Phishing erkennen 2026: Neue Tricks & Schutz

Phishing war 2022 noch ein Problem mit Rechtschreibfehlern und plumpen Fake-Banklogos. 2026 ist es eine Industrie. KI-generierte Mails mit 54 % Klickrate, Deepfake-Videoanrufe, die CFOs zu Millionen-Überweisungen bewegen, und Phishing-as-a-Service-Plattformen, die 30 Millionen Nachrichten pro Monat versenden – das ist die neue Realität. Das Weltwirtschaftsforum stuft KI-gestützten Cyberbetrug in seinem Global Cybersecurity Outlook 2026 erstmals als größere Gefahr ein als Ransomware.

Dieser Ratgeber zeigt dir, wie moderne Phishing-Angriffe 2026 wirklich funktionieren, welche Warnsignale noch zuverlässig sind, welche Schutzmaßnahmen tatsächlich wirken – und welche weniger hilfreich sind, als oft behauptet. Mit konkreten Handlungsempfehlungen vom BSI und der EU-Agentur ENISA.

Die Phishing-Landschaft 2026 in Zahlen

Ein paar Daten zur Einordnung, wie dramatisch sich die Lage entwickelt hat:

• 4,8 Millionen Phishing-Angriffe wurden allein 2024 von der Anti-Phishing Working Group (APWG) gezählt – Rekordwert seit Gründung 2003, +20 % gegenüber 2023
• 3,4 Milliarden Phishing-Mails werden täglich weltweit verschickt
• 91 % aller Cyberangriffe beginnen mit einer E-Mail
• 54 % Klickrate bei KI-generierten Phishing-Mails gegenüber nur 12 % bei klassischen, manuell erstellten Kampagnen (Harvard-Forschung)
• 60 % der Empfänger:innen fallen auf KI-Phishing herein – bei klassischen Mails sind es nur etwa 12 %
• 17 % aller Identitätsdiebstähle im ersten Halbjahr 2026 gehen auf Vishing (Voice-Phishing) zurück
• +400 % Quishing-Angriffe (Phishing per QR-Code) von 2023 bis 2025
• 180.000 Phishing-Angriffe auf deutsche Smartphone-Nutzer:innen allein 2025 laut BSI, +40 % gegenüber 2024
• Durchschnittliche Schadenssumme eines Phishing-bedingten Datenvorfalls: 4,76 Millionen US-Dollar (IBM Cost of a Data Breach Report 2024)

Der Grund für den Sprung: Generative KI hat die Einstiegshürde für Angreifer:innen massiv gesenkt. Was früher spezialisierte Kenntnisse in Social Engineering erforderte, lässt sich heute mit Prompt Engineering und wenigen Datenquellen erreichen.

Phishing-Methoden 2026: Was wirklich neu ist

1. KI-generierte Spear-Phishing-Mails

Cyberkriminelle nutzen große Sprachmodelle, um E-Mails zu verfassen, die den Schreibstil deines Arbeitgebers, deiner Bank oder deiner Geschäftspartner:innen perfekt imitieren. Das System speist öffentlich verfügbare LinkedIn-Profile, Unternehmens-Blogbeiträge, Pressemitteilungen und – wenn bereits ein Datenleck vorliegt – echte Mailverläufe ein. Das Ergebnis sind hochpersonalisierte Nachrichten, die auf dich, deine Rolle und deine aktuellen Projekte zugeschnitten sind. Die klassischen Erkennungszeichen wie Rechtschreibfehler, ungewöhnliche Formulierungen oder falsche Anreden funktionieren nicht mehr.

2. Voice-Phishing (Vishing) mit Deepfake-Stimmen

Moderne KI-Modelle brauchen nur wenige Sekunden Audio-Material – zum Beispiel aus einem Podcast-Auftritt, einem YouTube-Video oder einem Voicemail-Grußtext – um eine überzeugende Stimmenkopie zu erstellen. Angreifer:innen rufen dich dann mit der geklonten Stimme deines Chefs, deiner Bankberaterin oder eines Familienmitglieds an. Der prominenteste Fall 2024: Das internationale Ingenieurbüro Arup verlor durch einen einzigen Deepfake-Videoanruf 25,6 Millionen US-Dollar – ein Finanzmitarbeiter in Hongkong überwies die Summe, nachdem er in einer Videokonferenz mit scheinbar echten Kolleg:innen dazu angewiesen wurde. Tatsächlich waren alle Teilnehmer:innen außer ihm Deepfakes.

3. SMS-Phishing (Smishing) mit Kontextdaten

Generische „Ihr Paket konnte nicht zugestellt werden“-SMS gehören zum Massenmarkt. Gefährlicher sind personalisierte Smishing-Nachrichten, die dich mit Namen, aktueller Adresse oder echten Transaktionsdetails ansprechen – Daten, die aus früheren Datenlecks stammen. Eine typische Variante 2026: „Hallo [Name], deine Sparkasse hat eine verdächtige Abbuchung von 497,83 € an SEPA-Mandat XY festgestellt. Falls nicht von dir autorisiert, hier bestätigen.“ Der Link führt zu einer perfekt nachgebauten Banking-Seite.

4. Quishing: Phishing per QR-Code

QR-Code-Phishing ist einer der am schnellsten wachsenden Vektoren – +400 % zwischen 2023 und 2025. Angreifer:innen platzieren QR-Codes in E-Mails (als Bilddatei, um Link-Scanner zu umgehen), auf physischen Postern an E-Auto-Ladestationen, Parkautomaten, in Restaurants oder sogar als Aufkleber über echten Codes. Der Scan führt zu einer Phishing-Seite. Besonders perfide: Da QR-Codes meist mit dem Smartphone gescannt werden, umgeht der Angriff die oft besseren Sicherheitssysteme des Arbeitsrechners.

5. Adversary-in-the-Middle (AiTM) – Umgehung von 2FA

Der wichtigste Trend 2026 für versierte Nutzer:innen: Klassische Zwei-Faktor-Authentifizierung per SMS oder Authenticator-App schützt nicht mehr zuverlässig vor allen Phishing-Varianten. Moderne Phishing-Kits wie Tycoon2FA agieren als Proxy zwischen dir und der echten Login-Seite. Du gibst Benutzername und Einmal-Code ein, der Proxy leitet beides in Echtzeit weiter, loggt sich ein und fängt den Session-Token ab. Die Angreifer:innen haben danach vollen Zugriff, auch ohne dein Passwort erneut zu brauchen.

Tycoon2FA allein ist laut Europol-Daten für über 60 % aller blockierten Phishing-Versuche verantwortlich und verteilt monatlich rund 30 Millionen betrügerische Nachrichten. Trotz internationaler Polizeiaktion war die Plattform binnen 72 Stunden wieder voll operativ.

6. Business Email Compromise (BEC) – CEO-Fraud 2026

Angreifer:innen kompromittieren oder imitieren hochrangige Accounts und weisen Mitarbeitende zu dringenden Überweisungen an. Die BEC-Variante 2026 kombiniert mehrere Vektoren: E-Mail (aus einem wirklich gehackten Account oder einer täuschend ähnlichen Domain), gefolgt von einem Deepfake-Anruf zur Bestätigung und einer WhatsApp-Nachricht, die Dringlichkeit aufbaut. Laut Bitkom Wirtschaftsschutz-Studie 2025 waren 81 % der deutschen Unternehmen 2024/2025 von Cyberangriffen betroffen, Gesamtschaden 289,2 Milliarden Euro.

7. Device-Code-Phishing (neu 2025/2026)

Eine Methode, vor der das BSI seit März 2025 verstärkt warnt: Angreifer:innen senden dir einen Link zu einer legitimen Microsoft- oder Google-Login-Seite mit einem sogenannten Device Code. Du gibst den Code auf der echten Seite ein – und autorisiert damit unbemerkt das Gerät der Angreifer:innen für deinen Account. Der Code ist nur 15 Minuten gültig, was den Druck erhöht und Verifizierung erschwert.

Erkennungszeichen: Was 2026 noch zuverlässig funktioniert

Die klassischen Tipps („Rechtschreibung prüfen“, „Absender-Namen kontrollieren“) reichen nicht mehr. Aber es gibt weiterhin belastbare Signale:

Absender-Adresse und Domain präzise prüfen

• Vollständige Absender-Adresse anzeigen lassen – nicht nur den Namen. Oft verbirgt sich hinter „Max Mustermann <max.mustermann@firma.de>“ eine ganz andere Domain. Auf dem Smartphone auf den Namen tippen, am Desktop mit der Maus drüberfahren
• Domain-Spoofing und Typosquatting: „amaz0n.de“ (Null statt O), „paypai.com“ (i statt l), „microsoft-support.com“ (echte Domain: microsoft.com). Besonders tückisch: Unicode-Homoglyphen wie „а“ (kyrillisch) statt „a“ (lateinisch) – sichtbar identisch, technisch völlig andere Domain
• Subdomains prüfen: Echte Firmen-Mails enden auf @firma.de, nicht auf @firma.de.xyz.io
• SPF/DKIM/DMARC-Status: Gängige Mail-Provider (Gmail, Outlook, GMX) zeigen inzwischen, ob die Authentifizierung bestanden wurde. Bei professionellen E-Mails von Banken, Versicherungen und Behörden sollte das immer erfüllt sein

Psychologischer Druck und Dringlichkeit

Unabhängig davon, wie perfekt eine Nachricht formuliert ist: Wenn sie dich unter Zeitdruck setzt, ist das ein Alarmsignal. Typische Formulierungen:

• „Ihr Konto wird in 24 Stunden gesperrt“
• „Verdächtige Aktivität erkannt – handeln Sie sofort“
• „Ihre Lieferung wird in 2 Stunden zurückgeschickt“
• „Letzte Mahnung vor Inkasso“
• „Geheim halten und jetzt überweisen“

Seriöse Unternehmen geben dir Zeit. Banken sperren keine Konten wegen einer nicht beantworteten E-Mail. Finanzämter drohen nicht per SMS mit Inkasso.

Ungewöhnliche Anfragen

Deine Bank, dein E-Mail-Anbieter, Behörden, Paketdienste – niemand fordert dich seriös per Mail oder SMS auf:

• Passwörter, PINs, TANs oder Einmal-Codes per Link einzugeben
• Kreditkartennummer, CVV oder Ablaufdatum zu „bestätigen“
• Dich mit deinen Zugangsdaten auf einer unerwarteten Login-Seite anzumelden
• Software oder Apps aus Mail-Anhängen zu installieren
• Überweisungen auf unbekannte Konten vorzunehmen

Inhaltliche Plausibilität prüfen

• Passt der Kontext? Erwartest du tatsächlich ein Paket? Hast du bei DHL bestellt? Bist du Kunde dieser Bank?
• Spricht die Mail dich wirklich persönlich an, oder kommt trotz Personalisierung etwas generisch daher?
• Verweist die Mail auf konkrete Transaktionen oder Vorgänge, die du überprüfen kannst (in der echten App, nicht über den Mail-Link)?

Link-Ziele vor dem Klick prüfen

Am Desktop mit der Maus drüberfahren, ohne zu klicken – die Ziel-URL erscheint unten im Browser. Am Smartphone: Link lang drücken, Vorschau öffnet sich. Misstrauisch bei:

• Shortlinks wie bit.ly, tinyurl.com ohne Kontext
• IP-Adressen statt Domain-Namen (http://192.168.x.x/login)
• Seltsame Subdomains oder Endungen (.xyz, .top, .click)
• Abweichende Domain gegenüber dem behaupteten Absender

Technische Schutzmaßnahmen: Was wirklich hilft

1. Passkeys und FIDO2-Sicherheitsschlüssel – der neue Goldstandard 2026

Passkeys sind phishing-resistent by design. Sie basieren auf asymmetrischer Kryptographie nach dem FIDO2/WebAuthn-Standard und sind kryptographisch an die Domain gebunden, für die sie registriert wurden. Das bedeutet: Selbst wenn du auf einer perfekt gefälschten Phishing-Seite landest, funktioniert der Passkey dort technisch nicht – die Domain passt nicht. Auch Adversary-in-the-Middle-Angriffe scheitern, weil kein Session-Token für die falsche Domain ausgegeben wird.

Microsoft hat im März 2026 für Millionen Privatnutzer:innen Passkeys automatisch aktiviert. Apple, Google, GitHub, PayPal, Amazon, eBay, Shopify und viele Banken unterstützen Passkeys inzwischen. Wo immer Passkeys angeboten werden: nutzen. Bei besonders sensiblen Konten (Banking, Hauptmail, Krypto-Börsen, Unternehmens-Admin-Zugänge) lohnt zusätzlich ein Hardware-Sicherheitsschlüssel wie YubiKey oder Google Titan (ab 25-60 €).

2. Passwort-Manager (wichtig, aber richtig verstehen)

Ein Passwort-Manager erfüllt 2026 mehrere zentrale Sicherheitsfunktionen:

• Phishing-Schutz durch Domain-Abgleich: Der Manager füllt Anmeldedaten nur automatisch aus, wenn die Domain exakt mit der gespeicherten übereinstimmt. Auf einer Phishing-Seite geschieht nichts – das ist ein starkes Warnsignal
• Einzigartige, starke Passwörter für jeden Dienst, damit ein Datenleck bei einer Seite nicht andere Konten gefährdet
• Sichere Notizen und TOTP-Integration (Time-based One-Time Passwords) als Alternative zur separaten Authenticator-App

Empfehlenswerte Lösungen 2026: Bitwarden (Open Source, kostenlose Version ausreichend für die meisten), 1Password, Proton Pass. Bei der Wahl auf unabhängige Audits, Zero-Knowledge-Architektur und Sitz in der EU bzw. DSGVO-Konformität achten. Der integrierte Passwort-Manager in Firefox, Chrome oder iCloud Keychain ist besser als nichts, aber für sensible Konten sollte ein dedizierter Dienst genutzt werden.

3. Zwei-Faktor-Authentifizierung richtig einsetzen

2FA ist weiterhin wichtig, aber die Wahl des zweiten Faktors ist entscheidend:

Empfehlenswerte Authenticator-Apps: Aegis (Android, Open Source), Raivo (iOS, Open Source), 2FAS oder die in Bitwarden integrierte TOTP-Funktion. Google Authenticator und Microsoft Authenticator funktionieren ebenfalls, speichern aber teils in der Cloud – das ist praktisch, aber erhöht die Angriffsfläche.

4. Automatische Updates und aktuelle Systeme

Das BSI meldet 2026 täglich rund 119 neue Software-Schwachstellen. Automatische Sicherheits-Updates für Betriebssystem, Browser, Mail-Client und Apps sind Pflicht, nicht Option. Windows, macOS, iOS und Android bieten das längst standardmäßig; man muss die Funktion aber aktiv lassen und regelmäßig neu starten.

5. DNS-basierter Phishing-Schutz

Tools wie NextDNS, ControlD, Quad9 oder der DNS-Filter einer Pi-hole-/AdGuard-Home-Installation im Heimnetz blockieren Phishing- und Malware-Domains bereits auf DNS-Ebene, bevor eine Verbindung zur Schad-Seite zustande kommt. Setzt bei der ganzen Familie und auf allen Geräten.

6. Browser-Schutz und Erweiterungen

• Safe Browsing / SmartScreen: Chrome, Firefox, Edge und Safari haben eingebaute Phishing-Warnungen. Aktiv lassen
• uBlock Origin (Firefox, Chrome): blockiert viele bösartige Skripte und Tracker
• Vorsicht bei Browser-Erweiterungen generell: Jede Erweiterung ist ein potenzielles Sicherheitsrisiko. Minimal halten, nur aus offiziellen Stores, nur von vertrauenswürdigen Entwicklern

Was VPN nicht leistet – wichtige Klarstellung

Ein VPN (Virtual Private Network) schützt nicht direkt vor Phishing. Diese Verbreitung ist weit verbreitet, aber irreführend. Ein VPN verschlüsselt deinen Internetverkehr auf dem Weg zum VPN-Server und verschleiert deine IP-Adresse – das ist nützlich in öffentlichen WLANs oder zur Umgehung von Geosperren. Wenn du aber auf einen Phishing-Link klickst und deine Zugangsdaten auf der gefälschten Seite eingibst, hilft dir das VPN nicht: Die Daten landen trotzdem bei den Angreifer:innen, nur eben über einen anderen Umweg. Manche VPN-Anbieter bieten inzwischen zusätzliche Funktionen wie DNS-basierten Malware- und Phishing-Schutz (z. B. NordVPN Threat Protection, Proton VPN NetShield) – das hilft tatsächlich, ist aber eine Eigenschaft des DNS-Filters, nicht des VPNs selbst.

Sichere Verhaltensweisen im Alltag

Technik schützt, Verhalten entscheidet. Die wichtigsten Regeln:

• Niemals Login-Links aus Mails oder SMS anklicken – Bank, PayPal, Amazon, Finanzamt: Immer direkt über die App oder die manuell eingetippte URL aufrufen. Bookmarks anlegen und nur von dort starten
• Bei Anrufen immer zurückrufen – und zwar die Nummer, die auf der offiziellen Website, der Rückseite der Bankkarte oder in der App steht. Niemals die Nummer verwenden, die der Anrufende nennt
• Verifizierungs-Codewort in Familie und Team – für Deepfake-Notfälle ein Codewort vereinbaren, das am Telefon abgefragt werden kann. „Deine Nichte ist in Not und braucht sofort 3.000 € – aber wie heißt das Haustier aus unserer Kindheit?“
• Mail-Anhänge kritisch behandeln – besonders .zip, .exe, .iso, .scr, .lnk, Makros in Office-Dokumenten, angebliche HTML-Rechnungen. Im Zweifel nur in Sandbox-Umgebungen öffnen oder gar nicht
• Niemals QR-Codes aus unklarer Quelle scannen – physische Aufkleber auf Ladesäulen, Parkautomaten oder im öffentlichen Raum können überklebt sein
• Bei ungewöhnlichen Überweisungen zweiten Kanal nutzen – CEO oder Kundin fordert per Mail eine dringende Überweisung? Immer telefonisch verifizieren, über bekannte Nummer
• Regelmäßige Backups nach 3-2-1-Prinzip (3 Kopien, 2 verschiedene Medien, 1 offline/extern) – schützt vor Ransomware-Folgeangriffen nach Phishing
• Ruhe bewahren bei Druck – je dringender eine Nachricht, desto genauer prüfen. Sekunden Verzögerung kosten nichts, Millionen Euro gehen verloren, wenn man sie nicht nimmt

Wenn es passiert ist: Sofortmaßnahmen

Wenn du auf einen Phishing-Link geklickt, Daten eingegeben oder Geld überwiesen hast – nicht in Panik verfallen, aber schnell handeln:

1. Konto sichern: Passwort des betroffenen Dienstes sofort ändern, idealerweise von einem anderen Gerät aus. Falls du dasselbe Passwort woanders benutzt hast, dort ebenfalls ändern. Passkeys oder FIDO2 einrichten, wo möglich
2. Aktive Sessions beenden: In den Sicherheitseinstellungen des Dienstes alle aktiven Sitzungen ausloggen. Das unterbricht auch gekaperte Sessions
3. Bank und Kreditkarte informieren: Bei Banking-Phishing oder Kartendaten sofort die Bank anrufen (Nummer auf der Kartenrückseite) und Karte sperren lassen. Sperrnotruf Deutschland: 116 116
4. Überweisung zurückholen: Innerhalb weniger Stunden ist eine Rückholung manchmal noch möglich, besonders bei SEPA-Überweisungen – Bank sofort kontaktieren
5. Schadsoftware prüfen: Hast du eine Datei ausgeführt oder installiert? System mit aktuellen Tools scannen (Windows Defender, Malwarebytes). Im Zweifel Gerät von einer Fachkraft prüfen lassen oder neu aufsetzen
6. Identitätsdiebstahl-Check: Auf haveibeenpwned.com und beim HPI Identity Leak Checker (Hasso-Plattner-Institut) prüfen, welche Zugangsdaten kompromittiert sind
7. Strafanzeige: Bei finanziellem Schaden oder Identitätsdiebstahl Strafanzeige erstatten – bei der örtlichen Polizei oder online bei der Internetwache der Polizei deines Bundeslandes
8. Phishing-Mail melden: An das BSI über das Melderegister (bsi.bund.de), an die Verbraucherzentrale (phishing@verbraucherzentrale.nrw), an reportphishing@apwg.org (Anti-Phishing Working Group) oder intern an die IT-Sicherheit deines Arbeitgebers
9. Cyberversicherung: Falls vorhanden, den Versicherer informieren. Private Cyberversicherungen decken teils Rückbuchungs-Aufwand, Datenrettung und Rechtskosten

Meldewege in Deutschland

• BSI Bürger-CERT: bsi.bund.de – aktuelle Warnungen, kostenloser Warnservice abonnierbar
• Verbraucherzentrale Phishing-Radar: verbraucherzentrale.de/phishing – sammelt und warnt vor aktuellen Kampagnen
• Polizei-Internetwachen der Bundesländer: online Anzeige erstatten
• Zentrale Ansprechstellen Cybercrime (ZAC) der Landeskriminalämter – besonders für Unternehmen
• Anti-Phishing Working Group: reportphishing@apwg.org – internationaler Zusammenschluss
• Betroffene Unternehmen direkt informieren (Weiterleitung an phishing@sparkasse.de, abuse@amazon.com, etc.) – hilft, Phishing-Seiten schneller vom Netz zu nehmen

Fazit: Phishing-Schutz 2026 ist Zero Trust

Die zentrale Lektion aus der Entwicklung 2024-2026: Authentizität von Kommunikation lässt sich nicht mehr am Inhalt erkennen. Eine KI kann perfektes Deutsch, korrekten Tonfall, echten Kontext und sogar die Stimme deines Chefs imitieren. Die Verteidigung verschiebt sich daher von „verdächtige Mails erkennen“ auf drei Ebenen:

1. Technische Barrieren, die auch bei Täuschung halten: Passkeys statt Passwörtern, Hardware-Keys für sensible Konten, Passwort-Manager mit Domain-Abgleich, aktuelle Systeme, DNS-Filter
2. Prozessuale Kontrollen: Jede Login-Seite direkt über Bookmark ansteuern, Anrufe über bekannte Nummern zurückrufen, ungewöhnliche Zahlungen immer im zweiten Kanal verifizieren, in Familie und Team Codeworte vereinbaren
3. Awareness und Ruhe: Druck ist das universelle Phishing-Merkmal. Wer sich zwingt, bei Dringlichkeit erstmal 60 Sekunden nachzudenken, schlägt 90 % aller Angriffe ab

Phishing wird nicht verschwinden, aber es lässt sich 2026 deutlich besser abwehren als noch vor zwei Jahren. Passkeys sind die wichtigste Einzelentwicklung – wo sie verfügbar sind, nutzen. Der Rest ist Hygiene, Ruhe und ein gesundes Misstrauen gegenüber jeder dringenden Nachricht, egal wie überzeugend sie aussieht.

Quellen

• Anti-Phishing Working Group (APWG): Quarterly Phishing Activity Trends Reports, apwg.org
• Bundesamt für Sicherheit in der Informationstechnik (BSI): Lagebericht zur IT-Sicherheit in Deutschland 2025, Cybersicherheitsmonitor 2025
• Weltwirtschaftsforum: Global Cybersecurity Outlook 2026 (WEF, Januar 2026)
• ENISA (European Union Agency for Cybersecurity): Threat Landscape Report 2025
• Microsoft: Digital Defense Report 2025
• Bitkom: Wirtschaftsschutz-Studie 2025
• IBM Security: Cost of a Data Breach Report 2024
• Proofpoint: State of the Phish 2024
• Verizon: Data Breach Investigations Report (DBIR) 2025
• Universitat Jaume I / Delgado-Saborit J.M. et al. (2024) – zitiert für Vergleichszwecke
• Arup-Fall (Hongkong, 2024): Berichte in CNN, Financial Times und Mandiant Threat Research
• Europol: Operation gegen Tycoon2FA, 2025
• FIDO Alliance: WebAuthn- und Passkey-Standards, fidoalliance.org
• Hasso-Plattner-Institut: Identity Leak Checker, sec.hpi.de/ilc

Haftungsausschluss

Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine individuelle IT-Sicherheits-, Rechts- oder Versicherungsberatung dar. Alle Angaben zu Angriffsmethoden, Statistiken, Produkten, Schutzmaßnahmen und Meldewegen entsprechen dem Rechercheeinstand April 2026 und können sich durch neue Entwicklungen jederzeit ändern – die Bedrohungslage im Cyberspace entwickelt sich dynamisch. Die genannten Anbieter und Werkzeuge (Bitwarden, 1Password, Proton Pass, YubiKey, Google Titan, Aegis, Raivo, 2FAS, NextDNS, Quad9, ControlD, Pi-hole, AdGuard Home, NordVPN, Proton VPN, uBlock Origin) sind beispielhaft und stellen keine bezahlte oder exklusive Empfehlung dar; es existieren jeweils vergleichbare Alternativen. Bei konkreten Schadensfällen – insbesondere bei Identitätsdiebstahl, finanziellen Verlusten oder Kompromittierung geschäftlicher Systeme – sollten die zuständigen Behörden (Polizei, BSI, Datenschutzbehörden) sowie bei Bedarf eine auf IT- und Datenschutzrecht spezialisierte Rechtsanwaltskanzlei kontaktiert werden. Unternehmen unterliegen je nach Größe und Branche besonderen Meldepflichten (u.a. DSGVO Art. 33, NIS2-Richtlinie mit 24-Stunden-Meldepflicht an das BSI, TKG, KRITIS-Verordnung, DORA für Finanzunternehmen, EU Cyber Resilience Act für Hersteller vernetzter Produkte); die Einhaltung dieser Pflichten ist nicht optional und kann bußgeldbewehrt sein. Verbraucher:innen finden bei den Verbraucherzentralen, dem Bürger-CERT des BSI und den Polizei-Internetwachen der Bundesländer kostenlose Erstberatung. Für Schäden durch Eigenmaßnahmen, falsch interpretierte Empfehlungen oder versäumte Fristen, die auf Grundlage dieses Artikels entstehen, übernimmt der Autor keine Haftung. Bei gewerblichen Phishing- und Ransomware-Vorfällen empfiehlt sich unbedingt die Hinzuziehung einer IT-Forensik und ein strukturierter Incident-Response-Prozess.