Phishing-E-Mails sind heute so überzeugend gestaltet, dass selbst erfahrene IT-Mitarbeitende darauf hereinfallen — und in der Schweiz passiert das erschreckend oft. Das Nationale Zentrum für Cybersicherheit (NCSC) verzeichnete 2024 über 63’000 Cybervorfälle, wobei Phishing die häufigste Angriffsmethode darstellt. Laut dem Verizon Data Breach Investigations Report 2024 ist Phishing in rund 16 Prozent aller Datenpannen der initiale Angriffsvektor und damit einer der drei häufigsten Einstiegswege für Angreifer. Wer die zwölf entscheidenden Warnsignale kennt, schützt sich und sein Unternehmen — dieser Leitfaden zeigt Ihnen, worauf Sie konkret achten müssen.
Warum Phishing-Erkennung für Schweizer KMU überlebenswichtig ist
Ein einziger Klick auf den falschen Link kann ein Unternehmen Hunderttausende von Franken kosten. Der durchschnittliche Schaden einer Datenpanne für ein Schweizer KMU beträgt laut IBM Security 2024 CHF 84’000 — und das ist nur der direkte Schaden. Hinzu kommen Reputationsverluste, Produktionsausfälle und mögliche Bussen nach dem neuen nDSG (Datenschutzgesetz).
Was viele Mitarbeitende nicht wissen: Phishing-Angriffe sind längst nicht mehr auf schlechtes Deutsch oder nigerianische Erbschafts-E-Mails beschränkt. Moderne Angriffe imitieren täuschend echt:
- Die Schweizerische Post mit gefälschten Paketverfolgungslinks
- Swisscom oder UPC mit angeblichen Rechnungs- oder Sicherheitswarnungen
- Kantonalbanken und die PostFinance mit gefälschten Login-Seiten
- SBB mit fingierten Rückerstattungen oder Abo-Verlängerungen
- Das NCSC selbst mit gefälschten Cybersicherheitswarnungen
Die Erkennung dieser Angriffe ist keine IT-Aufgabe allein — es ist eine Fähigkeit, die jede Person im Unternehmen beherrschen muss. Für den detaillierten strategischen Ansatz empfehlen wir unseren Hauptartikel Phishing-Schutz für Schweizer Unternehmen.
Die 12 Warnsignale — so erkennen Sie Phishing auf einen Blick
Warnsignal 1: Verdächtige oder gefälschte Absenderadresse
Das erste und oft einfachste Erkennungsmerkmal ist die tatsächliche E-Mail-Adresse des Absenders — nicht der angezeigte Name. Angreifer nutzen zwei Haupttechniken:
Lookalike-Domains: support@post.ch-paketdienst.com sieht auf den ersten Blick aus wie die Post, ist aber eine betrügerische Domain. Echte Post-E-Mails kommen ausschliesslich von @post.ch.
Subdomain-Tricks: sicherheit.swisscom.com.phishing-site.ru — die echte Domain steht ganz rechts vor dem letzten Schrägstrich, also phishing-site.ru.
Was tun: Fahren Sie mit der Maus über den Absendernamen, ohne zu klicken. Die vollständige E-Mail-Adresse wird angezeigt. Bei Verdacht: Suchen Sie die offizielle Telefonnummer des Unternehmens und rufen Sie an.
Warnsignal 2: Dringlichkeit und künstlicher Zeitdruck
“Ihr Konto wird in 24 Stunden gesperrt!” — “Sofortige Aktion erforderlich!” — “Letzte Warnung!”
Dieser psychologische Druck ist eine klassische Social-Engineering-Technik. Angreifer wollen, dass Sie reagieren, bevor Sie nachdenken. Seriöse Unternehmen — Banken, Behörden, Telekommunikationsanbieter — setzen keine derartigen Ultimaten per E-Mail.
Schweizer Beispiel: Eine gefälschte E-Mail der Steuerverwaltung, die behauptet, eine ausstehende Steuerrückerstattung verfalle in 48 Stunden, wenn Sie nicht sofort Ihre Bankverbindung bestätigen.
Warnsignal 3: Unerwartete Anhänge oder Links
Haben Sie diese E-Mail erwartet? Haben Sie eine Bestellung aufgegeben, auf deren Sendungsverfolgung Sie warten? Wenn nein, ist jeder Anhang und jeder Link verdächtig — unabhängig davon, wie vertrauenswürdig der Absender wirkt.
Besonders gefährliche Dateitypen in Anhängen:
.exe,.bat,.cmd(direkt ausführbar).zip,.rar(können versteckte Malware enthalten).docm,.xlsm(Office-Dateien mit Makros).pdf(können Exploit-Code enthalten)
Warnsignal 4: Generische Anrede ohne Ihren Namen
“Sehr geehrter Kunde” oder “Lieber Nutzer” statt Ihres vollen Namens ist ein deutliches Warnsignal bei E-Mails, die von Institutionen kommen, die Ihren Namen kennen sollten — Ihrer Bank, dem Telekommunikationsanbieter oder dem Detailhändler, bei dem Sie registriert sind.
Achtung: Beim gezielten Spear Phishing kennen Angreifer Ihren Namen bereits. Die generische Anrede schützt also nur bei Massen-Phishing.
Warnsignal 5: Grammatikfehler, ungewöhnliche Formulierungen und schlechtes Deutsch
Fehler in der Rechtschreibung, seltsame Satzkonstruktionen oder maschinell übersetzter Text sind klassische Merkmale. Doch aufgepasst: Mit KI-Sprachmodellen haben Angreifer heute Zugang zu nahezu perfektem Deutsch — dieser Filter allein reicht nicht mehr.
Auf was Sie achten sollten:
- Fehlende Umlaute (ae statt ä, oe statt ö, ue statt ü)
- Mischung von Hochdeutsch und Schweizerdeutsch
- Falsche Höflichkeitsformen (Sie/Du-Mischung)
- Unnatürliche Formulierungen, die wie Übersetzungen klingen
Warnsignal 6: Anfragen nach sensiblen Daten per E-Mail
Kein seriöses Schweizer Finanzinstitut, keine Behörde und kein seriöser Dienstleister wird Sie jemals per E-Mail nach folgenden Informationen fragen:
- Passwörter oder PINs
- Vollständige Kreditkartennummern
- Sozialversicherungsnummern (AHV-Nummer)
- Zugangsdaten zu Portalen
- TAN-Codes oder Sicherheitscodes
Wenn eine E-Mail diese Daten anfordert, ist sie mit an Sicherheit grenzender Wahrscheinlichkeit betrügerisch.
Warnsignal 7: Verdächtige oder verschleierte Links
Bevor Sie auf einen Link klicken, prüfen Sie die tatsächliche Zieladresse. Bewegen Sie die Maus über den Link (ohne zu klicken) und schauen Sie in die Statusleiste Ihres Browsers oder E-Mail-Programms.
Typische Tricks:
- URL-Shortener:
bit.ly/3xAbcDe— die echte Zieladresse ist versteckt - Ähnliche Domain-Namen:
postfinance-login.chstattpostfinance.ch - HTTPS täuscht nicht: Ein Schloss-Symbol bedeutet nur, dass die Verbindung verschlüsselt ist — nicht, dass die Seite legitim ist
- Subdomains:
login.postfinance.ch.evil-site.com— die echte Domain istevil-site.com
Warnsignal 8: Unbekannte oder fehlende Sicherheitselemente
Viele Schweizer Banken und grössere Unternehmen haben persönliche Sicherheitselemente eingeführt — zum Beispiel ein persönliches Bild oder ein Codewort, das Sie beim Einrichten des Kontos gewählt haben. Fehlt dieses Element in einer angeblichen E-Mail Ihrer Bank, ist das ein starkes Warnsignal.
Warnsignal 9: Unerwartete Rechnungen oder Zahlungsaufforderungen
Rechnungen für Dienste, die Sie nie bestellt haben, oder Zahlungsaufforderungen für Abonnements, an die Sie sich nicht erinnern — das ist eine verbreitete Phishing-Methode. Das Ziel: Sie sollen entweder auf einen “Stornieren”-Link klicken (der in Wirklichkeit Malware installiert) oder eine Rückerstattungsnummer anrufen (wo Betrüger Ihre Kreditkartendaten abgreifen).
Warnsignal 10: Zu gute Angebote und Gewinnbenachrichtigungen
“Sie haben ein iPhone 16 gewonnen!” — “Ihr Migros-Gutschein im Wert von CHF 500 wartet auf Sie!”
Diese Variante des Phishings zielt auf Ihre Freude statt auf Ihre Angst. Besonders in der Vorweihnachtszeit und rund um Feiertage nehmen solche Angriffe stark zu. Kein seriöses Unternehmen verlost Preise über unaufgeforderte E-Mails.
Warnsignal 11: Unpassender oder fehlender Unternehmens-Kontext
Erhalten Sie eine E-Mail angeblich von Ihrem Lieferanten, aber Sie haben aktuell keine offene Bestellung? Bekommt Ihre Buchhaltung eine Rechnung von einem Unternehmen, mit dem Sie nie zusammengearbeitet haben? Dieser fehlende Kontext ist ein klares Warnsignal.
Besonders gefährlich bei KMU: Angreifer recherchieren auf LinkedIn, der Unternehmenswebsite oder in Handelsregisterauszügen, welche Lieferanten und Partner ein Unternehmen hat — und imitieren dann genau diese Kontakte. Mehr dazu in unserem Artikel über Spear Phishing gegen KMU.
Warnsignal 12: Anfragen ausserhalb normaler Prozesse
Eine E-Mail, die Sie bittet, einen normalen Prozess zu umgehen — “Ausnahmsweise direkt überweisen, ohne das übliche Freigabeverfahren” oder “Bitte antworten Sie direkt auf diese E-Mail, nicht über das Ticket-System” — ist ein Warnsignal für einen gezielten Angriff.
Dieses Muster findet sich besonders häufig beim CEO-Fraud, wo Angreifer die Identität von Vorgesetzten annehmen, um Mitarbeitende zu dringenden Überweisungen zu bewegen.
Echte Schweizer Phishing-Beispiele
Beispiel 1: Die gefälschte Post-SMS / E-Mail
Millionen Schweizer erhalten jährlich gefälschte Paketnachrichten der Schweizerischen Post. Der Text lautet meist: “Ihr Paket konnte nicht zugestellt werden. Bitte bestätigen Sie Ihre Adresse und bezahlen Sie eine Gebühr von CHF 3.50.”
Warnsignale: Unerwartete Nachricht, Zahlungsaufforderung, Link führt auf eine Non-Post-Domain.
Wirklichkeit: Die Post verschickt Benachrichtigungen für den Schweizer Markt ausschliesslich von offiziellen Post-Domains und verlangt nie Gebühren per SMS-Link.
Beispiel 2: Gefälschte Swisscom-Sicherheitswarnung
“Ihr Swisscom-Konto wurde von einem unbekannten Gerät aufgerufen. Klicken Sie hier, um Ihr Konto zu sichern.” — Der Link führt auf eine täuschend echte Swisscom-Login-Seite, die Ihre Zugangsdaten abgreift.
Warnsignale: Dringlichkeit, Absenderadresse ist nicht @swisscom.ch, Link führt auf eine abweichende Domain.
Beispiel 3: Gefälschte MWST-Rückerstattung der ESTV
Besonders zur Steuersaison verbreitet: E-Mails, die angeblich von der Eidgenössischen Steuerverwaltung stammen und eine MWST-Rückerstattung ankündigen — wenn man seine Bankverbindung “verifiziert”.
Warnsignale: Behörden kommunizieren primär per Post (Briefpost), nie per unaufgeforderter E-Mail mit Zahlungsversprechen.
Sofortmassnahmen: Was tun, wenn Sie eine verdächtige E-Mail erhalten?
Schritt 1: Nicht klicken, nicht antworten
Widerstehen Sie dem Impuls, sofort zu reagieren — besonders wenn die E-Mail Dringlichkeit vermittelt. Klicken Sie weder auf Links noch auf Anhänge.
Schritt 2: Melden
Jede verdächtige E-Mail sollte gemeldet werden:
- Intern: An Ihre IT-Abteilung oder den IT-Verantwortlichen Ihres KMU
- NCSC: Über das Meldeformular auf ncsc.admin.ch
- Ihren E-Mail-Anbieter: Über die “Phishing melden”-Funktion in Gmail, Outlook, etc.
Schritt 3: Im Zweifelsfall direkt kontaktieren
Wenn Sie sich nicht sicher sind, ob eine E-Mail legitim ist: Kontaktieren Sie den angeblichen Absender über einen unabhängigen Kanal — suchen Sie die offizielle Telefonnummer auf der echten Website und rufen Sie an.
Schritt 4: Wenn Sie geklickt haben — sofortige Eskalation
Falls Sie bereits auf einen Link geklickt oder Daten eingegeben haben:
- Trennen Sie den Computer sofort vom Netzwerk
- Informieren Sie umgehend Ihre IT-Abteilung
- Ändern Sie Passwörter von einem anderen, sicheren Gerät
- Informieren Sie Ihre Bank, falls Finanzdaten involviert sind
Phishing-Erkennungs-Checkliste für Mitarbeitende
Drucken Sie diese Checkliste aus und hängen Sie sie an Ihren Arbeitsplatz:
| Prüfpunkt | OK | Verdächtig |
|---|---|---|
| Absender-E-Mail-Adresse geprüft (nicht nur Anzeigename) | ✓ | Unbekannte Domain |
| Link-Zieladresse geprüft (Mouseover) | ✓ | Unbekannte Domain, URL-Shortener |
| Anhang erwartet / bekannt | ✓ | Unerwartet |
| Kein Zeitdruck / keine Drohung | ✓ | “Sofort handeln!” |
| Persönliche Anrede mit Namen | ✓ | “Sehr geehrter Kunde” |
| Keine Passwort-/Dateneingabe angefordert | ✓ | Zugangsdaten verlangt |
| Kein unerwartetes Angebot / Gewinn | ✓ | “Sie haben gewonnen!” |
| Kontext passt zur Geschäftsbeziehung | ✓ | Kein bekannter Kontext |
| Normale Geschäftsprozesse nicht umgangen | ✓ | “Ausnahmsweise direkt…” |
| Deutsch korrekt und natürlich | ✓ | Fehler, Übersetzungscharakter |
Technische Schutzmassnahmen für KMU
Mitarbeiterschulung allein reicht nicht. Kombinieren Sie Awareness-Training mit technischen Massnahmen:
E-Mail-Authentifizierung einrichten:
- SPF (Sender Policy Framework): Verhindert, dass Ihre Domain von Fremden missbraucht wird
- DKIM (DomainKeys Identified Mail): Digitale Signatur für ausgehende E-Mails
- DMARC (Domain-based Message Authentication): Definiert, was mit gefälschten E-Mails geschieht
Weitere technische Massnahmen:
- Spam- und Phishing-Filter auf Unternehmensebene (z.B. Microsoft Defender, Proofpoint)
- Multi-Faktor-Authentifizierung (MFA) für alle Unternehmenskonten
- Regelmässige Software-Updates um Exploits in E-Mail-Clients zu verhindern
- DNS-Filterung um bekannte Phishing-Domains zu blockieren
Für eine vollständige technische Schutzstrategie lesen Sie unsere Cybersecurity-Checkliste für KMU.
Phishing-Awareness-Training: Über das Merkblatt hinaus
Wissen allein schützt nicht. Studien zeigen, dass selbst nach intensiven Schulungen 10-15 Prozent der Mitarbeitenden auf gut gemachte Phishing-E-Mails hereinfallen. Der einzige Weg, wirkliche Resilienz aufzubauen, ist das regelmässige Testen unter realen Bedingungen.
“Phishing-Simulationen sind heute ein Mindeststandard. Wer seine Mitarbeitenden nie testet, weiss nicht, wie verwundbar sein Unternehmen wirklich ist. Aber Simulationen allein zeigen nur einen Teil des Bildes — erst Red Teaming deckt auf, was ein echter Angreifer nach dem ersten Klick tun könnte.”
— IT-Sicherheitsexperte, Schweizer Cybersecurity-Dienstleister (Name auf Anfrage)
Phishing-Simulationen — wo Ihr Team mit kontrollierten, gefälschten Phishing-E-Mails getestet wird — sind ein wichtiger erster Schritt. Einen detaillierten Vergleich der Anbieter und Kosten finden Sie in unserem Artikel Phishing-Simulation für KMU in der Schweiz.
Der nächste Schritt ist Red Teaming: Professionelle Sicherheitsexperten simulieren einen vollständigen Angriff — von der ersten Phishing-E-Mail bis zum Zugriff auf kritische Systeme. So erfahren Sie nicht nur, wer klickt, sondern was ein echter Angreifer mit diesem Klick anstellen könnte.
Regulatorische Anforderungen: nDSG und Phishing-Schutz
Das neue Schweizer Datenschutzgesetz (nDSG), das seit September 2023 in Kraft ist, stellt klare Anforderungen an den Schutz von Personendaten. Phishing ist eine der häufigsten Ursachen von Datenpannen — und Datenpannen müssen unter dem nDSG dem EDÖB gemeldet werden.
Unternehmen, die keine angemessenen Schutzmassnahmen gegen Phishing ergreifen, riskieren nicht nur den Datenverlust, sondern auch rechtliche Konsequenzen. Mehr zur nDSG-Compliance finden Sie in unserer nDSG-Checkliste für KMU.
Fazit
Phishing bleibt die Nummer-eins-Einstiegsmethode für Cyberangriffe auf Schweizer KMU — und die Angriffe werden täglich überzeugender. Die zwölf Warnsignale in diesem Leitfaden sind Ihr erster Verteidigungswall. Doch die ehrliche Wahrheit ist: Kein Schulungsmaterial der Welt kann garantieren, dass Ihr Team im Ernstfall richtig handelt.
Die einzige Möglichkeit, echte Sicherheit zu erlangen, ist das Testen unter realen Bedingungen. Red Teaming geht weit über Phishing-Simulationen hinaus: CREST-zertifizierte Experten führen vollständige Angriffssimulationen durch — von der initialen Phishing-E-Mail über die Ausnutzung von Schwachstellen bis zum simulierten Datenzugriff. So wissen Sie genau, wo Ihr Unternehmen angreifbar ist — bevor es ein echter Angreifer weiss. Kosten ab CHF 11’900 für Schweizer KMU. Jetzt Red Teaming anfragen.
Quellen
- NCSC Wochenrückblick 52/2024 – Rund 63’000 Cybervorfälle in der Schweiz 2024
- Verizon DBIR 2024 – 16% Phishing als initialer Angriffsvektor; 68% Human Element