BG Beter Geregeld ICT
Security zonder IT-afdeling · 5 min leestijd · 27 Juni 2026

Ein unbekannter Link in deiner Mail: Wie prüfst du ihn, ohne draufzuklicken?

Wie beurteilst du in dreißig Sekunden, ob ein unbekannter Link in einer E-Mail vertrauenswürdig ist? Eine praktische Checkliste für KMU ohne eigene IT-Abteilung.

Du bekommst eine Mail von einem Lieferanten. Oder ein Angebot von einem neuen Kunden. Oder eine Bewerbung. Darin steckt ein Link, und der führt auf eine Website, die du noch nicht kennst. Klickst du? Und wenn ja: Was prüfst du vorher?

Für Menschen ohne IT-Hintergrund fühlt sich das oft wie Raten an. „Sieht eigentlich seriös aus" oder „das Unternehmen gibt es wirklich" sind keine wirklich guten Checks — aber genau das machen die meisten. In diesem Beitrag zeigen wir, wie du in etwa dreißig Sekunden ein vernünftiges Urteil über eine unbekannte URL fällst — ohne etwas installieren zu müssen.

Warum das wichtig ist

Phishing-Mails sind 2026 kaum noch an schlechtem Deutsch oder unscharfen Logos zu erkennen. KI-Tools erstellen saubere, persönliche Nachrichten. Was als Unterschied zwischen echt und gefälscht übrig bleibt, ist fast immer das Ziel des Links. Dort verstecken sich Tippfehler, seltsame Domains und frisch registrierte Adressen.

Gute Nachricht: Dieses Ziel kannst du prüfen, ohne daraufzuklicken.

Schritt 1: Lies den Link, bevor du klickst

Fahre mit der Maus über den Link (oder halte deinen Finger auf dem Smartphone darauf, ohne loszulassen). In der Statusleiste unten oder in einem Tooltip siehst du die echte URL. Lies nur den Teil vor dem ersten einfachen Schrägstrich. Also bei:

https://login.microsoft.com.account-verify.ru/secure

...ist die echte Domain account-verify.ru, nicht microsoft.com. Der Microsoft-Teil ist ein Trick, um dein Auge zu täuschen.

Faustregel: Lies die URL von rechts nach links. Das letzte Stück vor dem ersten / ist die Domain, auf die es wirklich ankommt.

Schritt 2: Auf Tippfehler und seltsame Endungen achten

Angreifer verwenden gerne Domains, die dem Original zum Verwechseln ähnlich sehen:

  • rabobаnk.nl — das „a" ist ein kyrillischer Buchstabe
  • marktplааts.nl — doppelte Trick-Buchstaben
  • kvk-portal.com statt kvk.nl
  • ing.nl.veilig-login.app — ING ist nicht unter .app erreichbar

Wenn du unsicher bist, tippe die offizielle Domain selbst in einem neuen Tab ein. Schneller als nachzufragen — und sicherer als zu klicken.

Schritt 3: Schau nach, wem die Domain gehört

Ein seriöses Unternehmen hat meistens eine Domain, die schon seit Jahren existiert. Eine Phishing-Domain ist oft erst wenige Tage oder Wochen alt. Das kannst du selbst über eine sogenannte WHOIS-Abfrage nachschlagen. Das muss kein technisches Hexenwerk sein — es gibt kostenlose Tools, in die du einfach eine Domain eingibst und das Registrierungsdatum siehst.

Unser IP-Lookup-Tool zeigt dir auf einen Blick die IP-Adresse, das Hosting-Land und den Anbieter hinter einer Domain. Ein niederländischer Webshop, der plötzlich von einem Server in einem unerwarteten Land läuft? Das muss nicht zwingend ein Problem sein — aber zusammen mit einer drängenden Mail ist es ein Warnsignal.

Schritt 4: Verdächtige Links in einer sicheren Umgebung öffnen

Musst du wirklich wissen, was hinter einem Link steckt — zum Beispiel weil ein Mitarbeiter fragt, ob eine Mail legitim ist — öffne ihn nicht einfach auf deinem Arbeitsrechner. Zwei Optionen, die einfacher sind als sie klingen:

  • Inkognito-Fenster auf einem privaten Gerät: Nicht ideal, aber besser als deine reguläre Arbeitssitzung, in der du überall eingeloggt bist.
  • Online-„URL-Scanner": Es gibt kostenlose Dienste, bei denen du eine URL einfügst und die sie für dich in einer Sandbox öffnen. Du bekommst einen Screenshot zurück und ein Urteil, ob es sich um eine bösartige Seite handelt.

Tue das niemals mit Links, die ein einzigartiges persönliches Element enthalten (zum Beispiel ein Passwort-Reset-Link oder ein Rechnungslink mit einem Token). Diese funktionieren oft nur einmal — und du verrätst dich damit gegenüber dem Angreifer.

Schritt 5: Dem Schloss vertrauen — aber nicht allein

Das Schloss-Symbol in der Adressleiste bedeutet nur, dass der Datenverkehr verschlüsselt ist. Phishing-Seiten haben heutzutage ebenfalls brav ein Schloss. Es sagt nichts über die Vertrauenswürdigkeit des Betreibers aus. Nutze es als Basis-Check — nicht als Beweis.

Eine kurze Checkliste für dein Team

  1. Fahre über den Link und lies die Domain vor dem ersten /.
  2. Stimmt die Domain Buchstabe für Buchstabe mit der echten Organisation überein?
  3. Kommt die Mail aus dem Nichts und wird Zeitdruck aufgebaut? Dann besonders skeptisch sein.
  4. Im Zweifel: Offizielle Adresse selbst eintippen oder den Absender über eine bereits bekannte Nummer anrufen.
  5. Niemals über einen Link aus einer unerwarteten Mail einloggen.

Drucke diese fünf Regeln notfalls aus und lege sie an den Empfang oder in den Pausenraum. Es muss nicht kompliziert sein — es muss vor allem gemacht werden.

Und wenn es doch schiefgelaufen ist?

Hat jemand auf einen verdächtigen Link geklickt und möglicherweise Zugangsdaten eingegeben? Dann ist Zeit das Wichtigste. Ändere sofort das Passwort des betreffenden Kontos, melde alle Sitzungen ab und prüfe, ob Zwei-Faktor-Authentifizierung aktiviert ist. Hast du das noch nicht überall eingerichtet, ist jetzt ein guter Zeitpunkt, das nachzuholen — ein gestohlenes Passwort allein reicht dann nämlich nicht mehr aus, um sich Zugang zu verschaffen.

Willst du wissen, wo eine Domain gehostet wird, bevor du daraufklickst? Unser IP-Lookup ist kostenlos, ohne Registrierung und liefert dir in Sekunden einen ersten Eindruck.

Onderwerpen

#mkb #security #phishing #Praktisch #Tools Uitleg

Volledige gids: Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Security zonder IT-afdeling

Security für KMU ohne IT-Abteilung: Was tun Sie dieses Quartal?

Kein IT-Team, aber trotzdem Verantwortung. Diese Übersicht liefert eine klare Prioritätenliste: erst das, dann das, dann das weniger Dringende. Jeder Punkt verweist auf eine ausführlichere Anleitung.

2 min
Security zonder IT-afdeling

Verdächtige Anhänge in deiner Mail: sechs Dateitypen, auf die du 2026 achtest

Nicht jeder Anhang ist gefährlich — aber auch nicht jeder ist harmlos. Diese sechs Dateitypen verdienen besondere Aufmerksamkeit, und was du tust, wenn du versehentlich geklickt hast.

6 min
Security zonder IT-afdeling

QR-Codes und Phishing: Warum der Sticker-Trick an der Parkuhr auch dein Büro trifft

QR-Codes sind überall: auf Speisekarten, Parkautomaten und Rechnungen. Doch Kriminelle kleben immer häufiger eigene Sticker darüber. So erkennst du den Trick – und so schützt du dein Team.

5 min
Security zonder IT-afdeling

Dateien sicher teilen im Mittelstand: ohne dass alle eine neue App lernen müssen

Die meisten Datenpannen im Mittelstand entstehen nicht durch Hacker, sondern durch einen falsch freigegebenen Link oder ein vergessenes Gastkonto. So regeln Sie sicheres Datei-Sharing an einem Nachmittag.

5 min
Security zonder IT-afdeling

Abwesenheitsnotiz einrichten: Was du besser weglässt

Deine Abwesenheitsnotiz verrät oft mehr als du denkst: wer weg ist, wie lange und wer die Vertretung übernimmt. So richtest du die Nachricht ein, die Kollegen hilft – und Betrügern nicht.

5 min
Security zonder IT-afdeling

Sommer-Checkliste für den Mittelstand: sicher in die Urlaubszeit

Die Urlaubszeit ist genau der Moment, auf den Betrüger hoffen – halbleere Büros inklusive. Mit dieser praktischen Checkliste geht Ihr Unternehmen sicher in den Sommer.

6 min
← Alle artikelen in "Security zonder IT-afdeling"