird, wenn das Opfer ihn herunterlädt und öffnet.

Da das Versenden von E-Mails kostenlos ist, ist Phishing eine der am häufigsten genutzten Taktiken der Internetkriminalität weltweit. Während die Zahl der Phishing-E-Mails steigt, nehmen auch die Schutz- und Präventionsmethoden zu. Dennoch werden immer einige Phishing-E-Mails durchschlüpfen und in Ihrer Inbox landen, und Sie selbst sind die letzte Verteidigungslinie. Lesen Sie weiter, um zu erfahren, warum Ihr E-Mail-Postfach Ziel von Phishing ist und wie Sie verhindern können, dass Phishing-Angriffe erfolgreich sind!

Warum werden E-Mail-Konten mit Phishing-E-Mails angegriffen?

Ihr E-Mail-Konto enthält viele sensible Informationen und ist der Dreh- und Angelpunkt Ihres digitalen Lebens. Um sich auf den meisten Websites wie Amazon, PayPal, eBay usw. zu registrieren, müssen Sie eine E-Mail-Adresse angeben, und wichtige Institutionen wie Banken senden Ihnen Informationen per E-Mail. Dies macht Ihr E-Mail-Konto aus zwei Gründen zur Zielscheibe Nummer eins.

  1. Viele Menschen erhalten Phishing-E-Mails, die so gefälscht sind, dass sie aussehen, als kämen sie von Facebook, Google, ihrer Bank usw., und sie auffordern, ihre Anmeldedaten einzugeben, nachdem sie auf einen Link geklickt haben.

  2. Phishing-Angriffe zielen auch direkt auf Ihre Mailbox ab und versuchen, Zugang zu Ihren Mailbox-Anmeldedaten zu erhalten. Dies ist sogar noch gefährlicher, denn wenn die Angreifer Zugang zu Ihrer Mailbox haben, können sie eine einfache Passwortrücksetzung für alle Online-Konten benutzen, die mit Ihrer E-Mail-Adresse verknüpft sind, und schon können sie auf eien Vielzahl Ihrer Konten zugreifen und diese missbrauchen.

Woran erkenne ich, dass es sich bei einer E-Mail um Phishing handelt?

Phishing-E-Mails versuchen in der Regel, sich als große Organisationen auszugeben, bei denen Sie vielleicht ein Konto haben. Das macht die Sache knifflig, denn auf den ersten Blick könnte man meinen, die E-Mail beziehe sich auf Ihr echtes Konto bei der Plattform, für die sich der Betrug ausgibt. Mit ein paar Tipps können Sie sicherstellen, dass Phishing-E-Mails Sie nicht dazu verleiten, Ihr Passwort preiszugeben oder bösartige Anhänge herunterzuladen.

  1. Prüfen Sie immer die E-Mail-Adresse des Absenders genau. Oft weicht der Absender vom technischen Absender ab, was ein häufiger Trick von E-Mail-Betrügern ist.

  2. Wenn Sie aufgefordert werden, Ihre Anmeldedaten über einen Link einzugeben, sollten die Alarmglocken läuten. Wenn Sie glauben, dass eine E-Mail legitim sein könnte, verwenden Sie Ihre bevorzugte Suchmaschine - hoffentlich ist das nicht Google -, um die Website über einen offiziellen Link zu finden, bevor Sie sich anmelden. Verwenden Sie nicht den in der E-Mail angegebenen Link! Viele Dienste führen inzwischen ein Protokoll der an Ihr Konto gesendeten Sicherheitsnachrichten, und Sie können dort den Status von zweifelhaft aussehenden E-Mails überprüfen.

  3. Prüfen Sie den Link sorgfältig: Wenn die Angreifer zum Beispiel versuchen, Ihr Tuta-Login zu stehlen, wird der angegebene Link ähnlich aussehen, aber nicht perfekt übereinstimmen. Anstelle von Tuta.com könnten die Angreifer 7uta.com verwenden.

Achten Sie außerdem auf die folgenden Details, um zu entscheiden, ob eine E-Mail Phishing ist oder nicht. Typische Anzeichen für Phishing sind:

  • Aufforderung zu sofortigem Handeln
  • Rechtschreibfehler und schlechte Grammatik
  • Angebote, die zu gut klingen
  • Behauptungen, Sie hätten Geld gewonnen
  • Adressierung an die falsche Person
  • Sie kommen von einer seltsamen Absenderdomain oder einer Gmail-Adresse
  • Verdächtige Anhänge
  • Aufforderung, auf einen Link zu klicken und Ihr Passwort zu ändern

Es ist nicht immer einfach, eine Phishing-E-Mail zu erkennen, aber die obige Liste der in typischen Phishing-E-Mails verwendeten Beispiele wird Ihnen helfen. Im Zweifelsfall gilt: Ignorieren Sie die E-Mail lieber, als eine Aktion durchzuführen, die Ihr echtes Konto in Gefahr bringen könnte.

Wie wir bösartige E-Mails in Tuta stoppen

In den letzten Jahren haben wir vermehrt Phishing-E-Mails gesehen, die versuchen, sich als offizielle Tuta-Mitarbeiter auszugeben, um Anmeldedaten zu stehlen. Deshalb haben wir Tuta verbessert, um es böswilligen Angreifern noch schwerer zu machen, unsere Nutzer zur Herausgabe wertvoller Passwörter oder Zugangsdaten zu verleiten.

Wir haben eine Funktion eingeführt, die Benutzern hilft, die sich fragen, wie sie Phishing-E-Mails melden und Phishing-Angriffe verhindern können. Wenn Phishing-E-Mails in Tuta Mail gemeldet werden, wird allen anderen Benutzern, die ähnliche E-Mails erhalten, ein Warnbanner über der mutmaßlichen Phishing-E-Mail angezeigt. Dies wird allen helfen, Phishing-E-Mails zu erkennen und nicht auf Phishing-Angriffe hereinzufallen. Darüber hinaus werden Phishing-E-Mails von unserem Sicherheitsteam überprüft und die Absender werden manuell blockiert, damit sie unsere Server und damit Ihr Postfach nicht erreichen.

Warnbanner, das einer potenziellen Phishing-E-Mail in Tuta Mail hinzugefügt wird. Warnbanner, das einer potenziellen Phishing-E-Mail in Tuta Mail hinzugefügt wird. Warnbanner, das einer potenziellen Phishing-E-Mail in Tuta Mail hinzugefügt wird.

Weitere Informationen über den verstärkten Phishing-Schutz in Tuta finden Sie hier.

Anti-Missbrauchsfunktionen in Tuta Mail

  1. Wir kennzeichnen E-Mails, wenn die E-Mail-Adresse des Absenders falsch ist. Wenn Sie im Browser eingeloggt sind, werden in der Kopfzeile Ihres Tuta-Postfachs der Name des Absenders und die E-Mail-Adresse des Absenders angezeigt, so dass Sie leicht erkennen können, wenn eine E-Mail von einem falschen Absender stammt. In der App wird die E-Mail-Adresse des Absenders nicht automatisch angezeigt, aber Sie können sie leicht überprüfen, indem Sie auf den Namen des Absenders tippen.

  2. Tuta ist einer der wenigen Webmail-Dienste, der Sie warnt, wenn der “technische Absender” vom “Absender” abweicht, damit Sie gefälschte E-Mails erkennen können.

  3. Die Angreifer täuschen oft eine zeitliche Dringlichkeit vor und fordern Sie auf, Ihre Anmeldedaten einzugeben, indem Sie einem angegebenen Link folgen. Fallen Sie niemals auf solche Mails herein, das ist eine typische Phishing-Mail-Strategie.

Unser wichtigster Tipp zur Vermeidung von Phishing-Angriffen ist ganz einfach:

Ändern Sie niemals Ihr Passwort, wenn Sie aus heiterem Himmel per E-Mail dazu aufgefordert werden.

Wie Sie erkennen, ob sich jemand als Tuta ausgibt

Nun möchten wir Ihnen erklären, wie wir sicherstellen, dass niemand Ihre Tuta-E-Mail-Adresse und Ihr Passwort ausspionieren kann, indem er sich für uns ausgibt. Zunächst einmal - und das ist das Wichtigste - werden Sie, wenn Sie eine E-Mail vom Tuta-Team erhalten, niemals aufgefordert, auf einen Link zu klicken, um Ihr Passwort oder andere Anmeldedaten zu bestätigen oder zu aktualisieren.

Wir fragen Sie nie nach Ihrem Passwort.

In Tuta haben wir es kinderleicht gemacht, eine E-Mail zu erkennen, die versucht, sich als das Tuta-Team auszugeben: Wie das Beispiel der Phishing-E-Mail unten zeigt, enthalten diese E-Mails KEINE rote Tag-Zeile (mintgrün bei Verwendung des dunklen Themas). Das folgende Beispiel zeigt den Unterschied. Die erste E-Mail wurde von irgendeinem Tuta-Benutzer verschickt, der versucht, sich als eines unserer Teammitglieder auszugeben, die zweite kommt tatsächlich von einem unserer Teammitglieder - in diesem Fall von Brandon. Da Tuta-E-Mails nur in den Tuta-Mail-Clients auf Android, iPhones und PCs überprüft werden können, ist es für uns sehr einfach, alle offiziellen E-Mails, die von uns kommen, optisch zu unterscheiden - wie Sie an dem farbigen “Tuta Team” erkennen können.

Phishing-E-Mail-Beispiel und Tuta-E-Mail im Vergleich. Phishing-E-Mail-Beispiel und Tuta-E-Mail im Vergleich.

Eine E-Mail vom offiziellen Tuta-Team zeigt immer eine rote Tag-Zeile (bei Verwendung des dunklen Themes eine grüne Tag-Zeile) mit “Tuta-Team”.

Wenn die E-Mail von uns eine Ankündigung ist - wie im folgenden Screenshot - steht kein Name und keine E-Mail-Adresse neben der Tag-Zeile. Wenn die E-Mail von unserem Support-Team oder einem unserer Teammitglieder stammt, steht die E-Mail-Adresse neben der roten (oder mintgrünen) Tuta-Team-Zeile.

Diese Tag-Zeile kann nicht von jemandem hinzugefügt werden, der sich für uns ausgibt und versucht, Ihr Tuta-Passwort zu stehlen, da die Tag-Zeile in den Code unserer E-Mail-Clients für Android, iOS, Windows, Linux und macOS eingebaut ist und ausschließlich für unsere offiziellen E-Mails verwendet wird.

Eine verschlüsselte Tuta-E-Mail-Ankündigung Eine verschlüsselte Tuta-E-Mail-Ankündigung

Offizielle Tuta-Team-E-Mail-Domain: @tutao.de

Als wir mit dem Aufbau von Tuta begannen, wussten wir, dass es für einen E-Mail-Dienst von entscheidender Bedeutung ist, dass sich niemand für uns oder Mitglieder unseres Teams ausgeben kann. Allerdings kann sich jeder für eine beliebige Tuta- oder Tutanota-E-Mail-Adresse anmelden.

Um dieses Dilemma zu lösen, haben wir von Anfang an unsere Firmen-Domain und nicht Tuta / Tutanota-Domains als offizielle E-Mail-Adressen verwendet. Unsere Firma, die hinter Tuta steht, heißt Tutao GmbH. Wenn Sie eine E-Mail vom Tuta-Team erhalten, wird die Mailadresse immer auf @tutao.de enden.

Wir können Ihr Passwort nicht zurücksetzen, um Ihr Tuta-Konto zu schützen.

Kriminelle missbrauchen gerne die Passwort-Rücksetzfunktion per E-Mail, um sich mit Phishing-Mails Zugang zu Online-Konten zu verschaffen. Um Ihr verschlüsseltes Postfach so gut wie möglich zu schützen, gibt es keine Möglichkeit, eine Rücksetzung Ihres Tuta-Passworts per E-Mail anzufordern. Stattdessen generieren wir bei der Kontoerstellung einen einmaligen Wiederherstellungscode, mit dem Sie Ihr Passwort jederzeit zurücksetzen können.

Wenn Sie Ihr Passwort nicht zurücksetzen lassen können, kann das auch kein Krimineller, der sich für Sie ausgibt. Denken Sie daran, Ihr Passwort und Ihren Wiederherstellungscode an einem sicheren Ort aufzubewahren. Nur Sie selbst können Ihr Passwort mit Hilfe Ihres Wiederherstellungscodes zurücksetzen.

Erkennen von verdächtigen E-Mails

Auch die Erkennung von Phishing-E-Mails von anderen Diensten ist mit Tuta einfach. Wenn Sie eine verdächtige E-Mail erhalten, können Sie auf das Symbol ”…” oben rechts in Ihrem Postfach klicken und dann “E-Mail-Kopfzeilen anzeigen” wählen. Daraufhin öffnet sich ein kleines Fenster, in dem die technischen Absenderinformationen der fraglichen E-Mail angezeigt werden. Hier können Sie den Status der DKIM-, DMARC- und SPF-Prüfungen überprüfen, um festzustellen, ob der Absender dieser E-Mail gefälscht ist oder nicht.

Außerdem werden die meisten gefälschten E-Mails bereits mit einer Phishing-Warnung versehen, wie im obigen Screenshot mit dem Titel: “Warnbanner, das einer potenziellen Phishing-E-Mail in Tuta Mail hinzugefügt wird” zu sehen ist. Dies geschieht Dank aller Tuta-Benutzer, die Phishing-E-Mails melden und so anderen Benutzern helfen, sicher zu bleiben!

Wenn es falsch aussieht, ist es wahrscheinlich falsch

Wenn Sie eine E-Mail erhalten, die verdächtig aussieht, ist es sehr wahrscheinlich, dass es sich um eine Phishing-E-Mail handelt. Im Zweifelsfall fragen Sie einfach nach. Sie können uns ganz einfach auf Twitter, Mastodon, Facebook oder Instagram und natürlich per E-Mail erreichen.

Wenn Sie eine potenzielle Phishing-E-Mail von einer Tuta-Domain erhalten, leiten Sie sie bitte an abuse@tutao.de weiter.

Vielen Dank und bleiben Sie sicher!


Zur weiteren Lektüre empfohlen: Anleitung für E-Mail-Sicherheit: 3 einfache Schritte, um Ihre E-Mails vor Hackern zu schützen, sowie Anleitung zur Passwortsicherheit: Wie Sie ein sicheres Passwort wählen.