Phishing-Mail geöffnet — Was tun? Sofortmaßnahmen und Schutz

Sie haben eine Phishing-Mail geöffnet und fragen sich jetzt: Was passiert nun? Ist mein Computer infiziert? Wurden meine Daten gestohlen? Die gute Nachricht zuerst: Das reine Öffnen einer Phishing-Mail ist in den meisten Fällen noch nicht gefährlich. Kritisch wird es erst, wenn Sie auf Links geklickt, Anhänge geöffnet oder persönliche Daten eingegeben haben. Trotzdem sollten Sie sofort handeln — besonders als Unternehmen, denn hier greifen strenge DSGVO-Meldepflichten.

In diesem vollständigen Ratgeber erfahren Sie, was zu tun ist, wenn Sie eine Phishing-Mail geöffnet haben, wie Sie Phishing-Mails sicher erkennen und welche Schutzmaßnahmen Ihr Unternehmen dauerhaft absichern. Als Datenschutz-Beratung unterstützt die DATUREX GmbH Unternehmen in ganz Sachsen bei der Prävention und Reaktion auf Phishing-Angriffe.

Phishing-Mail geöffnet — Was jetzt? Sofortmaßnahmen Schritt für Schritt

Wenn Sie eine Phishing-Mail geöffnet haben, bewahren Sie zunächst Ruhe. Panik ist der schlechteste Ratgeber. Gehen Sie systematisch die folgenden Sofortmaßnahmen durch — je nach Schweregrad der Interaktion:

Schritt 1: Internetverbindung trennen

Trennen Sie Ihren Computer sofort vom Internet — ziehen Sie das LAN-Kabel oder deaktivieren Sie das WLAN. Damit verhindern Sie, dass eventuell nachgeladene Schadsoftware Daten nach außen sendet oder weitere Befehle von einem Command-and-Control-Server empfängt.

Schritt 2: Nicht weiter mit der E-Mail interagieren

Klicken Sie auf keinen Fall auf Links in der E-Mail, öffnen Sie keine Anhänge und antworten Sie nicht. Wenn Sie bereits einen Link angeklickt haben, notieren Sie die URL, aber geben Sie keine Daten auf der geöffneten Webseite ein.

Schritt 3: IT-Abteilung oder IT-Dienstleister informieren

Melden Sie den Vorfall sofort Ihrer IT-Abteilung oder Ihrem externen IT-Dienstleister. Je schneller die Experten informiert werden, desto besser lassen sich Schäden begrenzen. In Unternehmen ist die interne Meldung der wichtigste erste Schritt.

Schritt 4: Passwörter ändern

Ändern Sie umgehend die Passwörter aller Konten, die potenziell betroffen sein könnten — besonders E-Mail, Online-Banking, Cloud-Dienste und Unternehmenszugänge. Nutzen Sie dafür ein sicheres Gerät, nicht den möglicherweise kompromittierten Computer.

Schritt 5: Virenscan durchführen

Führen Sie einen vollständigen Virenscan mit aktueller Antivirensoftware durch. Nutzen Sie idealerweise ein Offline-Scan-Tool oder einen Boot-Scan, da sich manche Schadsoftware vor laufenden Antivirenprogrammen verstecken kann.

Schritt 6: Beweise sichern

Löschen Sie die Phishing-Mail nicht sofort. Sichern Sie sie als Beweismittel — idealerweise als EML-Datei mit vollständigen E-Mail-Headern. Diese Informationen sind wertvoll für die IT-Forensik, die Meldung an Behörden und die interne Datenschutzverstoss-Meldung.

Schritt 7: Datenschutzbeauftragten informieren

In Unternehmen muss der Datenschutzbeauftragte sofort informiert werden. Er prüft, ob eine meldepflichtige Datenschutzverletzung nach Art. 33 DSGVO vorliegt und leitet bei Bedarf die 72-Stunden-Meldung an die Aufsichtsbehörde ein.

Schritt 8: Bankkonten und Kreditkarten überwachen

Kontrollieren Sie in den folgenden Tagen und Wochen Ihre Kontobewegungen besonders sorgfältig. Informieren Sie bei Verdacht auf Missbrauch sofort Ihre Bank und lassen Sie betroffene Karten sperren.

Unterschied: Mail geöffnet vs. Link geklickt vs. Daten eingegeben

Was ist, wenn ich eine Phishing-Mail geöffnet habe? Die Antwort hängt wichtig davon ab, wie weit die Interaktion mit der E-Mail ging. Hier die drei Risikostufen im Überblick:

Stufe 1: Phishing-Mail nur geöffnet (geringes Risiko)

Das reine Öffnen einer Phishing-Mail ist in der Regel ungefährlich, wenn Sie einen modernen E-Mail-Client verwenden (Outlook, Thunderbird, Apple Mail). Moderne E-Mail-Programme laden externe Inhalte nicht automatisch nach und blockieren aktive Skripte. Dennoch gibt es Ausnahmen:

• Veraltete E-Mail-Programme können anfällig für Zero-Day-Exploits sein
• In seltenen Fällen können manipulierte HTML-E-Mails Tracking-Pixel laden, die dem Absender Ihre IP-Adresse verraten
• Bei aktivierter HTML-Vorschau könnte theoretisch Schadcode ausgeführt werden

Empfehlung: Auch wenn das Risiko gering ist — führen Sie einen Virenscan durch und beobachten Sie Ihr System auf ungewöhnliches Verhalten.

Stufe 2: Link in Phishing-Mail angeklickt (mittleres bis hohes Risiko)

Wenn Sie auf einen Link in einer Phishing-Mail geklickt haben, steigt das Risiko deutlich. Mögliche Gefahren sind:

• Drive-by-Downloads: Schadsoftware wird beim Besuch der Webseite automatisch heruntergeladen und installiert
• Gefälschte Login-Seiten: Sie werden auf eine täuschend echte Kopie einer bekannten Webseite geleitet, um Ihre Zugangsdaten abzugreifen
• Browser-Exploits: Sicherheitslücken im Browser werden ausgenutzt, um Malware zu installieren
• Tracking: Der Angreifer erfährt, dass Ihre E-Mail-Adresse aktiv ist und kann gezielt nachfassen

Empfehlung: Trennen Sie sofort die Internetverbindung, führen Sie einen vollständigen Systemscan durch und ändern Sie alle Passwörter über ein sicheres Gerät.

Stufe 3: Daten auf Phishing-Seite eingegeben (hohes Risiko)

Wenn Sie auf einer gefälschten Webseite persönliche Daten, Passwörter oder Bankdaten eingegeben haben, besteht akuter Handlungsbedarf:

• Sofort alle betroffenen Passwörter ändern — besonders wenn Sie dasselbe Passwort auf mehreren Plattformen verwenden
• Zwei-Faktor-Authentifizierung aktivieren, wo möglich
• Bank informieren und ggf. Karten sperren lassen
• Strafanzeige erstatten bei der Polizei oder über die Online-Wache
• Betroffene Konten überwachen auf unautorisierte Aktivitäten

Für Unternehmen gilt zusätzlich: Prüfen Sie, ob personenbezogene Daten Dritter betroffen sind — in diesem Fall greift die DSGVO-Meldepflicht nach Art. 33 und Art. 34.

Phishing-Mail erkennen — 10 Merkmale mit Beispielen

Wie können Sie eine Phishing-Mail erkennen, bevor Schaden entsteht? Achten Sie auf diese zehn typischen Warnzeichen:

1. Verdächtiger Absender

Die E-Mail-Adresse weicht vom offiziellen Unternehmensnamen ab. Beispiel: Statt service@amazon.de steht dort service@amaz0n-sicherheit.com oder amazon-konto@mail.ru. Prüfen Sie immer die vollständige E-Mail-Adresse, nicht nur den angezeigten Namen.

2. Unpersönliche Anrede

Formulierungen wie „Sehr geehrter Kunde“ oder „Lieber Nutzer“ statt Ihres richtigen Namens deuten auf eine Massenmail hin. Seriöse Unternehmen sprechen Sie in der Regel persönlich an.

3. Dringender Handlungsbedarf

Phishing-Mails erzeugen künstlichen Zeitdruck: „Ihr Konto wird in 24 Stunden gesperrt“, „Sofortige Verifizierung erforderlich“, „Letzte Mahnung vor Inkasso“. Seriöse Unternehmen setzen Sie nicht unter derartigen Druck.

4. Drohungen und Angst

Androhung von Kontosperrung, Strafgebühren, rechtlichen Konsequenzen oder Datenverlust — Phishing nutzt systematisch Angst als Manipulation, damit Opfer unüberlegt handeln.

5. Verdächtige Links

Fahren Sie mit der Maus über Links (ohne zu klicken!). Zeigt der Tooltip eine andere URL als der Linktext verspricht? Enthält die URL ungewöhnliche Zeichen, Zahlenfolgen oder eine unbekannte Domain? Dann ist Vorsicht geboten.

6. Ungewöhnliche Anhänge

Dateien mit den Endungen .exe, .zip, .scr, .js oder .docm sind hochverdächtig. Aber auch scheinbar harmlose PDF- oder Office-Dateien können Makros mit Schadcode enthalten. Öffnen Sie Anhänge nur, wenn Sie die Quelle sicher verifiziert haben.

7. Rechtschreibfehler und schlechte Grammatik

Obwohl KI-generierte Phishing-Mails immer besser werden, fallen viele noch durch Grammatikfehler, ungewöhnliche Formulierungen oder falsche Umlaute (ae statt ä) auf. Achtung: 2026 sind viele Phishing-Mails durch KI-Einsatz nahezu fehlerfrei — verlassen Sie sich nicht allein auf dieses Merkmal.

8. Abfrage sensibler Daten

Kein seriöses Unternehmen fordert Sie per E-Mail auf, Passwörter, PINs, TANs, Kreditkartennummern oder Sozialversicherungsnummern einzugeben oder zu bestätigen.

9. Fehlendes oder gefälschtes Impressum

Prüfen Sie, ob die E-Mail ein korrektes Impressum enthält. Fehlt es komplett oder enthält es falsche Angaben, ist das ein starkes Indiz für Phishing.

10. Ungewöhnlicher Sendzeitpunkt oder Kontext

Eine E-Mail von „Ihrer Bank“ um 3 Uhr nachts? Eine Paket-Benachrichtigung, obwohl Sie nichts bestellt haben? Eine Rechnung von einem Unternehmen, das Sie nicht kennen? Solche Kontextbrüche sind typische Phishing-Indikatoren.

Aktuelle Phishing-Wellen 2026 — Microsoft, Amazon, PayPal, DHL, Sparkasse

Cyberkriminelle passen ihre Methoden ständig an. Diese aktuellen Phishing-Kampagnen sind 2026 besonders verbreitet:

Microsoft / Office 365 Phishing

Gefälschte E-Mails zur „Passwort-Zurücksetzung“, „Teams-Einladung“ oder „SharePoint-Freigabe“ leiten auf täuschend echte Microsoft-Login-Seiten. Ziel: Unternehmenszugänge und Azure-AD-Konten kapern. Besonders gefährlich für Unternehmen, die Microsoft 365 ohne MFA nutzen.

Amazon Phishing

Klassiker: „Ihre Bestellung konnte nicht zugestellt werden“, „Ungewöhnliche Anmeldeaktivität erkannt“ oder „Prime-Mitgliedschaft läuft ab“. Die gefälschten E-Mails sind optisch kaum von echten Amazon-Mails zu unterscheiden.

PayPal Phishing

„Ungewöhnliche Aktivität auf Ihrem Konto“, „Ihr Konto wurde eingeschränkt“ oder „Bestätigen Sie Ihre Identität“. PayPal-Phishing zielt auf Kontodaten und verknüpfte Bankverbindungen ab.

DHL / Paketdienst Phishing

„Ihr Paket wartet auf Zustellung — Zollgebühr fällig“ oder „Sendungsverfolgung aktualisiert“. Diese Mails sind besonders erfolgreich, weil in Deutschland täglich Millionen von Paketen versendet werden und viele Empfänger tatsächlich ein Paket erwarten.

Sparkasse / Bank Phishing

„Neue Sicherheitsrichtlinien erfordern Ihre Bestätigung“, „pushTAN-Update erforderlich“ oder „Ihr Online-Banking-Zugang wurde gesperrt“. Bankphishing zielt direkt auf Kontodaten und kann zu erheblichen finanziellen Schäden führen.

Trend 2026: Immer mehr Phishing-Kampagnen nutzen KI-generierte Inhalte, die sprachlich perfekt sind und sogar personalisierte Details aus öffentlich zugänglichen Quellen (LinkedIn, XING, Firmenwebseiten) einbauen. Zusätzlich werden vermehrt QR-Code-Phishing (Quishing) und Voice-Phishing (Vishing) eingesetzt.

Phishing-Mail melden — BSI, Verbraucherzentrale, Provider, intern

Wenn Sie eine Phishing-Mail erhalten oder geöffnet haben, sollten Sie den Vorfall melden. Phishing-Mail was tun? — Hier die wichtigsten Meldewege:

Unternehmensinterne Meldung

Für Unternehmen ist die interne Meldung an die IT-Abteilung und den Datenschutzbeauftragten der wichtigste erste Schritt. Nur so können schnell Gegenmaßnahmen eingeleitet werden — etwa das Blockieren der Absenderadresse für alle Mitarbeiter, das Scannen aller Postfächer auf ähnliche Mails und die Prüfung, ob andere Kollegen ebenfalls betroffen sind.

BSI (Bundesamt für Sicherheit in der Informationstechnik)

Das BSI sammelt Informationen über aktuelle Phishing-Kampagnen und warnt die Öffentlichkeit. Melden Sie Phishing-Mails an: service-center@bsi.bund.de. Das BSI veröffentlicht regelmäßig Warnungen auf seiner Webseite bsi.bund.de.

Verbraucherzentrale — Phishing-Radar

Die Verbraucherzentrale NRW betreibt ein bundesweites Phishing-Radar und veröffentlicht täglich aktuelle Phishing-Warnungen. Leiten Sie verdächtige E-Mails weiter an: phishing@verbraucherzentrale.nrw.

E-Mail-Provider melden

Die meisten E-Mail-Provider bieten die Möglichkeit, E-Mails als Phishing zu markieren. Bei Gmail, Outlook und Yahoo gibt es entsprechende Schaltflächen. Damit helfen Sie, die Spam-Filter für alle Nutzer zu verbessern.

Polizei — Strafanzeige erstatten

Wenn Sie durch Phishing einen finanziellen Schaden erlitten haben oder persönliche Daten kompromittiert wurden, erstatten Sie Strafanzeige. In Sachsen können Sie dies auch über die Online-Wache der Polizei Sachsen tun.

Datenschutz-Meldepflicht bei Phishing — Art. 33 und Art. 34 DSGVO

Für Unternehmen ist Phishing nicht nur ein IT-Sicherheitsproblem, sondern auch ein Datenschutzthema. Die DSGVO schreibt klare Meldepflichten vor, wenn personenbezogene Daten betroffen sind.

Art. 33 DSGVO — Meldung an die Aufsichtsbehörde

Nach Art. 33 DSGVO muss der Verantwortliche eine Datenschutzverletzung innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden — es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Bei einem erfolgreichen Phishing-Angriff auf Unternehmensdaten ist eine Meldung in der Regel erforderlich.

Die Meldung muss mindestens folgende Angaben enthalten:

• Art der Datenschutzverletzung (z. B. unbefugter Zugriff durch Phishing)
• Kategorien und ungefähre Anzahl betroffener Personen
• Kategorien und ungefähre Anzahl betroffener Datensätze
• Name und Kontaktdaten des Datenschutzbeauftragten
• Beschreibung der wahrscheinlichen Folgen
• Beschreibung der ergriffenen oder geplanten Abhilfemaßnahmen

In Sachsen ist die zuständige Aufsichtsbehörde die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB).

Art. 34 DSGVO — Benachrichtigung der Betroffenen

Hat die Datenschutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen, müssen diese zusätzlich benachrichtigt werden. Das ist etwa der Fall, wenn durch Phishing Kundendaten, Gesundheitsdaten oder Finanzdaten kompromittiert wurden.

Wann ist ein Phishing-Vorfall meldepflichtig?

Nicht jede Phishing-Mail löst eine Meldepflicht aus. Wichtig ist, ob personenbezogene Daten tatsächlich betroffen sind:

Szenario	Meldepflicht Art. 33?	Meldepflicht Art. 34?
Phishing-Mail nur geöffnet, keine Interaktion	Nein (in der Regel)	Nein
Link geklickt, aber keine Daten eingegeben	Prüfung erforderlich	Eher nein
Login-Daten auf gefälschter Seite eingegeben	Ja	Prüfung erforderlich
Angreifer hat Zugriff auf E-Mail-Postfach erlangt	Ja	Ja (hohes Risiko)
Kundendaten oder Mitarbeiterdaten kompromittiert	Ja	Ja (hohes Risiko)
Ransomware durch Phishing-Anhang installiert	Ja	Ja (hohes Risiko)

Dokumentieren Sie jeden Phishing-Vorfall im internen Verzeichnis der Datenschutzverletzungen — auch wenn keine Meldepflicht besteht. Mehr zur korrekten Meldung erfahren Sie auf unserer Seite Datenschutzverstoß melden.

Schutzmaßnahmen für Unternehmen — E-Mail-Security, Schulungen, MFA

Prävention ist der beste Schutz vor Phishing. Implementieren Sie diese technischen und organisatorischen Maßnahmen (TOM), um Ihr Unternehmen wirksam abzusichern:

Technische Maßnahmen — E-Mail-Security

• SPF, DKIM und DMARC: Konfigurieren Sie diese E-Mail-Authentifizierungsprotokolle für Ihre Domain. Sie verhindern, dass Angreifer E-Mails in Ihrem Namen versenden können (E-Mail-Spoofing).
• E-Mail-Gateway mit Phishing-Filter: Professionelle E-Mail-Gateways erkennen und blockieren Phishing-Mails, bevor sie im Postfach landen. Achten Sie auf KI-basierte Erkennung, die auch neuartige Phishing-Varianten identifiziert.
• Sandboxing für Anhänge: Verdächtige Anhänge werden in einer isolierten Umgebung geöffnet und analysiert, bevor sie dem Empfänger zugestellt werden.
• URL-Rewriting und Time-of-Click-Schutz: Links in E-Mails werden umgeschrieben und bei jedem Klick erneut geprüft — auch Stunden nach Zustellung der E-Mail.
• Externe E-Mail-Kennzeichnung: E-Mails von externen Absendern werden automatisch mit einem Hinweis wie „[EXTERN]“ markiert, um Mitarbeiter zu sensibilisieren.

Multi-Faktor-Authentifizierung (MFA)

MFA ist die wichtigste Einzelmaßnahme gegen Phishing. Selbst wenn ein Angreifer durch Phishing Ihr Passwort erbeutet, kann er sich ohne den zweiten Faktor nicht anmelden. Aktivieren Sie MFA für:

• E-Mail-Konten (Microsoft 365, Google Workspace)
• VPN-Zugänge
• Cloud-Dienste und SaaS-Anwendungen
• Remote-Desktop-Verbindungen
• Administrative Konten und Systeme

Nutzen Sie bevorzugt phishing-resistente MFA wie FIDO2/WebAuthn-Sicherheitsschlüssel (z. B. YubiKey) statt SMS-basierter Codes, die durch SIM-Swapping abgefangen werden können.

Mitarbeiterschulungen und Security Awareness

Technik allein reicht nicht — der Faktor Mensch bleibt das häufigste Einfallstor für Phishing. Investieren Sie in regelmäßige Schulungen:

• Onboarding-Schulung: Jeder neue Mitarbeiter erhält eine Grundschulung zum Thema Phishing und IT-Sicherheit
• Regelmäßige Auffrischungen: Mindestens jährliche Schulungen zu aktuellen Bedrohungen und neuen Phishing-Methoden
• Phishing-Simulationen: Kontrollierte Test-Phishing-Mails zeigen, wie gut Mitarbeiter Phishing erkennen, und identifizieren Schulungsbedarf
• Melde-Kultur fördern: Schaffen Sie eine Atmosphäre, in der Mitarbeiter verdächtige E-Mails angstfrei melden — ohne Sanktionen bei einem Fehlklick

Incident-Response-Plan

Erstellen Sie einen dokumentierten Notfallplan für Phishing-Vorfälle, der klare Verantwortlichkeiten und Eskalationswege definiert:

1. Wer muss sofort informiert werden? (IT, DSB, Geschäftsführung)
2. Welche technischen Sofortmaßnahmen werden eingeleitet?
3. Wer prüft die DSGVO-Meldepflicht?
4. Wer kommuniziert intern und extern?
5. Wie wird der Vorfall dokumentiert und nachbereitet?

Testen Sie diesen Plan regelmäßig durch Tabletop-Übungen — so stellen Sie sicher, dass im Ernstfall jeder weiß, was zu tun ist. Lesen Sie auch unseren Artikel zum Thema Datenschutz im Unternehmen für weitere organisatorische Maßnahmen.

FAQ — 5 häufig gestellte Fragen zu Phishing-Mails

Was passiert, wenn ich eine Phishing-Mail nur geöffnet, aber nicht auf Links geklickt habe?

In den meisten Fällen passiert beim reinen Öffnen einer Phishing-Mail nichts Gefährliches. Moderne E-Mail-Programme blockieren aktive Inhalte und laden externe Ressourcen nicht automatisch. Zur Sicherheit sollten Sie dennoch einen Virenscan durchführen und die E-Mail Ihrer IT-Abteilung melden. Das Risiko steigt erst deutlich, wenn Sie auf Links klicken, Anhänge öffnen oder Daten eingeben.

Muss ich als Unternehmen jeden Phishing-Vorfall nach DSGVO melden?

Nicht jeden, aber viele. Nach Art. 33 DSGVO müssen Sie Datenschutzverletzungen innerhalb von 72 Stunden der Aufsichtsbehörde melden, wenn ein Risiko für betroffene Personen besteht. Beim reinen Erhalt einer Phishing-Mail ohne weitere Interaktion besteht in der Regel keine Meldepflicht. Sobald jedoch Login-Daten kompromittiert wurden oder ein Angreifer Zugriff auf Systeme mit personenbezogenen Daten erlangt hat, ist eine Meldung Pflicht.

Kann mein Handy durch eine Phishing-Mail infiziert werden?

Das Risiko ist auf Smartphones geringer als auf Desktop-Computern, aber nicht null. Besonders gefährlich sind Phishing-Links, die zu gefälschten App-Download-Seiten führen, oder Anhänge, die Schwachstellen im mobilen Betriebssystem ausnutzen. Halten Sie Ihr Smartphone-Betriebssystem und alle Apps stets aktuell und installieren Sie Apps nur aus offiziellen Stores.

Wie erkenne ich, ob meine Daten nach einem Phishing-Angriff missbraucht wurden?

Achten Sie auf ungewöhnliche Kontobewegungen, unbekannte Login-Versuche, Passwort-Zurücksetzungsanfragen, die Sie nicht initiiert haben, und unbekannte Geräte in Ihren Kontoeinstellungen. Nutzen Sie Dienste wie „Have I Been Pwned“ (haveibeenpwned.com), um zu prüfen, ob Ihre E-Mail-Adresse in bekannten Datenlecks auftaucht. Aktivieren Sie Benachrichtigungen für verdächtige Anmeldeaktivitäten.

Kann ich mich zu 100 % vor Phishing schützen?

Einen hundertprozentigen Schutz gibt es nicht — Phishing-Methoden entwickeln sich ständig weiter. Sie können das Risiko aber drastisch reduzieren durch eine Kombination aus technischen Maßnahmen (E-Mail-Filter, MFA, Endpoint Protection), organisatorischen Maßnahmen (Schulungen, Meldeprozesse, Incident Response) und einer aufmerksamen Sicherheitskultur. Die DATUREX GmbH unterstützt Sie als Datenschutz-Beratung bei der Entwicklung einer ganzheitlichen Schutzstrategie.